W niniejszym tekście przedstawiam najistotniejsze zmiany w przepisach sektorowych zaproponowane przez ustawodawcę, a dokładnie zmiany w ustawach istotnych punktu widzenia obywateli.

Prawo telekomunikacyjne

Jedną z najistotniejszych zmian dotyczących ustawy Prawo Telekomunikacyjne jest uregulowanie zasad dotyczących profilowania. W celu dokonania oceny wiarygodności płatniczej użytkownika końcowego, dostawca usług będzie mógł przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie, o ile wdroży on właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

Uchylone natomiast zostają  przepisy  art. 174a – 174d. Zaproponowana przez ustawodawcę zmiana zdaje się być całkowicie logiczna w tym zakresie, gdyż samo RODO nakłada już obowiązek poinformowania organu nadzorczego o własnych naruszeniach.

Prawo autorskie i prawa konkretne

W ustawie o prawie autorskim i prawach pokrewnych całkowicie zmieniony zostanie art. 35² ust. 1. Zmiany dotyczyć mają wiec pisemnego oświadczenia o woli otrzymywania wynagrodzenia za użyczanie. Zgodnie z zaproponowaną nowelizacją powyższe oświadczenie będzie musiało zawierać:

1) imię i nazwisko twórcy albo twórców utworu wyrażonego słowem oraz pseudonim, jeżeli był używany w odniesieniu do danego utworu;

2) imię i nazwisko tłumacza albo tłumaczy utworu wyrażonego słowem oraz pseudonim, jeżeli był używany w odniesieniu do danego utworu;

3) tytuł utworu wyrażonego słowem;

4) nazwę wydawcy utworu wyrażonego słowem;

5) rok wydania utworu wyrażonego słowem;

6) imię, nazwisko lub nazwę oraz adres zamieszkania lub siedziby składającego oświadczenie;

7) w przypadku podmiotów, o których mowa w art. 28 ust. 5 pkt 1-3, wskazanie, do której z wymienionych w art. 28 ust. 5 kategorii uprawnionych należy dany podmiot, a także, jeżeli istnieje wielu uprawnionych, wskazanie wielkości udziału uprawnionego składającego oświadczenie, ustalonego w oparciu o umowę zawartą z wydawcą wraz z jej kopią;

8) dane niezbędne do zrealizowania płatności, w tym numer rachunku bankowego;

9) w przypadku wydawców, informację o numerze ISBN utworu wyrażonego słowem;

10) w przypadku spadkobierców uprawnionych, o których mowa w art. 28 ust. 5 pkt 1-3, do oświadczenia dołącza się dokumenty potwierdzające przejście autorskich praw majątkowych do utworu wyrażonego słowem w drodze dziedziczenia oraz wskazuje przysługujący im udział.”;

Dodatkowo w ustawie ma zostać dodany całkowicie nowy rozdział 13¹ zatytułowany „Ochrona danych osobowych”. Ma on wskazywać dokładny katalog danych jakie w ustawowo wskazanych zadaniach będzie mógł przetwarzać Minister do spraw kultury i ochrony dziedzictwa narodowego; organizacje zbiorowego zarządzania prawami autorskimi lub prawami pokrewnymi oraz archiwa, instytucje oświatowe, uczelnie, instytuty badawcze, biblioteki i muzea.

Ponadto ograniczeniu podlegają prawa osób wynikające z art. 12 i 15 RODO. Prawa osób realizowane będą bezpłatnie raz na sześć miesięcy, w pozostałych przypadkach administrator danych ma prawo pobrać opłatę w wysokości odpowiadającej kosztom sporządzenia odpowiedzi lub kopii danych.

Ponadto niemal już tradycyjnie zwolniono administratora danych z obowiązku zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych ( atr. 34 RODO ) jeśli ten w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych wyda komunikat o naruszeniu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej.

Prawo energetyczne

W ustawie z dnia 10 kwietnia 1997 r. – Prawo energetyczne zakłada, że dane na licznikach zainstalowanych u odbiorców końcowych powinny być chronione na zasadach ogólnych,  co za tym idzie dane na tych urządzeniach będą musiały być odpowiednio zabezpieczone, co będzie się wiązało z dodatkowymi wydatkami dla przedsiębiorców z branży energetycznej.

