W związku z przesłaniem do Ministerstwa Cyfryzacji naszych uwag i propozycji zmian do przedstawionego projektu ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych (tekst projektu dostępny tutaj), postanowiliśmy zaprezentować część z nich. Stanowisko do projektu ustawy o ochronie danych osobowych zostało zamieszczone w odrębnym artykule (tekst dostępny tutaj). Zapraszamy zatem do zapoznania się z zagadnieniami, które naszym zdaniem budzą wątpliwości i na które warto zwrócić uwagę.
| Opinia do regulacji budzących wątpliwości ujętych w projekcie ustawy „Przepisy wprowadzające ustawę o ochronie danych osobowych” | ||
| Treść obecnej regulacji ujętej w projekcie | Proponowana treść j regulacji do projektu | Uzasadnienie potrzeby dokonania zmiany |
| Art. 5
1) art. 22(1) otrzymuje brzmienie: „Art. 22(1) § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) adres do korespondencji; 4) adres poczty elektronicznej albo numer telefonu; 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. § 2. Pracodawca żąda od pracownika podania danych osobowych obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. § 3. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca żąda udokumentowania danych osobowych osób, o których mowa w § 1 i 2, jeżeli uzna za konieczne ich potwierdzenie. § 4. Przetwarzanie danych osobowych, o których mowa w § 1 – 3, jest możliwe tylko w zakresie niezbędnym do realizacji stosunku pracy. §. 5. Przetwarzanie danych osobowych, uzyskanych na podstawie § 1 pkt 3 i 4 po nawiązaniu stosunku pracy jest możliwe tylko w przypadku, gdy pracownik wyrazi na to zgodę, o której mowa w art. 22(2) § 1.”
|
Art. 5
1) art. 22(1) otrzymuje brzmienie: „Art. 22(1) § 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) adres do korespondencji; 4) wykształcenie; 5) przebieg dotychczasowego zatrudnienia. § 2. Pracodawca, oprócz danych wskazanych w § 1 ma prawo przetwarzać również dane o adresie poczty elektronicznej lub numerze telefonu osoby ubiegającej się o zatrudnienie w przypadku, gdy osoba ta dobrowolnie podała te dane w ramach prowadzonej przez pracodawcę rekrutacji. §3 Pracodawca żąda od pracownika podania danych osobowych obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. § 4. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca żąda udokumentowania danych osobowych osób, o których mowa w § 1 i 3, jeżeli uzna za konieczne ich potwierdzenie. § 5. Przetwarzanie danych osobowych, o których mowa w § 1 – 4, jest możliwe tylko w zakresie niezbędnym do realizacji stosunku pracy. §. 6. Przetwarzanie danych osobowych, uzyskanych na podstawie § 1 pkt 3 oraz § 2 po nawiązaniu stosunku pracy jest możliwe tylko w przypadku, gdy pracownik wyrazi na to zgodę, o której mowa w art. 22(2) § 1.”
|
Jakkolwiek zamysł rozszerzenia zakresu danych osobowych jakie pracodawca może przetwarzać na potrzeby przeprowadzenia procesu rekrutacji, a następnie realizacji stosunku pracy, o adres e-mail i numer telefonu kandydata do pracy (pracownika) jest słuszny, albowiem w dobie społeczeństwa informacyjnego większość rekrutacji prowadzona jest z wykorzystaniem adresu e-mail lub telefonu, to nie sposób dostrzec również negatywnej strony zaproponowanej regulacji. W porównaniu do obecnego brzmienia art. 221 K.P. zmianie uległa dyspozycja § 1 tegoż przepisu. Obecnie „Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie” podania określonych w tym przepisie danych. Oznacza to, że Pracodawca prowadząc rekrutację w oparciu o art. 221 K.P., może wymagać przekazania przez kandydata do pracy wszystkich określonych w tym przepisie informacji lub tylko części z nich. Zaproponowane w projekcie brzmienie „Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych” sugeruje, że zamysłem prawodawcy jest wykluczenie uznaniowości pracodawcy (możliwości decydowania), które z wymienionych danych chce ażeby kandydat do pracy mu podał. Dodatkowo, prawodawca rozszerzył katalog danych jakie pracodawca „musi” przetwarzać w celu przeprowadzenia rekrutacji o adres poczty elektronicznej oraz o numer telefonu. Powyższe wprost prowadzi do sytuacji, w której zgodnie z literalnym brzmieniem regulacji, pracodawca nie będzie mógł przeprowadzić rekrutacji (wskazuje na to sformułowanie „żąda”) bez zebrania wszystkich z wymienionych w katalogu (pkt 1-6) danych osobowych, zaś kandydat do pracy nie będzie mógł ich nie podać. Powstaje zatem pytanie co z osobami, które nie posiadają adresu e-mail bądź telefonu, lub z jakichś względów nie chcą ich ujawniać potencjalnemu przyszłemu pracodawcy? Pomimo, że w większości przypadków prowadzonych