Z dniem 4 maja 2019 r. zaczęły obowiązywać przepisy wdrażające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Poniżej prezentujemy krótkie streszczenie zmian, które zaczęły już obowiązywać.
Nowe wytyczne w obszarze kadrowym
Zmiany w prawie pracy objęły przede wszystkim zmieniony zakres danych, których pracodawca może żądać na etapie rekrutacji. Jednoznacznie zostało przesądzone, że przetwarzanie danych o niekaralności może w praktyce odbywać się wyłącznie na podstawie ustawy. Pracodawcy, którzy chcieliby przetwarzać taką informację muszą zatem szukać odpowiedniego upoważnienia ustawowego. Ograniczone zostało także przetwarzanie przez pracodawców danych szczególnych kategorii. W zasadniczej części dotyczyć to będzie danych dotyczących zdrowia. Powyższe ma szczególne znaczenie dla pracodawców, którzy zatrudniają osoby niepełnosprawne.
Częściowego uregulowania doczekała się w końcu kwestia przetwarzania danych w związku z udzielaniem świadczeń z Zakładowego Funduszu Świadczeń Socjalnych, która wprowadza novum, polegające na obowiązkowym okresowym audycie przydatności danych zebranych w tym celu.
Doprecyzowano także przepisy dotyczące monitoringu. Należy pamiętać, o czym wiele firm zdaje się wciąż zapominać, że przepisy te dotyczą wszelkich form monitoringu. Oprócz dość powszechnie stosowanego monitoringu w systemach telewizji przemysłowej, monitoring obejmuje także inne formy śledzenia pracownika, np. GPS-tracking pojazdów lub urządzeń, dane o poruszaniu się po budynku za pomocą kart dostępowych.
Sytuacji pracodawców nie ułatwiają niezmienione przepisy wykonawcze dotyczące prowadzenia akt pracowniczych oraz świadectw pracy. Nakładając na powyższe dość rygorystyczne stanowisko Prezesa Urzędu Ochrony Danych Osobowych w zakresie przetwarzania i naruszeń ochrony danych, których przedmiotem jest nr PESEL, a także nieustępliwość w zakresie dopuszczalności badania trzeźwości pracowników, należy stwierdzić, że rok po wprowadzeniu RODO, na pracodawców zostały włożone kolejne obowiązki związane z koniecznością dostosowania się do zmienionych przepisów.
Zgody marketingowe
Wszyscy przedsiębiorcy muszą także dostosować się do ujednoliconych przepisów regulujących kwestie marketingu prowadzonego za pomocą środków przekazu elektronicznego – maili, sms-ów i telefonów. Przepisy obecnie dość jasno regulują kwestie dopuszczalności takiej formy promocji. Na powyższe nakłada się jednak niejednolite stanowisko kontrolerów (UKE, UOKiK), które w niektórych przypadkach dokonują rozszerzającej wykładni przepisów nakładających obowiązki przedsiębiorców w zakresie pozyskiwania zgód marketingowych.
Przedsiębiorcy zostali przy tym zobowiązani do spełnienia obowiązku informacyjnego niejako z góry – na swojej stronie internetowej lub w lokalu przedsiębiorstwa. Wydaje się, że jest obszar, w którym dość łatwo zauważyć ewentualne braki w zakresie dostosowania się do treści nowych przepisów. W połączeniu z przepisami dot. monitoringu oraz plików cookies na stronach www, a także zmianami dotyczącymi umieszczania informacji w Biurach Informacji Gospodarczej dochodzimy do momentu, gdy przedsiębiorca obarczony jest coraz szerszym zakresem obowiązków informacyjnych. Ewentualne braki w tym zakresie są bardzo łatwo widoczne dla organu nadzorczego.
Podmioty lecznicze
Szczegółowe zmiany objęły także podmioty lecznicze. Wprowadzono dla nich dodatkowe wymogi, jakie muszą spełniać zawierane przez nie umowy powierzenia przetwarzania. Dodatkowo podmioty te zostały objęte dość szczegółowymi przepisami dotyczącymi monitoringu wizyjnego.
Dywersyfikacja zadań w zakresie ochrony danych w przedsiębiorstwie
Sporym ułatwieniem jest za to możliwość powołania zastępcy Inspektora Ochrony Danych (IOD). Przedsiębiorca może z jednej strony rozłożyć odpowiedzialność wyznaczając dwie osoby odpowiedzialne za przedmiotowy zakres. Z drugiej pozwala mu to łatwiej skorzystać z zewnętrznego, profesjonalnego wsparcia prawnego i organizacyjnego w tym zakresie. Wielu przedsiębiorców decydowało się do tej pory na korzystanie wyłącznie z wewnętrznego IOD(wyznaczonego pracownika), co z jednej strony zapewniało jego czynny udział w funkcjonowaniu firmy, ale zazwyczaj rodziło także obawy o poziom wiedzy, którą Inspektor powinien się wyróżniać.
Autorem materiału jest adw. Robert Gruz, ekspert ds. ochrony Danych osobowych w NK Legal Kancelarii Prawa Gospodarczego, odpowiedzialny za zaprojektowanie i wdrożenie ponad 50 systemów ochrony danych osobowych w przedsiębiorstwach, zgodnych z przepisami RODO.
Jeżeli w Państwa działalności powstały wątpliwości na powyższym gruncie zapraszamy do kontaktu ze swoim dedykowanym zespołem prawnym w naszej Kancelarii, a w przypadku gdy nie są Państwo naszymi Klientami zapraszamy do spotkania się z naszym pełnomocnikiem we wskazanym przez Państwa miejscu na niezobowiązujące i nieodpłatne spotkanie.