Prawo o ruchu drogowym

Ustawodawca proponuję zmiany dotyczące katalogu danych jakie maja być przetwarzane w centralnej ewidencji pojazdów oraz centralnej ewidencji kierowców. W przypadku centralnej ewidencji pojazdów katalog ma zawierać: imię i nazwisko, numer PESEL, a w przypadku osoby nieposiadającej numeru PESEL – serię, numer i nazwę dokumentu potwierdzającego tożsamość,  data i miejsce urodzenia, adres zamieszkania. Zakres danych w centralnej ewidencji kierowców ma ponadto zawierać:  unikalny numer identyfikujący profil kandydata na kierowcę, fotografię, wzór podpisu, numer telefonu, adres poczty elektronicznej.

Ponadto administrator danych i informacji zgromadzonych w tych ewidencjach jest zwolniony z obowiązku informacyjnego wynikającego z przepisów RODO. Dodatkowo prawo dostępu przysługujące osobie, której dane dotyczą, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawi sprzeciwu nie mają zastosowania w odniesieniu do danych zawartych w tych ewidencjach.

Dodatkowo administrator danych zawartych w powyższych ewidencjach nie zawiadamia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych jeśli w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych wyda komunikat o naruszeniu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej.

Prawo o bibliotekach

Ustawodawca zaproponował jakie dane osobowe należy przetwarzać w zakresie odwoływania i powoływania Rady do Spraw Narodowego Zasobu Bibliotecznego. Enumeratywnie zostały też wymienione dane przetwarzane przez Dyrektora Biblioteki Narodowej oraz biblioteki.

Ciekawym zabiegiem jest zwolnienie szeroko rozumianych bibliotek z zasady rozliczalności wywodzącej się z RODO do enumeratywnie wskazanych w ustawie danych osobowych.

Prawo bankowe

W przypadku pracowników mających dostęp do danych dotyczących banku lub klientów banku  i osoby ubiegające się o zatrudnienie, bank może żądać od pracownika i tej osoby przedłożenia informacji dotyczących karalności, w tym informacji czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym. Dodatkowo bank może żądać od pracowników danych biometrycznych takich jak odciski palców, próbki głosu obraz rogówki i sieci żył palców jeśli potrzebne jest to do kontroli dostępu.

Uregulowane zostały też zagadnienia dotyczące profilowania osób fizycznych, bank będzie mógł używać go w celu oceny zdolności kredytowej oraz zapewnienia bezpieczeństwa przechowywanych środków pieniężnych.

Bank ma też prawna podstawę do kserowania dowodów osobistych swoich klientów. („Art. 112b. 1. Banki w zakresie realizowanych zadań mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych”).

Warto zauważyć, iż banki zwolnione będą z niektórych obowiązków, ustanowionych przez przepisy RODO, ciążących na administratorach danych osobowych. (np. banki nie muszą informować klientów o okresie przez jaki ich dane będą przetrzymywane przez bank).

Ustawa o spółdzielniach mieszkaniowych, Ustawa o własności lokali

W ustawie o spółdzielniach mieszkaniowych  dodano zapis regulujący kto ma zostać administratorem danych osobowych w zakresie danych osobowych członków spółdzielni oraz osób niebędących członkami spółdzielni, którym przysługuje tytuł prawny do lokalu znajdującego się w zasobach spółdzielni mieszkaniowej , ma nim zostać spółdzielnia mieszkaniowa.

W przypadku ustawy o własności lokali administratorem danych osobowych w zakresie związanych z zarządem nieruchomością ma być wspólnota mieszkaniowa.

Ustawa o świadczeniach rodzinnych

w art. 23 ust. 9 otrzymuje brzmienie:„9. Informacje, o których mowa w ust. 8, mogą być przetwarzane przez ministra właściwego do spraw rodziny w celu umożliwienia organom właściwym i marszałkom województw weryfikacji prawa do świadczeń rodzinnych oraz przez podmioty wymienione w ust. 10 w celu, w którym informacje te zostały im udostępnione na zasadach określonych w przepisach o ochronie danych osobowych. Organy właściwe i marszałkowie województw przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 7.”.

Ustawa oprawach pacjenta i rzeczniku praw pacjenta

Poza zamianami oczywistymi, jak np. powołanie się na przepisy RODO a nie na ustawy o ochronie danych osobowych w przypadku powierzenia danych podmiotowi przetwarzającemu przez podmiot udzielający świadczeń zdrowotnych. Dodano zapis umożliwiający Rzecznikowi Praw Pacjentów na przetwarzanie danych osobowych, w tym tzw. „danych wrażliwych” do realizacji swoich ustawowych zadań. Ma być on również administratorem tych danych.

ADAM LIPIŃSKI
specjalista ds. ochrony danych
ODO 24