W niniejszym tekście przedstawiam najistotniejsze zmiany w przepisach sektorowych zaproponowane przez ustawodawcę, a dokładnie zmiany w ustawach istotnych punktu widzenia obywateli.
Prawo telekomunikacyjne
Jedną z najistotniejszych zmian dotyczących ustawy Prawo Telekomunikacyjne jest uregulowanie zasad dotyczących profilowania. W celu dokonania oceny wiarygodności płatniczej użytkownika końcowego, dostawca usług będzie mógł przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie, o ile wdroży on właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
Uchylone natomiast zostają przepisy art. 174a – 174d. Zaproponowana przez ustawodawcę zmiana zdaje się być całkowicie logiczna w tym zakresie, gdyż samo RODO nakłada już obowiązek poinformowania organu nadzorczego o własnych naruszeniach.
Prawo autorskie i prawa konkretne
W ustawie o prawie autorskim i prawach pokrewnych całkowicie zmieniony zostanie art. 352 ust. 1. Zmiany dotyczyć mają wiec pisemnego oświadczenia o woli otrzymywania wynagrodzenia za użyczanie. Zgodnie z zaproponowaną nowelizacją powyższe oświadczenie będzie musiało zawierać:
1) imię i nazwisko twórcy albo twórców utworu wyrażonego słowem oraz pseudonim, jeżeli był używany w odniesieniu do danego utworu;
2) imię i nazwisko tłumacza albo tłumaczy utworu wyrażonego słowem oraz pseudonim, jeżeli był używany w odniesieniu do danego utworu;
3) tytuł utworu wyrażonego słowem;
4) nazwę wydawcy utworu wyrażonego słowem;
5) rok wydania utworu wyrażonego słowem;
6) imię, nazwisko lub nazwę oraz adres zamieszkania lub siedziby składającego oświadczenie;
7) w przypadku podmiotów, o których mowa w art. 28 ust. 5 pkt 1-3, wskazanie, do której z wymienionych w art. 28 ust. 5 kategorii uprawnionych należy dany podmiot, a także, jeżeli istnieje wielu uprawnionych, wskazanie wielkości udziału uprawnionego składającego oświadczenie, ustalonego w oparciu o umowę zawartą z wydawcą wraz z jej kopią;
8) dane niezbędne do zrealizowania płatności, w tym numer rachunku bankowego;
9) w przypadku wydawców, informację o numerze ISBN utworu wyrażonego słowem;
10) w przypadku spadkobierców uprawnionych, o których mowa w art. 28 ust. 5 pkt 1-3, do oświadczenia dołącza się dokumenty potwierdzające przejście autorskich praw majątkowych do utworu wyrażonego słowem w drodze dziedziczenia oraz wskazuje przysługujący im udział.”;
Dodatkowo w ustawie ma zostać dodany całkowicie nowy rozdział 131 zatytułowany „Ochrona danych osobowych”. Ma on wskazywać dokładny katalog danych jakie w ustawowo wskazanych zadaniach będzie mógł przetwarzać Minister do spraw kultury i ochrony dziedzictwa narodowego; organizacje zbiorowego zarządzania prawami autorskimi lub prawami pokrewnymi oraz archiwa, instytucje oświatowe, uczelnie, instytuty badawcze, biblioteki i muzea.
Ponadto ograniczeniu podlegają prawa osób wynikające z art. 12 i 15 RODO. Prawa osób realizowane będą bezpłatnie raz na sześć miesięcy, w pozostałych przypadkach administrator danych ma prawo pobrać opłatę w wysokości odpowiadającej kosztom sporządzenia odpowiedzi lub kopii danych.
Ponadto niemal już tradycyjnie zwolniono administratora danych z obowiązku zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych ( atr. 34 RODO ) jeśli ten w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych wyda komunikat o naruszeniu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej.
Prawo energetyczne
W ustawie z dnia 10 kwietnia 1997 r. – Prawo energetyczne zakłada, że dane na licznikach zainstalowanych u odbiorców końcowych powinny być chronione na zasadach ogólnych, co za tym idzie dane na tych urządzeniach będą musiały być odpowiednio zabezpieczone, co będzie się wiązało z dodatkowymi wydatkami dla przedsiębiorców z branży energetycznej.
Prawo o ruchu drogowym
Ustawodawca proponuję zmiany dotyczące katalogu danych jakie maja być przetwarzane w centralnej ewidencji pojazdów oraz centralnej ewidencji kierowców. W przypadku centralnej ewidencji pojazdów katalog ma zawierać: imię i nazwisko, numer PESEL, a w przypadku osoby nieposiadającej numeru PESEL – serię, numer i nazwę dokumentu potwierdzającego tożsamość, data i miejsce urodzenia, adres zamieszkania. Zakres danych w centralnej ewidencji kierowców ma ponadto zawierać: unikalny numer identyfikujący profil kandydata na kierowcę, fotografię, wzór podpisu, numer telefonu, adres poczty elektronicznej.
