Biuletyn Głównego Księgowego 6/2019, data dodania: 21.06.2019

Dostosowanie przepisów do wymogów RODO - zmiany w przepisach podatkowych, gospodarczych, prawie pracy i ZUS

4 maja 2019 r. wszedł w życie pakiet zmian dostosowujących przepisy 162 ustaw do unijnych przepisów o ochronie danych osobowych (RODO). Zmiany dotyczą m.in. przepisów podatkowych, gospodarczych, prawa pracy i ubezpieczeń społecznych. Przedstawiamy tabelaryczne zestawienie zmian wprowadzonych w ww. dziedzinach opracowane na podstawie książki „RODO 2019 - plusy i minusy zmian od 4 maja”.

Tabelaryczne zestawienie zmian dotyczących ochrony danych osobowych w przepisach podatkowych, prawa pracy, ZUS i prawa gospodarczego

PODATKI

NIP

W ustawie o zasadach ewidencji podatników i płatników wprowadzono uproszczony mechanizm wykonania obowiązku informacyjnego nakładanego przez RODO. Zgodnie z nowo dodanym przepisem art. 15aa ustawy o NIP wykonanie obowiązku informacyjnego następuje przez udostępnienie informacji wymaganych przez RODO (wymienionych w art. 13 ust. 1 i 2 rozporządzenia UE 2016/679):

n
w miejscu publicznie dostępnym w siedzibie organu lub

n
w Biuletynie Informacji Publicznej na stronie podmiotowej tego organu lub urzędu obsługującego ten organ,

n
na stronie internetowej organu.

Ponadto zostały uregulowane:

n
kwestie podstawy prawnej przetwarzania danych osobowych do celów regulowanych ustawą o NIP,

n
zasady upoważniania osób zatrudnionych (pełniących służbę) w Krajowej Administracji Skarbowej do przetwarzania danych osobowych zawartych w CRP KEP oraz

n
minimalne obowiązki w zakresie zabezpieczenia tych danych (zapobieganie nadużyciom lub niezgodnemu z prawem dostępowi do danych).

Podstawa prawna:

art. 15aa ustawy z 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników - Dz.U. z 2019 r. poz. 63

Ordynacja podatkowa

Ordynacja podatkowa reguluje sposób wykonywania przez organy podatkowe obowiązku informacyjnego RODO (art. 1a O.p.) i stanowi, że wykonywanie tego obowiązku:

n
odbywa się niezależnie od obowiązków organów podatkowych przewidzianych w Ordynacji podatkowej oraz

n
nie wpływa na tok i wynik procedur podatkowych.

Podobnie skorzystanie przez podatnika z prawa do żądania od administratora ograniczenia przetwarzania danych (art. 18 rozporządzenia 2016/679) nie wpływa na tok i wynik procedur podatkowych.

Wyraźnie oddzielono tym samym obowiązki związane z RODO od obowiązków i procedur podatkowych.

Ponadto ustawodawca wyraźnie oddzielił prawo dostępu do akt sprawy wynikające z art. 178 O.p. od prawa dostępu do danych osobowych wynikającego z przepisów RODO.

Z nowych regulacji wynika, że prawo dostępu do akt regulowane w Ordynacji podatkowej nie narusza prawa do skorzystania z takich uprawnień na podstawie RODO.

Podstawa prawna:


art. 1a, art. 159 § 1b, art. 165 § 9, art. 165a § 1, art. 170 § 1a, art. 171 § 1, art. 178, art. 179a, art. 283 § 2 pkt 9, art. 306aa ustawy z 29 sierpnia 1997 r. - Ordynacja podatkowa - j.t. Dz.U. z 2019 r. poz. 900

Krajowa Administracja Skarbowa

W ustawie o Krajowej Administracji Skarbowej wprowadzono ogólne reguły przetwarzania danych przez KAS (podobne do wprowadzonych w Ordynacji podatkowej wobec organów podatkowych). Mianowicie zapisano, że:

n
organy KAS przetwarzają dane osobowe, w tym w Centralnym Rejestrze Danych Podatkowych, w celach realizacji zadań lub obowiązków określonych w ustawie, przez okres niezbędny do osiągnięcia tych celów (art. 47 ust. 1 i art. 47b),

n
KAS ma prawo do zautomatyzowanego przetwarzania danych lub zautomatyzowanego podejmowania decyzji, wywołującego skutki prawne wobec osoby profilowanej lub której dane podlegają zautomatyzowanemu przetwarzaniu (art. 47c),

n
KAS wykonuje obowiązek informacyjny RODO poprzez udostępnienie informacji o przetwarzaniu danych w siedzibie organu lub na stronie internetowej tego organu lub na stronie BIP (w takim przypadku organ KAS podczas pozyskiwania danych osobowych przekazuje osobie, której dane dotyczą, informacje o miejscu ich udostępnienia) - art. 47d,

n
wykonywanie obowiązku informacyjnego wymaganego przez RODO, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów KAS i nie wpływa na przebieg i wynik procedur podejmowanych przed tymi organami, o których mowa w działach IV i V (czyli m.in. nie wpływa na prowadzone kontrole celno-skarbowe, audyt, czynności audytowe, urzędowe sprawdzenie) - art. 47d ust. 2.

Warto dodać, że z ustawy zniknął zapis upoważniający organy KAS do przetwarzania danych osobowych bez wiedzy i zgody osoby, której dane dotyczą.

