Ustawa wdrażająca RODO z podpisem Prezydenta

Celem ustawy jest zharmonizowanie przepisów poszczególnych ustaw z regulacjami wynikającymi z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej „RODO”). 

RODO obowiązuje bezpośrednio od dnia 25 maja 2018 r. Począwszy od tej daty polski porządek prawny musi zapewniać skuteczne stosowanie przepisów tego rozporządzenia. W tym celu poza uchwaleniem ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, konieczne stało się również dokonanie szeregu zmian w obowiązujących ustawach. Jak wskazano w uzasadnieniu do projektu ustawy, w celu zapewniania spójnego podejścia, zdecydowano się wprowadzić konieczne zmiany w jednym akcie prawnym.

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dokonuje nowelizacji 162 ustaw. Generalnie zmiany te mają na celu usunięcie przepisów, które są sprzeczne z RODO jak również usunięcie przepisów, które powielają rozwiązania zawarte w RODO. Celem nowelizacji jest jednak również dostosowanie rozwiązań przewidzianych w RODO do specyfiki polskiego porządku prawnego.

Ustawa wprowadza liczne zmiany (162 nowelizowane ustawy) m.in. w ustawach obejmujących sektor:

1. Ubezpieczeniowy – dokonano nowelizacji ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych. Zmiany wprowadzone do tej ustawy obejmują: określenie podstawy prawnej przetwarzania danych osobowych i dozwolonego zakresu przetwarzania danych, dodano przepisy umożliwiające profilowanie, czyli podejmowanie decyzji w oparciu o zautomatyzowane przetwarzanie danych, uregulowano kwestię przetwarzania danych wrażliwych oraz wskazano okres przetwarzania danych osobowych.
2. Bankowy – dokonano mi.in. nowelizacji ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe. Zmiany wyprowadzone do ustawy obejmują: określenie ograniczeń w stosowaniu RODO (wyłączono obowiązek administratora przewidziany w art. 15 RODO w zakresie, w jakim jest to niezbędne do prawidłowej realizacji zadań dotyczących zapobiegania przestępstwom oraz przeciwdziałania praniu pieniędzy i finansowania terroryzmu), umożliwiono profilowanie w procesie oceny zdolności kredytowej i analizy ryzyka kredytowego.
3. Kultury – dokonano m.in. nowelizacji ustawy z dnia 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej. Zmiany wprowadzone do ustawy obejmują: wskazanie podstawy prawnej przetwarzania danych osobowych, określenie dozwolonego zakresu przetwarzania danych oraz wskazanie okresu przetwarzania danych osobowych.
4. Zdrowia - dokonano m.in. nowelizacji ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Zmiany wprowadzone do ustawy obejmują: wskazanie podmiotów wykonujących obowiązki administratora danych, określenie warunków pobierania opłat za udostępnienie dokumentacji medycznej, wprowadzenie obowiązku zachowania w tajemnicy informacji związanych z pacjentem przez osoby, które w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych uzyskały dostęp do tych informacji, obowiązek zachowania tajemnicy istnieje także po śmierci pacjenta.
5. Rodziny i pracy – dokonano m.in. nowelizacji ustawy z dnia 26 czerwca 1976 r. – Kodeks pracy. Zmiany wprowadzone ustawą obejmują: określenie podstaw prawnych przetwarzania danych osobowych, wskazanie kategorii danych osobowych, które są niezbędne do pozyskania przez pracodawcę w związku z podejmowaniem przez niego działań przed zawarciem umowy o pracę oraz po jej zawarciu, uregulowano kwestię przetwarzania danych wrażliwych, w tym możliwość pobierania danych biometrycznych od pracownika w sytuacjach, w których podanie takich danych będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony, wprowadzono regulację wyłączającą możliwość stosowania monitoringu pomieszczeń zakładowej organizacji związkowej oraz doprecyzowano przepisy dotyczące instalacji monitoringu wizyjnego w pomieszczeniach sanitarnych.
6. Spraw wewnętrznych i administracji – dokonano m.in. nowelizacji ustawy z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej. Zmiany wprowadzone do ustawy obejmują: wskazanie podstawy prawnej przetwarzania danych osobowych, wskazanie podmiotów wykonujących obowiązki administratora, określenie podmiotów będących współadministratorami danych, a także wskazanie okresu przechowywania danych osobowych.