rekrutacji przebiegają one z wykorzystaniem w/w kanałów komunikacji, to w dalszym ciągu część osób aplikujących, wybiera jednak tradycyjną formę. Brak jest danych statystycznych jaka liczba obywateli w Polsce posiada adres e-mail oraz numer tel. z tych też względów nie jest wiadome jaką liczbę osób proponowana regulacja wykluczy z rynku pracy lub zmusi do poniesienia dodatkowych kosztów (zakupu tel. /komputera z dostępem do Internetu). Proponowana regulacja da możliwość pracodawcom zasłania się przepisem dla nieuwzględniania aplikacji, w których nie wskazano np. adresu e-mail., co wprost może zmierzać do dyskryminacji w zatrudnianiu osób uboższych, starszych lub z innych względów nie będących w stanie podać w/w danych osobowych. Tutaj warto zwrócić uwagę, że w oparciu o obecnie obowiązujące przepisy prawa pracy oraz biorąc pod uwagę wymogi wynikające z ustawy o ochronie danych osobowych, to kandydat do pracy sam decyduje, czy chce podać w swojej aplikacji , przyszłemu pracodawcy, dane w postaci numeru tel. lub adresu e-mail. Zaproponowana w projekcie treść art. 221 K.P. zmienia sytuację kandydatów do pracy albowiem przestają oni mieć prawo do podania tych danych oraz wskazania preferowanego kanału komunikacji, a powstaje po ich stronie obowiązek podania tych danych.
Ponadto, należy zwrócić uwagę, że zgodnie z zaproponowanym brzmieniem § 3 pracodawca żąda udokumentowania danych osobowych, o których mowa w § 1 i 2, a więc również o numerze tel. i adresie e-mail, jeżeli uzna za konieczne ich potwierdzenie. Powstaje zatem wątpliwość jak miałoby przebiegać ewentualne „dokumentowanie” przez kandydata numeru tel. bądź adresu e-mail? Jakie „dowody”, dokumenty potwierdzające prawdziwość tych danych powinien przedstawić? W celu usunięcia pojawiających się wątpliwości oraz mając powyższe na względzie proponujemy nowelizację art. 221 K.P. zgodnie z przedstawioną propozycją. |
| Art. 5
2) po art. 22(1) dodaje się art. 22(2) – 22(4) w brzmieniu: „Art. 22(2) § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 22(1) § 1 i 2 jest dopuszczalne tylko wtedy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. § 2. Przetwarzanie przez pracodawcę danych biometrycznych obejmuje tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. § 3. Brak zgody, o której mowa w § 1 i 2, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. § 4. Przetwarzanie, o którym mowa w § 1 i 2, dotyczy danych osobowych udostępnianych na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. § 5. Przetwarzanie danych osobowych obejmujących dane: 1) o nałogach; 2) o stanie zdrowia; 3) o życiu seksualnym lub orientacji seksualnej − nie jest możliwe nawet za zgodą, o której mowa w § 1. § 6. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób gromadzenia danych biometrycznych, uwzględniając zapewnienie ochrony przetwarzanych danych biometrycznych odpowiedniej do zagrożeń. Art. 22(3)§ 1 Pracodawca żąda podania danych osobowych: 1) innych niż określone w art. 22(1) § 1 i 2, 2) wskazanych w art. 22(2) § 2 i 5 − jeżeli obowiązek ich podania wynika z odrębnych przepisów lub gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. § 2. Przetwarzanie danych osobowych, o których mowa w § 1, jest możliwe tylko w zakresie niezbędnym do realizacji tego obowiązku. Art. 22(4).§ 1. Dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca podejmuje decyzję o wprowadzeniu szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring), jeżeli uzna to za koniczne. Monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika. § 2. Monitoring nie obejmuje pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni. § 3. Dane osobowe uzyskane w wyniku zastosowania monitoringu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres niezbędny dla realizacji tych celów. § 4. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy nie później niż 14 dni przed uruchomieniem monitoringu. Pracodawca przed dopuszczeniem pracownika do pracy informuje go o stosowaniu monitoringu.”;
|
Art. 5
