4 maja 2019 weszła w życie ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli tzw. ustawa dostosowawczą lub ustawę wdrażającą RODO, która wprowadza zmiany do ponad 160 obowiązujących obecnie aktów prawnych.

Z uwagi na liczbę i charakter zmian koniecznych do wprowadzenia, a także w trosce o zapewnienie spójnego podejścia, zdecydowano się dokonać ich w jednej ustawie. Celem jest zapewnienie skutecznego stosowania przepisów RODO poprzez dostosowanie polskiego porządku prawnego do RODO m.in. przez usunięcie przepisów, które są sprzeczne z RODO lub które powielają rozwiązania RODO. Powołany do tego zespół roboczy składał się z przedstawicieli Ministra Cyfryzacji, Ministra Spraw Zagranicznych, Rządowego Centrum Legislacji oraz Prezesa Urzędu Ochrony Danych Osobowych (poprzednio: Generalnego Inspektora Ochrony Danych Osobowych).

Wraz z wejściem w życie nowych przepisów nastąpiły istotne zmiany m.in. w zakresie: katalogu danych osobowych, w tym danych biometrycznych, których pracodawca może domagać się od kandydata do pracy i pracownika bez jego zgody, zasad przetwarzania danych w związku z prowadzeniem Zakładowego Funduszu Świadczeń Socjalnych, realizacji obowiązku informacyjnego przez organy administracji publicznej oraz zasad prowadzenia przez nie postępowań. Warto jednak zwrócić uwagę na elementy charakterystyczne nowej ustawy. W wielu przypadkach bowiem zmiany wprowadzone w określonych sektorach są do siebie podobne, tj. okresy przechowywania danych, zastosowanie określonych środków w celu ochrony danych, konieczność posiadania pisemnego upoważnienia do przetwarzania danych osobowych.

Bardzo dużym ułatwieniem dla mikro przedsiębiorców jest spełnienie obowiązku informacyjnego w stosunku do klientów będących konsumentami, które może odbywać się przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Nie trzeba więc informować każdego konsumenta z osobna.

Jednak najbardziej istotne zmiany, które niewątpliwie będą miały wpływ również na prowadzenie działalności przez dealerów, zostały dokonane w obszarze prawa pracy.

Zmiany mają na celu przede wszystkim dostosowanie brzmienia obowiązujących przepisów prawa pracy do art. 6 ust. 1 lit. c. RODO, który wprowadził przesłankę istnienia „obowiązku prawnego” jako podstawy pobierania danych osobowych. Przepisy RODO przyznają także państwom członkowskim swobodę w określeniu zasad przetwarzania przez pracodawców danych osobowych pracowników, w tym poprzez uzależnienie ich gromadzenia od wyrażenia zgody osoby ubiegającej się o zatrudnienie bądź pracownika.

Pracodawca może żądać podania danych osobowych (wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia), gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Powyższa norma służy pełnej realizacji przewidzianej w art. 5 ust. 1 lit. c RODO zasady minimalizmu przetwarzania danych.

Jednocześnie norma prawna nie zwalnia pracodawców od konieczności oceny, czy wszystkie z gromadzonych danych konieczne są do celu, jakim jest zatrudnienie określonej osoby. Ponadto, pracodawca może przetwarzać dane osobowe osoby ubiegającej się o zatrudnienie lub pracownika, na podstawie ich zgody, z wyłączeniem informacji dotyczących wyroków skazujących i naruszeń prawa. Tego rodzaju dane osobowe będą mogły być przetwarzane wyłącznie w przypadku, kiedy przepis prawa będzie przewidywać obowiązek ich żądania przez pracodawcę lub obowiązek ich udostępnienia przez osobę ubiegającą się o zatrudnienie lub pracownika. Dodatkowo przetwarzanie danych szczególnych kategorii na podstawie zgody będzie możliwe wyłącznie, gdy ich przekazanie następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Do przetwarzania takich szczególnych danych osobowych, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie nadane przez pracodawcę oraz zobowiązane są do zachowania tajemnicy. W przypadku danych biometrycznych – mogą być pobierane od pracownika i przetwarzane, o ile ich podanie będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony. Została też wyłączona możliwość monitorowania pomieszczeń zakładowej organizacji związkowej (z uwagi na fakt, iż rodzi to duże prawdopodobieństwo  naruszenia zasady wolności i niezależności związków zawodowych). Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu i nie naruszy to godności oraz innych dóbr osobistych pracownika, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.

Doprecyzowano także, że instalacja monitoringu wizyjnego w pomieszczeniach sanitarnych wymaga dodatkowo uzyskania przez pracodawcę uprzedniej zgody zakładowej organizacji związkowej (a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy).