7. Środowiska - dokonano m.in. nowelizacji ustawy z dnia 14 grudnia 2012 r. o odpadach. Zmiany wprowadzone do ustawy obejmują: wskazanie podstawy prawnej przetwarzania danych osobowych, wskazanie podmiotu wykonującego obowiązki administratora, doprecyzowanie minimalnych warunków zabezpieczenia danych, a także wskazanie okresu przechowywania danych osobowych.
8. Edukacji narodowej - dokonano m.in. nowelizacji ustawy z dnia 7 września 1991 r. o systemie oświaty. Zmiany wprowadzone do ustawy obejmują: wskazanie podstawy prawnej przetwarzania danych osobowych, nałożenie na nauczycieli oraz innych pracowników przedszkoli i innych form wychowania przedszkolnego, szkół, placówek, organów prowadzących, organów sprawujących nadzór pedagogiczny oraz innych podmiotów realizujących zadania i obowiązki określone w ustawie, realizujących czynności związane z przetwarzaniem tzw. danych wrażliwych, obowiązku zachowania w tajemnicy informacji, które powzięli w związku z wykonywaniem pracy lub pełnieniem funkcji, wprowadzenie wymogu udzielenia wyraźnej zgody przez ucznia, a w przypadku ucznia niepełnoletniego przez rodzica, na przetwarzanie określonych informacji w konkretnych celach.
9. Inwestycji i rozwoju - dokonano m.in. nowelizacji ustawy z dnia 7 lipca 1994 r. – Prawo budowlane. Wprowadzono ograniczenie stosowania art. 15 ust. 1 lit g RODO w zakresie wystąpień zawierających dane osobowe osób trzecich, które nie skutkują wszczęciem postępowania administracyjnego i tylko w zakresie, w jakim ma to wpływ na ochronę praw i wolności osób, których dane dotyczą.
10.  Przedsiębiorczości i technologii - dokonano m.in. nowelizacji ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych. Zmiany wprowadzone do ustawy obejmują określenie zakresu przetwarzanych danych osobowych przez uczestników systemu udostępniania informacji gospodarczych, do którego nie stosuje się niektórych przepisów RODO. Określono również ograniczenia w stosowaniu art. 19 oraz art. 21 ust. 1 RODO.
11. Obrony narodowej - dokonano m.in. nowelizacji ustawy z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych. Zmiany wprowadzone do ustawy obejmują: wskazanie podstawy prawnej przetwarzania danych osobowych, określenie dozwolonego zakresu przetwarzania danych osobowych, wskazanie okresu przetwarzania danych osobowych oraz wprowadzenie obowiązku zachowania tajemnicy zawodowej przez osoby przetwarzające szczególne kategorie danych osobowych.
12. Sprawiedliwości - dokonano m.in. nowelizacji ustawy z dnia 6 lipca 1982 r. o radcach prawnych. Zmiany wprowadzone ustawą obejmują wskazanie, że obowiązek zachowania tajemnicy zawodowej nie ustaje w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Osobowych. Określono również okres przetwarzania danych osobowych, a także ograniczenia w stosowaniu niektórych przepisów RODO (art. 15 ust. 1 i 3, art. 18, art. 19 – stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez radcę prawnego tajemnicy zawodowej). Analogiczne zmiany wprowadzono również do ustawy z dnia 26 maja 1982 r. – Prawo o adwokaturze oraz w ustawie z dnia 14 lutego 1991 r. – Prawo o notariacie. 
13. Infrastruktury - dokonano m.in. nowelizacji ustawy z dnia 21 marca 1985 r. o drogach publicznych. Zmiany wprowadzone ustawą obejmują wskazanie podstaw prawnych przetwarzania danych osobowych, uregulowanie kwestii związanych z zabezpieczeniami mającymi na celu zapobieganie nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu danych. Określono także ograniczenia w stosowaniu niektórych przepisów RODO – umożliwiono realizację obowiązku przewidzianego w art. 13 RODO pobierając opłatę lub przez podanie informacji na stronie podmiotowej Biuletynu Informacji Publicznej. Uregulowano również kwestię przetwarzania danych wrażliwych oraz tryb udostępniania danych zgromadzonych przez zarządców dróg.

Ustawa, co do zasady, wejdzie w życie po upływie 14 dni od dnia ogłoszenia. 

Źródło: https://www.prezydent.pl