2) po art. 22(1) dodaje się art. 22(2) – 22(4) w brzmieniu: „Art. 22(2) § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 22(1) § 1 – 3 jest dopuszczalne tylko wtedy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. § 2. Przetwarzanie przez pracodawcę danych biometrycznych obejmuje tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. § 3. Brak zgody, o której mowa w § 1 i 2, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. § 4. Przetwarzanie, o którym mowa w § 1 i 2, dotyczy danych osobowych udostępnianych na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. § 5. Przetwarzanie danych osobowych obejmujących dane: 1) o nałogach; 2) o stanie zdrowia; 3) o życiu seksualnym lub orientacji seksualnej − nie jest możliwe nawet za zgodą, o której mowa w § 1. § 6. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób gromadzenia danych biometrycznych, uwzględniając zapewnienie ochrony przetwarzanych danych biometrycznych odpowiedniej do zagrożeń. Art. 22(3)§ 1 Pracodawca żąda podania danych osobowych: 1) innych niż określone w art. 22(1) § 1 i 3, 2) wskazanych w art. 22(2) § 2 i 5 − jeżeli obowiązek ich podania wynika z odrębnych przepisów lub gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. § 2. Przetwarzanie danych osobowych, o których mowa w § 1, jest możliwe tylko w zakresie niezbędnym do realizacji tego obowiązku. Art. 22(4).§ 1. Dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca podejmuje decyzję o wprowadzeniu szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring), jeżeli uzna to za koniczne. Monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika. § 2. Monitoring nie obejmuje pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni. § 3. Dane osobowe uzyskane w wyniku zastosowania monitoringu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres niezbędny dla realizacji tych celów. § 4. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy nie później niż 14 dni przed uruchomieniem monitoringu. Pracodawca przed dopuszczeniem pracownika do pracy informuje go o stosowaniu monitoringu.”;
|
Proponowana zmiana podyktowana jest zaproponowanym nowym brzmieniem art. 5 pkt 1 zgodnie z powyżej przedstawioną argumentacją.
|
| Art. 10. W ustawie z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2016 r. poz. 233, 1579 i 2261 oraz z 2017 r. poz. 1139) po rozdziale 1 dodaje się Rozdział 1a w brzmieniu:
„Rozdział 1a Przetwarzanie danych osobowych Art. 5a. 1. Administratorami danych osobowych przetwarzanych w celu realizacji zadań, obowiązków lub uprawnień wynikających z ustawy są odpowiednio: 1) Minister Sprawiedliwości – w przypadku danych osobowych przetwarzanych: a) w toku postępowań administracyjnych i innych, prowadzonych na podstawie ustawy w Ministerstwie Sprawiedliwości, b) w ramach kontroli uchwał organów samorządu radców prawnych, c) podczas wykonywania przewidzianych przez ustawę kompetencji nadzorczych nad postępowaniami dyscyplinarnymi w sprawach radców prawnych, d) na potrzeby wykonywania zadań związanych z działalnością zespołu do przygotowania pytań testowych na egzamin wstępny dla kandydatów na aplikantów adwokackich i radcowskich oraz zespołu do przygotowania zadań na egzamin radcowski, a także komisji egzaminacyjnych do spraw aplikacji radcowskiej przy Ministrze Sprawiedliwości, komisji egzaminacyjnych do przeprowadzenia egzaminu radcowskiego i komisji egzaminacyjnych II stopnia przy Ministrze Sprawiedliwości; 2) Krajowa Rada Radców Prawnych – w przypadku danych osobowych przetwarzanych w toku prowadzonych przez organy samorządu radców prawnych: a) postępowań administracyjnych, postępowań w zakresie skarg i wniosków oraz innych przewidzianych przez ustawę lub wydane na podstawie ustawy akty prawne organów samorządu radców prawnych postępowań dotyczących radców prawnych, aplikantów radcowskich lub osób ubiegających się o wpis na listę radców prawnych lub listę aplikantów radcowskich, a także osób przystępujących do egzaminu wstępnego na aplikację radcowską i egzaminu radcowskiego, b) w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawie oraz nadzoru wynikającego z ustawy, c) postępowań dyscyplinarnych wobec radców prawnych i aplikantów radcowskich; 3) rady okręgowych izb radców prawnych – w przypadku danych osobowych przetwarzanych: a) w toku prowadzonych postępowań administracyjnych, postępowań w zakresie skarg i wniosków oraz innych przewidzianych przez ustawę lub wydane na podstawie ustawy akty prawne organów samorządu radcowskiego postępowań dotyczących radców prawnych, aplikantów radcowskich lub osób ubiegających się o wpis na listę radców prawnych lub listę aplikantów radcowskich, a także osób przystępujących do egzaminu wstępnego na aplikacje radcowską i egzaminu radcowskiego, b) w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawie oraz nadzoru wynikającego z ustawy; 4) komisje egzaminacyjne do spraw aplikacji radcowskiej przy Ministrze Sprawiedliwości, komisje egzaminacyjne do przeprowadzenia egzaminu radcowskiego i komisje egzaminacyjne II stopnia przy Ministrze Sprawiedliwości – w przypadku danych osobowych przetwarzanych w toku postępowania o dopuszczenie do egzaminu wstępnego na aplikację radcowską i egzaminu radcowskiego oraz w toku postępowania odwoławczego od wyników tych egzaminów; 5) radcowie prawni – w przypadku danych osobowych przetwarzanych w ramach wykonywania zawodu. 