Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO

Pomimo iż w polskim systemie prawnym od dnia 25 maja 2018 r. obowiązuje nowa ustawa o ochronie danych osobowych z dnia 10 maja 2018 r., aktualnie trwają prace nad uchwaleniem ustawy dostosowującej przepisy innych ustaw do RODO. Pierwotny tytuł projektu tej ustawy brzmiał: Przepisy wprowadzające ustawę o ochronie danych osobowych, aktualnie jednak mówi się o ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Projekt ustawy dostosowuje szereg polskich ustaw do RODO, a celem jej wprowadzenia jest skuteczne stosowanie RODO, bez powielania jednocześnie jego przepisów i bez sprzeczności z tymi przepisami.

Projekt proponuje zmiany m.in. w następujących sektorach: cyfryzacji, energii, infrastruktury i budownictwa, finansów, statystyki publicznej, pracy, sportu i turystyki, zdrowia i sprawiedliwości.

Poniższy artykuł zawiera omówienie subiektywnie wybranych przez autora rozwiązań zaproponowanych w projekcie ustawy opublikowanym na stronie internetowej Rządowego Centrum Legislacji (wersja z dnia 7 czerwca 2018 r.).

I Proponowane zmiany w sektorze pracy – Kodeks pracy

Projekt przewiduje zmiany w Kodeksie pracy. Nakłada na pracodawcę obowiązek pobrania od kandydata do pracy następujących danych (w przeciwieństwie do aktualnie jeszcze obowiązującej regulacji, która daje pracodawcy tylko takie uprawnienie):

  1. imię (imiona) i nazwisko,
  2. data urodzenia,
  3. dane kontaktowe wskazane przez taką osobę,
  4. wykształcenie,
  5. kwalifikacje zawodowe,
  6. przebieg dotychczasowego zatrudnienia.

Żądając od kandydata do pracy danych o wykształceniu, kwalifikacjach zawodowych i przebiegu dotychczasowego zatrudnienia, pracodawca musi jednak dodatkowo zweryfikować, czy takie informacje są niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Jeżeli uzna, że informacje te nie są niezbędne, nie będzie istniała podstawa prawna do przetwarzania tych danych.

Od osoby już zatrudnionej pracodawca ma obowiązek uzyskania dodatkowo następujących danych osobowych:

  1. adres zamieszkania,
  2. numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość,
  3. inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
  4. dane dotyczące wykształcenia i przebiegu dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od kandydata do pracy.

Pracodawca jest także zobowiązany do uzyskania innych danych osobowych niż wskazane wyżej, jeżeli jest mu to niezbędne do wypełnienia obowiązku nałożonego na niego przepisem prawa.

Kandydat do pracy bądź pracownik, który udostępnia pracodawcy swoje dane, składa w tym zakresie stosowne oświadczenie, aczkolwiek pracodawca może żądać udokumentowania podanych danych osobowych w zakresie niezbędnym do ich potwierdzenia.

Jeżeli pracodawca będzie chciał uzyskać więcej danych niż te wskazane powyżej, bądź kandydat do pracy lub pracownik sam takie dane udostępni, pracodawca będzie musiał dysponować zgodą kandydata do pracy lub zgodą pracownika na przetwarzanie takich danych. Nieudzielenie takiej zgody lub jej wycofanie nie może jednak powodować:

  • niekorzystnego traktowania kandydata do pracy lub pracownika,
  • jakichkolwiek negatywnych konsekwencji wobec kandydata do pracy lub pracownika, a zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Należy pamiętać, że udzielana zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.

W uzasadnieniu projektu wyraźnie zaznaczono, iż dane pozyskiwane za zgodą pracownika lub kandydata do pracy muszą być pobierane bezpośrednio od tej osoby, a nie mogą być pozyskiwane od osób trzecich (np. od byłych pracodawców).

Przetwarzanie przez pracodawcę danych tzw. szczególnych kategorii (art. 9 ust. 1 RODO) bądź danych tzw. karnych (art. 10 RODO) będzie co do zasady niedopuszczalne, chyba że przetwarzanie tych danych będzie niezbędne do wypełnienia obowiązku pracodawcy nałożonego przepisem prawa. Dane osobowe szczególnych kategorii i dane karne mogą przetwarzać wyłącznie pracownicy, którzy otrzymali stosowne pisemne upoważnienie od pracodawcy do przetwarzania takich danych. Ponadto należy zobowiązać tych pracowników do zachowania danych w tajemnicy.

W zakresie jednej z kategorii danych szczególnych, a mianowicie danych biometrycznych pracownika (np. jego danych daktyloskopijnych), pracodawca może je przetwarzać także, o ile podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony.