Ponadto administrator danych i informacji zgromadzonych w tych ewidencjach jest zwolniony z obowiązku informacyjnego wynikającego z przepisów RODO. Dodatkowo prawo dostępu przysługujące osobie, której dane dotyczą, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawi sprzeciwu nie mają zastosowania w odniesieniu do danych zawartych w tych ewidencjach.
Dodatkowo administrator danych zawartych w powyższych ewidencjach nie zawiadamia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych jeśli w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych wyda komunikat o naruszeniu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej.
Prawo o bibliotekach
Ustawodawca zaproponował jakie dane osobowe należy przetwarzać w zakresie odwoływania i powoływania Rady do Spraw Narodowego Zasobu Bibliotecznego. Enumeratywnie zostały też wymienione dane przetwarzane przez Dyrektora Biblioteki Narodowej oraz biblioteki.
Ciekawym zabiegiem jest zwolnienie szeroko rozumianych bibliotek z zasady rozliczalności wywodzącej się z RODO do enumeratywnie wskazanych w ustawie danych osobowych.
Prawo bankowe
W przypadku pracowników mających dostęp do danych dotyczących banku lub klientów banku i osoby ubiegające się o zatrudnienie, bank może żądać od pracownika i tej osoby przedłożenia informacji dotyczących karalności, w tym informacji czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym. Dodatkowo bank może żądać od pracowników danych biometrycznych takich jak odciski palców, próbki głosu obraz rogówki i sieci żył palców jeśli potrzebne jest to do kontroli dostępu.
Uregulowane zostały też zagadnienia dotyczące profilowania osób fizycznych, bank będzie mógł używać go w celu oceny zdolności kredytowej oraz zapewnienia bezpieczeństwa przechowywanych środków pieniężnych.
Bank ma też prawna podstawę do kserowania dowodów osobistych swoich klientów. („Art. 112b. 1. Banki w zakresie realizowanych zadań mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych”).
Warto zauważyć, iż banki zwolnione będą z niektórych obowiązków, ustanowionych przez przepisy RODO, ciążących na administratorach danych osobowych. (np. banki nie muszą informować klientów o okresie przez jaki ich dane będą przetrzymywane przez bank).
Ustawa o spółdzielniach mieszkaniowych, Ustawa o własności lokali
W ustawie o spółdzielniach mieszkaniowych dodano zapis regulujący kto ma zostać administratorem danych osobowych w zakresie danych osobowych członków spółdzielni oraz osób niebędących członkami spółdzielni, którym przysługuje tytuł prawny do lokalu znajdującego się w zasobach spółdzielni mieszkaniowej , ma nim zostać spółdzielnia mieszkaniowa.
W przypadku ustawy o własności lokali administratorem danych osobowych w zakresie związanych z zarządem nieruchomością ma być wspólnota mieszkaniowa.
Ustawa o świadczeniach rodzinnych
w art. 23 ust. 9 otrzymuje brzmienie:„9. Informacje, o których mowa w ust. 8, mogą być przetwarzane przez ministra właściwego do spraw rodziny w celu umożliwienia organom właściwym i marszałkom województw weryfikacji prawa do świadczeń rodzinnych oraz przez podmioty wymienione w ust. 10 w celu, w którym informacje te zostały im udostępnione na zasadach określonych w przepisach o ochronie danych osobowych. Organy właściwe i marszałkowie województw przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 7.”.
Ustawa oprawach pacjenta i rzeczniku praw pacjenta
Poza zamianami oczywistymi, jak np. powołanie się na przepisy RODO a nie na ustawy o ochronie danych osobowych w przypadku powierzenia danych podmiotowi przetwarzającemu przez podmiot udzielający świadczeń zdrowotnych. Dodano zapis umożliwiający Rzecznikowi Praw Pacjentów na przetwarzanie danych osobowych, w tym tzw. „danych wrażliwych” do realizacji swoich ustawowych zadań. Ma być on również administratorem tych danych.
ADAM LIPIŃSKI
specjalista ds. ochrony danych
ODO 24
IKEA W ŻAŁOBIE
Zmarł Ingvar Kamprad
W wieku 91 lat zmarł założyciel międzynarodowej firmy IKEA. Piszę o tym z kilku względów. Przede wszystkim dlatego że obawiam się że polskie media nie podniosą tej informacji na odpowiedni poziom. więcej...