2. Do przetwarzania danych osobowych, o których mowa w ust. 1, przepisów art. 13-15 ust. 1 i 3, 18, 19 i 21 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zwane dalej „rozporządzeniem 2016/679” – nie stosuje się. 3.Wyłączenia, o których mowa w ust. 2, stosuje się w przypadku danych osobowych niezbędnych do zapewnienia prawidłowej realizacji zadań, obowiązków lub uprawnień, o których mowa w ust. 1. 4. Przepisu art. 16 rozporządzenia 2016/679 nie stosuje się, – o ile przepisy szczególne przewidują odrębny tryb sprostowania. 5. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom wynikającym z procedur prawnych, w których toku są przetwarzane. Art. 5b. W przypadku danych osobowych, które radca prawny lub podmiot przetwarzający otrzymali lub pozyskali w wyniku lub w ramach działania objętego obowiązkiem zachowania tajemnicy zawodowej , przepisów art. 58 ust. 1 lit. e i f ogólnego rozporządzenia o ochronie danych nie stosuje się. Art. 5c. Okres przechowywania danych osobowych, o których mowa w art. 5a ust.1, ustala administrator zgodnie z celami ich przetwarzania, biorąc pod uwagę przepisy odrębne dotyczące terminów.”. |
Wątpliwości budzi treść art. 5a ust. 1 pkt 5, z którego wynika, że radcowie prawni są administratorami danych osobowych w przypadku danych osobowych przetwarzanych w ramach wykonywania zawodu. Powyższą regulację należy oceniać w kontekście postanowień art. 8 ust. 1 w brzmieniu obecnie obowiązującym ustawy o radcach prawnych. Zgodnie z powyższym: „Radca prawny wykonuje zawód w ramach stosunku pracy, na podstawie umowy cywilnoprawnej, w kancelarii radcy prawnego oraz w spółce (..)”
Przedstawiona w projekcie ustawy propozycja, zmierza do uznania, że w każdym przypadku przetwarzania danych osobowych przez radcę prawnego w ramach wykonywanego zawodu, jest on wobec tych danych administratorem. Oznacza to, że musi wypełniać wszelkie obowiązki wynikające z RODO . Powyższe budzi wątpliwości, albowiem nie sposób zgodzić się z zaproponowaną regulacją jakoby radca prawny świadczący obsługę prawną (wykonujący zawód) w ramach stosunku pracy czy umowy cywilnoprawnej mający tę samą pozycję (z punktu widzenia organizacyjnego) jak każdy inny pracownik przedsiębiorstwa (organu państwowego) stawał się odrębnym administratorem wobec danych z którymi zapoznaje się świadcząc obsługę prawną, a więc samodzielnie decydował o celach i środkach przetwarzania, w tym dobierał środki ochrony tych danych odpowiednie do zagrożeń i kategorii danych. Radca prawny świadcząc obsługę prawną przedsiębiorcy w jego siedzibie (np. który go zatrudnia) posługuje się wszelkimi narzędziami i środkami technicznymi udostępnionymi na danym stanowisku pracy temu radcy prawnemu. Stosuje się on do polityk i procedur jakie wprowadził administrator danych (pracodawca) w celu ochrony tych danych. Przyjęcie powyższej koncepcji (radca prawny staje się odrębnym administratorem danych), doprowadzi do sytuacji w której wszelkie dane osobowe (np. pracowników, klientów, dłużników i innych osób), których dane przetwarzane są u pracodawcy, będą udostępniane radcy prawnemu w celu wykonywania zawodu. Za bezpieczeństwo tak udostępnionych danych oraz wypełnienie wszelkich obowiązków nie uchylonych art. 5a projektu ustawy wynikających z RODO, z chwilą ich udostępnienia odpowiedzialność ponosić będzie radca prawny (tj. pracownik, zleceniobiorca). Jest to swoisty wyjątek wśród zawodów wykonywanych w Polsce w ramach stosunku pracy, czy współpracy w oparciu o umowę cywilnoprawną, gdy osoba fizyczna przetwarzając dane osobowe u swojego pracodawcy (zleceniodawcy), w jego siedzibie, w ramach określonych obowiązków (etatu) była odrębnym administratorem tych danych. Zaproponowane zatem brzmienie, budzi ogromne wątpliwości uznając każdy przypadek przetwarzania przez radcę prawnego danych osobowych za tożsamy, zrównując go ze świadczeniem usług wobec osób fizycznych w drodze indywidualnej praktyki, wobec których to danych radca prawny z pewnością jest administratorem danych. Mając powyższe na względzie proponuje się całkowite przeredagowanie brzmienia art. 5a tak, ażeby rozdzielić przypadki w których radca prawny będzie administratorem danych (np. dane swoich klientów) od przypadków w których będzie je przetwarzał u administratora i na jego rzecz bądź też stanie się podmiotem przetwarzającym dane (tj. procesorem).