W ramach zakresu związanego z obszarem prawa pracy, zmiany znalazły odzwierciedlenie także w ustawie o zakładowym funduszu świadczeń socjalnych. Udostępnienie pracodawcy danych osobowych osób uprawnionych do korzystania z funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca może żądać jednak udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z funduszu. Do przetwarzania danych szczególnych kategorii (tak jak w przypadku rekrutacji) mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy. Pracodawca przetwarza dane osobowe przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń. Ustawa nakłada na pracodawcę obowiązek okresowego przeglądu zbieranych danych osobowych, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania.

Natomiast dla celów ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych pracodawca ma prawo przetwarzać dane o stanie zdrowia w odniesieniu do pracowników oraz kandydatów pracy, przy czym przedstawienie takich dokumentów pracodawcy jest dobrowolne. Te dane osobowe nie mogą być przechowywane dłużej niż jest to niezbędne i wyłącznie w zakresie koniecznym do realizacji celów przetwarzania wskazanych w ustawie. Ponadto wprowadzono obowiązek nie rzadszego niż co 5 lat weryfikowania niezbędności przechowywania danych osobowych.

Warto wspomnieć o zmianach w ustawie – Prawo zamówień publicznych ważnych z punktu widzenia dealera, który nierzadko występuje w roli wykonawcy. Skorzystanie przez osobę, której dane dotyczą z prawa do sprostowania lub uzupełnienia danych nie może powodować zmiany wyniku postępowania lub też zmiany postanowień umowy w zakresie niezgodnym z ustawą o zamówieniach publicznych. Tym samym RODO nie będzie mogło stać się przyczyną do dokonywania uzupełnień w dokumentacji przetargowej po terminie jej składania. Doprecyzowaniu uległa również zasada jawności, która będzie miała zastosowanie do wszystkich danych osobowych, z wyjątkiem kategorii szczególnych (wrażliwych) danych wskazanych w art. 9 RODO. Oznacza to, że wykonawcy powinni przekazywać wyłącznie te kategorie danych i wyłącznie w takim zakresie, jaki jest niezbędny dla celów postępowania. Znowelizowane przepisy dają uprawnienie zamawiającego do zamieszczania w postanowieniach umowy wymogu przedstawienia przez wykonawcę lub podwykonawcę oświadczenia o zatrudnieniu pracownika na podstawie umowy o pracę, poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika, oświadczenia o zatrudnieniu pracownika na podstawie umowy o pracę, poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika, innych dokumentów zawierających informacje, w tym dane osobowe niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę oraz zakres obowiązków pracownika.

Ustawa wdrażająca RODO wprowadziła zmiany również w prawie bankowym i ubezpieczeniowym, ustawie o działalności ubezpieczeniowej i reasekuracyjnej.

W końcu przewidziano możliwość wyznaczenia zastępcy inspektora ochrony danych osobowych (i obowiązek zawiadomienia o jego wyznaczeniu Prezesa UODO), co oznacza, że właściwy inspektor będzie mógł „legalnie” jechać na urlop.

Warto wspomnieć i zaznaczyć, że w ustawie nie ma przepisów przejściowych, poza trzema drobnymi przypadkami, które nie dotyczą spraw pracowniczych. Zatem pracodawcy muszę zacząć stosować zmiany z dnia na dzień. Projekt ustawy był dostępny w tym kształcie od listopada 2018 r., dlatego część przedsiębiorców dostosowała swoje procesy śledząc dosyć długi proces legislacyjny. Ustawa sektorowa jest aktem obszernym, liczącym ponad 200 stron, wraz z uzasadnieniem liczącym ok. 500 stron, stąd nasuwa się od razu pytanie o wagę tych zmian, niektóre są tak naprawdę kosmetyczne. Te istotne z punktu widzenia dealera zostały omówione w niniejszym artykule.

Autorem tekstu jest radca prawny Małgorzata Miller

Wpisana na listę OIRP w Poznaniu, specjalizuje się w obsłudze przedsiębiorców z branży motoryzacyjnej. Świadczy doradztwo prawne w zakresie roszczeń wynikających z rękojmi, gwarancji. Opiniuje umowy kredytu, leasingu, prawnych zabezpieczeń zapłaty wierzytelności. Prowadzi spory z ubezpieczycielami. Prowadzi szkolenia dla branży motoryzacyjnej, w tym szkolenia z zakresu RODO. Ponadto, posiada duże doświadczenie w bieżącym doradztwie prawnym na rzecz instytucji finansowych.