6/2019, data dodania: 21.06.2019 Dostosowanie przepisów do wymogów RODO - zmiany w przepisach podatkowych, gospodarczych, prawie pracy i ZUS
4 maja 2019 r. wszedł w życie pakiet zmian dostosowujących przepisy 162 ustaw do unijnych przepisów o ochronie danych osobowych (RODO). Zmiany dotyczą m.in. przepisów podatkowych, gospodarczych, prawa pracy i ubezpieczeń społecznych. Przedstawiamy tabelaryczne zestawienie zmian wprowadzonych w ww. dziedzinach opracowane na podstawie książki "RODO 2019 - plusy i minusy zmian od 4 maja".
Tabelaryczne zestawienie zmian dotyczących ochrony danych osobowych w przepisach podatkowych, prawa pracy, ZUS i prawa gospodarczego
| PODATKI | |
| NIP | W ustawie o zasadach ewidencji podatników i płatników wprowadzono uproszczony mechanizm wykonania obowiązku informacyjnego nakładanego przez RODO. Zgodnie z nowo dodanym przepisem art. 15aa ustawy o NIP wykonanie obowiązku informacyjnego następuje przez udostępnienie informacji wymaganych przez RODO (wymienionych w art. 13 ust. 1 i 2 rozporządzenia UE 2016/679): n n n Ponadto zostały uregulowane: n n |
|
| n Podstawa prawna: art. 15aa ustawy z 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników - Dz.U. z 2019 r. poz. 63 |
| Ordynacja podatkowa | Ordynacja podatkowa reguluje sposób wykonywania przez organy podatkowe obowiązku informacyjnego RODO (art. 1a O.p.) i stanowi, że wykonywanie tego obowiązku: n n Podobnie skorzystanie przez podatnika z prawa do żądania od administratora ograniczenia przetwarzania danych (art. 18 rozporządzenia 2016/679) nie wpływa na tok i wynik procedur podatkowych. Wyraźnie oddzielono tym samym obowiązki związane z RODO od obowiązków i procedur podatkowych. Ponadto ustawodawca wyraźnie oddzielił prawo dostępu do akt sprawy wynikające z art. 178 O.p. od prawa dostępu do danych osobowych wynikającego z przepisów RODO. Z nowych regulacji wynika, że prawo dostępu do akt regulowane w Ordynacji podatkowej nie narusza prawa do skorzystania z takich uprawnień na podstawie RODO. Podstawa prawna:
|
| Krajowa Administracja Skarbowa
| W ustawie o Krajowej Administracji Skarbowej wprowadzono ogólne reguły przetwarzania danych przez KAS (podobne do wprowadzonych w Ordynacji podatkowej wobec organów podatkowych). Mianowicie zapisano, że: n n n n Warto dodać, że z ustawy zniknął zapis upoważniający organy KAS do przetwarzania danych osobowych bez wiedzy i zgody osoby, której dane dotyczą. Podstawa prawna: art. 34a, art. 47 ust. 1 i 2, art. 47b-47e ustawy z 16 listopada 2016 r. o Krajowej Administracji Skarbowej - j.t. Dz.U. z 2018 r. poz. 50; ost.zm. Dz.U. z 2019 r. poz. 125 |
| Prawo pracy i ZUS | |
| Kodeks pracy
| Zgodnie z przepisami dostosowującymi regulacje Kodeksu pracy do przepisów RODO pracodawca będzie mógł żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących (art. 221 § 1 Kodeksu pracy po nowelizacji): 1) imię (imiona) i nazwisko, 2) datę urodzenia, 3) dane kontaktowe wskazane przez taką osobę, 4) wykształcenie, 5) kwalifikacje zawodowe, 6) przebieg dotychczasowego zatrudnienia. Jednak danych dotyczących wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia pracodawca żąda tylko wtedy, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Nowelizacja zmienia katalog danych, jakich można żądać od kandydata do pracy. Nie można będzie bowiem już wymagać od tych osób imion rodziców i adresu zamieszkania. Natomiast będzie można żądać danych kontaktowych, ale sama osoba ubiegająca się o zatrudnienie zdecyduje, jakiego rodzaju to będą dane. Ponadto ustawodawca uregulował: n n n Zmianie uległy także zasady prowadzenia monitoringu w pracy. Wyłączono możliwość monitorowania pomieszczeń zakładowej organizacji związkowej. Wprowadzono też wymóg uzyskania zgody związku zawodowego (lub przedstawicieli pracowników) na prowadzenie monitoringu wizyjnego w pomieszczeniach sanitarnych. Podstawa prawna: art. 221, art. 222 ustawy z 26 czerwca 1974 r. - Kodeks pracy - j.t. Dz.U. z 2018 r. poz. 917; ost.zm. Dz.U. z 2019 r. poz. 730 |
| ZFŚS