|
|
| Art. 41. W ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2016 r. poz. 1988 z późn. zm. 3)) wprowadza się następujące zmiany:
6) art. 106d otrzymuje brzmienie: „Art. 106d. 2. Do przetwarzania danych osobowych zgodnie z ust. 1 nie stosuje się art. 13 rozporządzenia nr 2016/679 w zakresie, w jakim dane te są niezbędne do zapewnienia prawidłowej realizacji zadań, o których mowa w ust. 1.
|
Art. 41. W ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2016 r. poz. 1988 z późn. zm. 3)) wprowadza się następujące zmiany:
6) art. 106d ust. 2 otrzymuje brzmienie: Art. 106d. 2. Do przetwarzania danych osobowych zgodnie z ust. 1 nie stosuje się art. 13 i 14 rozporządzenia nr 2016/679 w zakresie, w jakim dane te są niezbędne do zapewnienia prawidłowej realizacji zadań, o których mowa w ust. 1.
|
Zgodnie z proponowanym brzmieniem art. 106d ust. 1 Prawa bankowego, do danych zebranych i udostępnianych pomiędzy podmiotami wskazanymi w ust. 1 tegoż art. nie stosuje się wymogów z art. 13 RODO, a więc obowiązków informacyjnych. Wydaje się zatem, że zamysłem projektodawcy było wykluczenie sytuacji w której osoba (podmiot) podejrzany przez np. instytucję finansującą o popełnienie przestępstw, nie był jednocześnie informowany o okoliczności przetwarzania jego danych właśnie dla celów przeciwdziałania nadużyciom. Dziwi zatem fakt, że projektodawca wyłączył tylko konieczność stosowania art. 13 RODO, z którego wynika tzw. pierwotny obowiązek informacyjny (w przypadku zbierania danych bezpośrednio od osoby fizycznej), a pominął obowiązek informacyjnych tzw. wtórny (art. 14 RODO), który odnosi się do sytuacji, gdy dane pozyskane są z innego źródła (od innego administratora danych). Powyższe oznacza, że podmiot który zebrał dane jest zwolniony z konieczności wypełnienia obowiązku informacyjnego przewidzianego art. 13 RODO wobec osoby której dane dotyczą, ale w sytuacji gdy wymieni się tymi danymi z innym podmiotem , zagrożonych działaniem podejrzanego (na co zezwala art. 106d ust.1 projektu), odbiorca danych będzie zobowiązany już wypełnić wtórny obowiązek informacyjny przewidziany art. 14 RODO, który nie został wyłączony na podstawie przedmiotowej nowelizacji. Powyższe jest tym bardziej dziwne, że wtórny obowiązek informacyjny jest z reguły trudniejszy, bardziej kosztowny do wypełnienia, albowiem wymaga nawiązania kontaktu z osobą której dane otrzymał ten odbiorca danych od innego administratora danych. Wydaje się zatem zasadne wykluczenie również stosowania art. 14 RODO wobec danych przetwarzanych (udostępnianych) w celu realizacji zadań przewidzianych ust. 1 tegoż artykułu. Mając powyższe na względzie proponujemy nowe brzmienie art. 106d ust. 2 zgodnie z przedstawioną propozycją |