Projekt wprowadza także podstawę prawną do pozyskiwania i przechowywania przez pracodawcę skierowań na badania lekarskie oraz orzeczeń lekarskich wydawanych w wyniku tego skierowania, jeżeli osoba przyjmowana do pracy u innego pracodawcy posiada aktualne orzeczenie lekarskie stwierdzające brak przeciwskazań do pracy na danym stanowisku (proponowane zmiany w art. 229 Kodeksu pracy).

II Proponowane zmiany w sektorze pracy – zakładowy fundusz świadczeń socjalnych

Projektowane zmiany dotykają także ustawy z dnia 4 marca1994 r. o zakładowym funduszu świadczeń socjalnych.

Dane osobowe, które będą udostępniane pracodawcy w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z funduszu i ustalenia ich wysokości również będą przekazywane w formie oświadczenia. Jednak tak, jak w przypadku danych przekazywanych przez kandydatów do pracy oraz pracowników, pracodawca ma prawo żądać udokumentowania podanych danych osobowych w zakresie niezbędnym do ich potwierdzenia (w szczególności w oparciu o oświadczenia i zaświadczenia o sytuacji życiowej, w tym zdrowotnej, rodzinnej i materialnej osoby uprawnionej). Przetwarzaniem danych dotyczących zdrowia mogą zajmować się wyłącznie pracownicy ze stosownymi upoważnieniami i zobowiązani do zachowania tych danych w tajemnicy.

Projekt ustawy określa również okres, przez jaki pracodawcy będą mogli przechowywać ww. dane osobowe. Będzie to istotna informacja przy przygotowywaniu tzw. klauzul informacyjnych dla pracowników. Nowelizacja zakłada bowiem, iż dane osobowe można przechowywać tylko przez okres nie dłuższy niż jest to niezbędne w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z funduszu, ustalenia ich wysokości, a także przez okres dochodzenia do nich praw lub roszczeń. Co więcej, pracodawca będzie musiał również regularnie – zgodnie z projektem, nie rzadziej niż raz w roku kalendarzowym – dokonywać przeglądu danych osobowych (co oczywiście nie wyklucza możliwości częstszego dokonywania przeglądu tych danych). Przegląd będzie miał na celu ustalenie, czy dalsze przechowywanie danych jest niezbędne. Jeżeli w wyniku takiego przeglądu pracodawca dojdzie do wniosku, że skończył się cel, dla którego dane mogą być przechowywane, wówczas musi je usunąć.

Ponadto do regulaminów ustalanych w oparciu o art. 27 ust. 1 i art. 30 ust. 5 ustawy o związkach zawodowych (bądź jeżeli u danego pracodawcy nie działa zakładowa organizacja związkowa – do regulaminu uzgadnianego z pracownikiem wybranym przez załogę do reprezentowania jej interesów) należy dodać stosowne postanowienia odnośnie danych osobowych (na moment przygotowywania artykułu – postanowienia, o których mowa w projektowanym art. 8 ust. 11 i 12 ustawy o zakładowym funduszu świadczeń socjalnych).

III Proponowane zmiany w sektorze oświaty

Projekt zakłada także zmiany w ustawie z dnia 7 września 1991 r. o systemie oświaty. Precyzuje, iż jednostki organizacyjne (inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące, organy sprawujące nadzór pedagogiczny) i inne podmioty realizujące zadania i obowiązki określone w ustawie są legitymowane do przetwarzania danych osobowych. Zakres przetwarzania danych przez te podmioty zależy od tego, jakie zadania i obowiązki są realizowane przez te podmioty. Dane mogą być bowiem przetwarzane tylko w zakresie niezbędnym do wykonania tych zadań i obowiązków.

Ponadto nauczyciele oraz osoby pełniące funkcje lub wykonujące pracę w ww. podmiotach powinny być obowiązane do zachowania w tajemnicy informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, a dotyczących:

  • zdrowia,
  • potrzeb rozwojowych i edukacyjnych,
  • możliwości psychofizycznych,
  • seksualności,
  • orientacji seksualnej,
  • pochodzenia rasowego lub etnicznego,
  • poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.

Obowiązek zachowania w tajemnicy wskazanych powyżej danych osobowych nie jest jednak bezwzględny i nie znajdzie zastosowania, gdy:

  • istnieje zagrożenie zdrowia ucznia,
  • uczeń, a w przypadku ucznia niepełnoletniego – jego rodzic, wyrazi zgodę na ujawnienie określonych informacji,
  • przewidują to przepisy szczególne.