| Zgodnie ze znowelizowanymi przepisami ustawy o ZFŚS udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z funduszu socjalnego, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca będzie mógł żądać udokumentowania wskazanych przez pracownika danych w zakresie niezbędnym do ich potwierdzenia. Mając na względzie specjalny charakter danych osobowych obejmujących informacje o sytuacji prywatnej osób uprawnionych, niezbędnych w celu przyznania i ustalenia wysokości usług i świadczeń socjalnych (w szczególności danych o sytuacji zdrowotnej), do przetwarzania tych danych będą uprawnione wyłącznie osoby upoważnione przez pracodawcę. W związku z tymi zmianami członkowie komisji socjalnych działających w zakładzie pracy powinni posiadać pisemne upoważnienia do przetwarzania danych osobowych wraz z zobowiązaniem do zachowania ich w tajemnicy. Ponadto pracodawca został zobowiązany do dokonywania przeglądu zgromadzonych danych osobowych nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celów, dla których zostały zebrane. W regulaminie ZFŚS powinny zatem znaleźć się zapisy o usuwaniu przechowywanych danych, szczegółowe zasady i warunki ustalania sytuacji socjalnej osób uprawnionych, treści oświadczeń oraz ewentualnej dokumentacji, której pracodawca może wymagać dla weryfikacji prawdziwości złożonego przez pracownika oświadczenia. Podstawa prawna: art. 8 ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych - j.t. Dz.U. z 2018 r. poz. 1316; ost.zm. Dz.U. z 2019 r. poz. 730 |
| Ustawa o systemie ubezpieczeń społecznych | Nowelizacja dostosowująca ustawę o systemie ubezpieczeń społecznych do przepisów RODO wprowadza uproszczoną formę obowiązku informacyjnego wynikającego z RODO w przypadku danych przetwarzanych przez ZUS. Ustawa dostosowująca wprowadza także istotną regulację, zgodnie z którą wykonywanie obowiązku informacyjnego wynikającego z RODO odbywa się niezależnie od obowiązków ZUS i nie wpływa na przebieg i wynik postępowań prowadzonych przez ten organ. Oznacza to, że niewypełnienie tego obowiązku przez ZUS nie będzie mogło być podstawą np. do zakwestionowania określonej, merytorycznej decyzji ZUS. Podstawa prawna: art. 34-34a ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych - j.t. Dz.U. z 2019 r. poz. 300; ost.zm. Dz.U. z 2019 r. poz. 730 |
| Prawo gospodarcze | |
| Prawo konsumenckie
| W ustawie o prawach konsumenta wprowadzono ułatwienia dla mikroprzedsiębiorców w zakresie wykonywania obowiązków informacyjnych wynikających z RODO Zgodnie z nowo dodanym art. 4a ustawy o prawach konsumenta mikroprzedsiębiorca może wykonać obowiązki informacyjne wynikające z RODO (nałożone przepisami art. 13 rozporządzenia UE 2016/679) przez: n n Mikroprzedsiębiorca może w ten sposób wypełnić swoje obowiązki informacyjne zarówno w zakresie umów zawieranych w lokalu przedsiębiorstwa (zakładzie usługowym czy sklepie), jak i w przypadku umów zawieranych poza lokalem przedsiębiorstwa lub na odległość. Podstawa prawna: art. 4a ustawy z 30 maja 2014 r. o prawach konsumenta - Dz.U. z 2019 r. poz. 134 |
| Ochrona danych osobowych
| W ustawie z 10 maja 2018 r. o ochronie danych osobowych wprowadzono zmiany dostosowujące do rozporządzenia RODO. W art. 5a została wprowadzona ogólna regulacja uniemożliwiająca wykorzystywanie RODO jako sposobu utrudnienia wykonywania ustawowych zadań przez organy publiczne, np. w ramach procedur karnych, a także procedur podatkowych itp. Ponadto na podmioty, które naruszają przepisy RODO i wobec których Prezes UOKiK wszczął postępowanie w celu nałożenia administracyjnej kary pieniężnej, został nałożony obowiązek przekazania Prezesowi UOKiK danych niezbędnych do określenia podstawy wymiaru tej kary. Brak przekazania tych danych (lub dostarczenie danych, na podstawie których ustalenie podstawy wymiaru jest niemożliwe) spowoduje określenie kary w wartości szacunkowej (art. 101a). Za brak przekazania danych do określenia podstawy wymiaru bądź przekazanie danych, które uniemożliwiają ustalenie podstawy wymiaru, grozi także kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2 (art. 108). Podstawa prawna: art. 5a, 6a, 11a, 57 ust. 1, art. 101a, art. 108 ustawy z 10 maja 2018 r. o ochronie danych osobowych - Dz.U. z 2018 r. poz. 1000; ost.zm. Dz.U. z 2018 r. poz. 1669 |
PODSTAWA PRAWNA:
ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz.U. z 2019 r. poz. 730
Ewa Sławińska
prawnik, redaktor naczelna "MONITORA księgowego"
