Upoważnienia do przetwarzania danych osobowych w projekcie „ustawy wprowadzającej RODO”
Od rozpoczęcia obowiązywania RODO i nowej ustawy o ochronie danych osobowych (25 maja 2018 roku), wciąż oczekujemy na finalizację prac ustawodawcy nad tzw. „ustawą wprowadzającą RODO”. Niebawem upłynie aż pół roku, w którym to czasie nasz krajowy ustawodawca nie zdążył dostosować obowiązujących przepisów do nowego stanu prawnego, wynikającego z unijnego rozporządzenia 2017/679. Jednak pojawia się światło w tunelu!
Dnia 22 października 2018 r. opublikowany został najnowszy projekt rzeczonej ustawy – a w pełnym brzmieniu, ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Naturalnie, mowa o RODO – rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Projekt przewiduje zmiany w aż 168 ustawach sektorowych. Na szczególną uwagę zasługują projektowane zmiany wprowadzające obowiązek pisemnego upoważnienia do przetwarzania danych osobowych.
Przypomnijmy, iż zgodnie z art. 29 RODO:
Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
RODO nie przewiduje szczegółowych wytycznych, dotyczących dopuszczalnej formy udzielania upoważnienia do przetwarzania danych osobowych. Wobec tej niejasności, wielu praktyków wdrożeń RODO przyjmowało, że zgodnie z realizacją zasady rozliczalności, warto owe upoważnienia udzielać w formie pisemnej. Inni jednak twierdzili, że polecenie o którym stanowi RODO może być udzielane w formie ustnej, a zasada rozliczalności do upoważnień się nie odnosi.
Projektowane zmiany doregulowują te kwestie. Przynajmniej w ten sposób, że wskazują kiedy zachodzi obowiązek wydania upoważnień do przetwarzania danych osobowych z zachowaniem pisemności.
Tak oto pisemne upoważnienia do przetwarzania danych osobowych mają być obowiązkowe wobec osób przetwarzających szczególne kategorie danych osobowych pracowników. W praktyce mowa więc o osobach, wykonujących czynności kadrowe. W tym zakresie ustawa „wprowadzająca RODO” ma przełożyć się na nowelizację w ustawie Kodeks Pracy. Ponadto, zgodnie z projektowanymi zmianami, osoby dopuszczone do przetwarzania takich danych będą miały być obowiązane są do zachowania ich w tajemnicy.
W aktualnym kształcie projektu ustawy „wprowadzającej RODO”, pisemne upoważnienia do przetwarzania danych osobowych są wprowadzone także w innych ustawach, w tym między innymi:
- ustawie o zakładowym funduszu świadczeń socjalnych,
- ustawie o zawodach lekarza i lekarza dentysty, a także
- ustawie o Krajowej Administracji Skarbowej.
Należy podkreślić, iż zmiany w przepisach sektorowych mają status projektu i należy je na bieżąco monitorować. Warto jednak już teraz mieć na względzie projektowane zmiany. W szczególności w przypadku trwających wdrożeń, warto rozważyć zastosowanie formy pisemnej upoważnień do przetwarzania danych osobowych.
Aktualny projekt ustawy wprowadzającej RODO jest dostępny do pobrania tutaj: POBIERZ