Ponadto treść karty kwalifikacyjnej dla uczestnika wypoczynku zostanie delikatnie zmieniona i zamiast zgody rodziców uczestnika albo zgody pełnoletniego uczestnika na przetwarzanie danych osobowych na potrzeby zapewnienia bezpieczeństwa i ochrony zdrowia uczestnika, zgodnie z art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922), karta kwalifikacyjna powinna zawierać po prostu zgodę rodziców uczestnika albo zgodę pełnoletniego uczestnika na przetwarzanie danych osobowych w celu zapewnienia bezpieczeństwa i ochrony zdrowia uczestnika.

Proponowane zmiany dotyczą również ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe.

Projekt wyraźnie przewiduje, iż nauczyciele oraz inne osoby pełniące funkcje lub wykonujące pracę w następujących podmiotach: innych formach wychowania przedszkolnego, szkołach, placówkach, organach prowadzących, organach sprawujących nadzór pedagogiczny oraz innych podmiotach realizujących zadania i obowiązki określone w ustawie, są obowiązani do zachowania w tajemnicy informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.

Wyjątkiem od powyższego obowiązku zachowania poufności będą następujące sytuacje:

  • przypadek zagrożenia zdrowia ucznia,
  • jeżeli uczeń, a w przypadku ucznia niepełnoletniego – jego rodzic, wyrazi zgodę na ujawnienie określonych informacji,
  • w przypadku, gdy przewidują to przepisy szczególne.

Ponadto dyrektor szkoły lub placówki zostanie wyraźnie zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych osobowych przez szkołę lub placówkę z przepisami o ochronie danych osobowych.

IV Proponowane zmiany w sektorze zdrowia

Projekt zakłada również zmiany w sektorze zdrowia. Ustawa z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty będzie regulować, jakie dane osobowe może przetwarzać marszałek województwa, Minister Obrony Narodowej oraz wojewoda w związku z realizacją stażu podyplomowego lekarzy i lekarzy dentystów. Katalog tych danych obejmuje:

  1. stopień żołnierza w służbie czynnej,
  2. imię i nazwisko,
  3. numer PESEL, a w przypadku braku numeru PESEL – typ i numer dokumentu tożsamości,
  4. datę urodzenia,
  5. adres miejsca zamieszkania,
  6. numer prawa wykonywania zawodu,
  7. posiadane specjalizacje,
  8. powody i okresy absencji w pracy,
  9. przewidywany i faktyczny termin porodu,
  10. informację o orzeczonej niepełnosprawności,
  11. informacje o trybie rozwiązania umowy o pracę.

Żądanie przekazania innych danych niż wskazane wyżej będzie więc całkowicie nieuzasadnione.

Również w zakresie realizacji szkolenia specjalizacyjnego lekarzy i lekarzy dentystów zakres danych, jakie mogą przetwarzać wojewoda, minister właściwy do spraw zdrowia, minister właściwy do spraw wewnętrznych i Minister Obrony Narodowej zostanie sprecyzowany do następującego katalogu:

  1. stopień żołnierza w służbie czynnej lub funkcjonariusza w stosunku służby,
  2. imię i nazwisko,
  3. numer PESEL, a w przypadku braku numeru PESEL – typ i numer dokumentu tożsamości,
  4. data urodzenia,
  5. adres miejsca zamieszkania,
  6. numer prawa wykonywania zawodu,
  7. posiadane specjalizacje,
  8. powody i okresy absencji w pracy,
  9. przewidywany i faktyczny termin porodu,
  10. informacja o orzeczonej niepełnosprawności,
  11. informacje o trybie rozwiązania umowy o pracę.

Dane dotyczące powodów i okresów absencji w pracy, przewidywanego i faktycznego terminu porodu, informacja o orzeczonej niepełnosprawności oraz informacje o trybie rozwiązania umowy o pracę mogą być przetwarzane tylko w związku z finansowaniem stażu podyplomowego/szkolenia specjalizacyjnego, przedłużeniem tego stażu lub szkolenia oraz nadzorem nad nimi. Dostęp do tych kategorii danych mogą mieć tylko osoby szczególnie upoważnione.

Projektowane zmiany mają objąć także ustawę z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Zmodyfikowana zostanie kwestia udostępniania dokumentacji medycznej. Podmiot udzielający świadczeń zdrowotnych może bowiem pobierać opłatę za udostępnienie dokumentacji medycznej, ale musi pamiętać o art. 15 ust. 3 i 4 RODO. Jeżeli bowiem osoba, której dane dotyczą, zwróci się do takiego podmiotu (będącego administratorem danych osobowych) o kopię danych osobowych podlegających przetwarzaniu, wówczas pierwszą kopię danych dostarcza się bezpłatnie, a za wszelkie kolejne kopie administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

Zmiany czekają także ustawę z dnia 15 kwietnia 2011 r. o działalności leczniczej, a mianowicie projektowane są przepisy w zakresie monitoringu.

Kierownik podmiotu wykonującego działalność leczniczą (a więc podmiotu leczniczego, o którym mowa w art. 4 tej ustawy, oraz lekarz lub pielęgniarka wykonujący zawód w ramach działalności leczniczej jako praktykę zawodową) może, o ile jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników takiego podmiotu, określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń zakładu leczniczego za pomocą monitoringu. Monitoring może dotyczyć pomieszczeń ogólnodostępnych bądź takich, w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych.

Monitoringiem nie można nadzorować jakości wykonywania pracy przez pracowników podmiotu wykonującego działalność leczniczą.

Nagrania z monitoringu (takie, które zawierają dane osobowe pacjentów, pracowników i innych osób, które w wyniku tych nagrań można zidentyfikować) podmiot wykonujący działalność leczniczą może przechowywać przez okres nie dłuższy niż 3 miesiące od dnia nagrania. Po upływie tego okresu nagrania z monitoringu należy zniszczyć, chyba że przepisy odrębne stanowią inaczej. Nagrania można przetwarzać wyłącznie w celu zapewnienia bezpieczeństwa pacjentów lub pracowników.

Co do zasady regulamin organizacyjny nie dotyczy praktyk zawodowych, o których mowa w ustawie, chyba że prowadzą one monitoring.

Informacje zawarte w regulaminie organizacyjnym w zakresie:

  • rodzaju działalności leczniczej oraz zakresu udzielanych świadczeń zdrowotnych,
  • wysokości opłaty za udostępnienie dokumentacji medycznej ustalonej w sposób określony w art. 28 ust. 4 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta,
  • wysokości opłaty za przechowywanie zwłok pacjenta przez okres dłuższy niż 72 godziny od osób lub instytucji uprawnionych do pochowania zwłok na podstawie ustawy z dnia 31 stycznia 1959 r. o cmentarzach i chowaniu zmarłych (Dz. U. z 2017 r., poz. 912) oraz od podmiotów, na zlecenie których przechowuje się zwłoki w związku z toczącym się postępowaniem karnym,
  • wysokości opłat za świadczenia zdrowotne, które mogą być, zgodnie z przepisami ustawy lub przepisami odrębnymi, udzielane za częściową albo całkowitą odpłatnością, a także aktualne informacje o sposobie obserwacji pomieszczeń zakładu leczniczego za pomocą monitoringu, trzeba będzie podać do wiadomości pacjentów przez ich wywieszenie w widoczny sposób w miejscu udzielania świadczeń oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i w Biuletynie Informacji Publicznej, w przypadku gdy dany podmiot jest obowiązany do jego prowadzenia.

V Proponowane zmiany w sektorze turystyki

Zgodnie z projektem ustawy administratorami danych osobowych klientów (w tym danych osobowych dotyczących zdrowia) są przedsiębiorcy i rolnicy, którzy świadczą usługi hotelarskie, o ile jest to uzasadnione zakresem usług hotelarskich. Podmioty te powinny więc respektować postanowienia RODO. Konieczne będzie również zobowiązanie swojego personelu do zachowania w tajemnicy informacji związanych z klientem, które personel uzyskał w związku ze świadczeniem usług hotelarskich.

VI Proponowane zmiany w sektorze świadczenia usług drogą elektroniczną

Dotychczas przepisy odnośnie zgody na otrzymywanie informacji handlowej wymagały, aby zgoda nie była domniemana lub dorozumiana z oświadczenia woli o innej treści i aby mogła być odwołana w każdym czasie. Ponadto regulacje ustawy o świadczeniu usług drogą elektroniczną wymagały, aby usługodawca wykazał uzyskanie zgody dla celów dowodowych.

Według projektu ustawy przepis art. 4 ma brzmieć następująco: „Do uzyskania zgody usługobiorcy zastosowanie mają przepisy o ochronie danych osobowych”. W szczególności więc trzeba będzie brać pod uwagę przepisy art. 4 ust. 11, art. 7 i 8 RODO.

Zgoda musi być więc dobrowolna, konkretna, świadoma i jednoznaczna. Zgodnie z RODO może być złożona w formie oświadczenia, ale także może być wyraźnym działaniem potwierdzającym.

Konieczne jest również zachowanie warunków wyrażenia zgody wskazanych w art. 7 RODO. Oznacza to, że administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Ponadto, gdy zgoda udzielana jest w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione tak, aby można było wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie oraz jas­nym i prostym językiem. Zgoda wyrażona z pominięciem tych warunków będzie nieważna.

Ponadto osoba, która udziela zgody, musi mieć możliwość jej wycofania w dowolnym momencie, a wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. O tych okolicznościach należy poinformować taką osobę, zanim wyrazi ona zgodę. Wycofanie zgody musi być równie łatwe, jak jej wyrażenie.

Zgodnie z art. 8 RODO w przypadku dzieci, które nie ukończyły 16 lat, zgodę na przetwarzanie danych powinna wyrazić lub zaaprobować osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem. Administrator jest obowiązany, uwzględniając dostępną technologię, podjąć rozsądne starania, aby zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Państwa członkowskie będą mogły przewidzieć w swoim prawie niższą granicę wiekową, jednak nie niższą niż 13 lat. Jeżeli więc projekt ustawy przewiduje, że do zgody w zakresie otrzymywania informacji handlowej stosuje się przepisy o ochronie danych osobowych, należy brać pod uwagę również przepisy w zakresie wyrażenia zgody przez dzieci.

Projekt zakłada również, że informację handlową będzie uważać się za zamówioną, jeżeli odbiorca wyrazi zgodę na jej otrzymywanie. Zrezygnowano z doprecyzowania, iż chodzi w szczególności o udostępnienie w tym celu identyfikującego odbiorcę adresu elektronicznego.

Co ciekawe, projekt zakłada również, iż uchyleniu będzie podlegał art. 18 ust. 1–4 ustawy o świadczeniu usług drogą elektroniczną. Przepisy te wskazywały m.in., jakie dane może przetwarzać usługodawca w związku z nawiązaniem, ukształtowaniem treści, zmianą lub rozwiązaniem stosunku prawnego z usługobiorcą. Czy uchylenie tych przepisów powoduje, że nie będzie można przetwarzać danych osobowych w związku ze świadczeniem usług drogą elektroniczną? Uzasadnienie do projektu wyraźnie podkreśla, że legalność takiego przetwarzania danych trzeba będzie oceniać w świetle przepisów RODO, w tym w szczególności zasad ogólnych wskazanych w art. 5 RODO. Tak więc administrator będzie musiał samodzielnie zdecydować, czy dane przez niego przetwarzane są zgodne z zasadami wyartykułowanymi w RODO.

Dla przypomnienia, są to następujące zasady:

  • zasada zgodności z prawem, rzetelności i przejrzystości,
  • zasada ograniczenia celu,
  • zasada minimalizacji danych,
  • zasada prawidłowości,
  • zasada ograniczenia przechowywania,
  • zasada integralności i poufności,
  • zasada rozliczalności.

Projekt podpowiada jednak, iż w związku ze świadczeniem usług drogą elektroniczną usługodawca może przetwarzać (uwzględniając przepisy RODO, w tym zasady wskazane w art. 5) dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne) i wymienia w szczególności, jakie są to dane (np. oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca; informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną; informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną).

Projekt uchyla również większą część art. 19 i art. 20–22 ustawy o świadczeniu usług drogą elektroniczną.

Po wejściu w życie ustawy dostosowującej, konieczna będzie weryfikacja posiadanych regulaminów świadczenia usług drogą elektroniczną.

VII Proponowane zmiany w ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych

Wierzyciele, którzy będą kierować do dłużników stosowne wezwania do zapłaty (w oparciu o art. 14 ust. 1 pkt 3, art. 15 ust. 1 pkt 3 oraz art. 15 ust. 1a ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych), będą dodatkowo zobowiązani do poinformowania dłużnika w takim wezwaniu o tym, iż do przetwarzania danych osobowych przez wierzyciela w związku z przekazaniem do biura informacji gospodarczych o dłużniku będącym osobą fizyczną nie stosuje się przepisu art. 21 ust. 1 RODO. Chodzi o poinformowanie o tym, iż w takiej sytuacji nie będzie można wnieść sprzeciwu – z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą – wobec przetwarzania dotyczących jej danych osobowych. Sprzeciw będzie więc nieuzasadniony.

Podsumowanie

Powyższe zmiany są propozycją w zakresie dostosowania polskich przepisów do RODO. Oczywiście, konieczne będzie zapoznanie się z wersją ustawy, która wejdzie w życie, ponieważ może ona się różnić od przepisów przedstawionych powyżej w propozycji projektu.