Podstawa prawna:

art. 34a, art. 47 ust. 1 i 2, art. 47b-47e ustawy z 16 listopada 2016 r. o Krajowej Administracji Skarbowej - j.t. Dz.U. z 2018 r. poz. 50; ost.zm. Dz.U. z 2019 r. poz. 125

Prawo pracy i ZUS

Kodeks pracy

Zgodnie z przepisami dostosowującymi regulacje Kodeksu pracy do przepisów RODO pracodawca będzie mógł żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących (art. 221 § 1 Kodeksu pracy po nowelizacji):

1) imię (imiona) i nazwisko,

2) datę urodzenia,

3) dane kontaktowe wskazane przez taką osobę,

4) wykształcenie,

5) kwalifikacje zawodowe,

6) przebieg dotychczasowego zatrudnienia.

Jednak danych dotyczących wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia pracodawca żąda tylko wtedy, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Nowelizacja zmienia katalog danych, jakich można żądać od kandydata do pracy. Nie można będzie bowiem już wymagać od tych osób imion rodziców i adresu zamieszkania.

Natomiast będzie można żądać danych kontaktowych, ale sama osoba ubiegająca się o zatrudnienie zdecyduje, jakiego rodzaju to będą dane.

Ponadto ustawodawca uregulował:

n
zasady pozyskiwania przez pracodawcę od pracownika innych danych niż wymagane przepisami Kodeksu pracy,

n
zasady pozyskiwania zgody pracownika na przetwarzanie danych przez pracodawcę,

n
zasady pozyskiwania przez pracodawcę danych wrażliwych (np. biometrycznych).

Zmianie uległy także zasady prowadzenia monitoringu w pracy. Wyłączono możliwość monitorowania pomieszczeń zakładowej organizacji związkowej. Wprowadzono też wymóg uzyskania zgody związku zawodowego (lub przedstawicieli pracowników) na prowadzenie monitoringu wizyjnego w pomieszczeniach sanitarnych.

Podstawa prawna:

art. 221, art. 222 ustawy z 26 czerwca 1974 r. - Kodeks pracy - j.t. Dz.U. z 2018 r. poz. 917; ost.zm. Dz.U. z 2019 r. poz. 730

ZFŚS

Zgodnie ze znowelizowanymi przepisami ustawy o ZFŚS udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z funduszu socjalnego, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca będzie mógł żądać udokumentowania wskazanych przez pracownika danych w zakresie niezbędnym do ich potwierdzenia.

Mając na względzie specjalny charakter danych osobowych obejmujących informacje o sytuacji prywatnej osób uprawnionych, niezbędnych w celu przyznania i ustalenia wysokości usług i świadczeń socjalnych (w szczególności danych o sytuacji zdrowotnej), do przetwarzania tych danych będą uprawnione wyłącznie osoby upoważnione przez pracodawcę. W związku z tymi zmianami członkowie komisji socjalnych działających w zakładzie pracy powinni posiadać pisemne upoważnienia do przetwarzania danych osobowych wraz z zobowiązaniem do zachowania ich w tajemnicy.

Ponadto pracodawca został zobowiązany do dokonywania przeglądu zgromadzonych danych osobowych nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celów, dla których zostały zebrane.

W regulaminie ZFŚS powinny zatem znaleźć się zapisy o usuwaniu przechowywanych danych, szczegółowe zasady i warunki ustalania sytuacji socjalnej osób uprawnionych, treści oświadczeń oraz ewentualnej dokumentacji, której pracodawca może wymagać dla weryfikacji prawdziwości złożonego przez pracownika oświadczenia.

Podstawa prawna:

art. 8 ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych - j.t. Dz.U. z 2018 r. poz. 1316; ost.zm. Dz.U. z 2019 r. poz. 730

Ustawa o systemie ubezpieczeń społecznych

Nowelizacja dostosowująca ustawę o systemie ubezpieczeń społecznych do przepisów RODO wprowadza uproszczoną formę obowiązku informacyjnego wynikającego z RODO w przypadku danych przetwarzanych przez ZUS.

Ustawa dostosowująca wprowadza także istotną regulację, zgodnie z którą wykonywanie obowiązku informacyjnego wynikającego z RODO odbywa się niezależnie od obowiązków ZUS i nie wpływa na przebieg i wynik postępowań prowadzonych przez ten organ. Oznacza to, że niewypełnienie tego obowiązku przez ZUS nie będzie mogło być podstawą np. do zakwestionowania określonej, merytorycznej decyzji ZUS.

Podstawa prawna:

art. 34-34a ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych - j.t. Dz.U. z 2019 r. poz. 300; ost.zm. Dz.U. z 2019 r. poz. 730

Prawo gospodarcze

Prawo konsumenckie

W ustawie o prawach konsumenta wprowadzono ułatwienia dla mikroprzedsiębiorców w zakresie wykonywania obowiązków informacyjnych wynikających z RODO

Zgodnie z nowo dodanym art. 4a ustawy o prawach konsumenta mikroprzedsiębiorca może wykonać obowiązki informacyjne wynikające z RODO (nałożone przepisami art. 13 rozporządzenia UE 2016/679) przez:

n
wywieszenie stosownych informacji w widocznym miejscu w lokalu przedsiębiors-
twa lub

n
udostępnienie stosownych informacji na swojej stronie internetowej.

Mikroprzedsiębiorca może w ten sposób wypełnić swoje obowiązki informacyjne zarówno w zakresie umów zawieranych w lokalu przedsiębiorstwa (zakładzie usługowym czy sklepie), jak i w przypadku umów zawieranych poza lokalem przedsiębiorstwa lub na odległość.

Podstawa prawna:

art. 4a ustawy z 30 maja 2014 r. o prawach konsumenta - Dz.U. z 2019 r. poz. 134

Ochrona danych osobowych

W ustawie z 10 maja 2018 r. o ochronie danych osobowych wprowadzono zmiany dostosowujące do rozporządzenia RODO.

W art. 5a została wprowadzona ogólna regulacja uniemożliwiająca wykorzystywanie RODO jako sposobu utrudnienia wykonywania ustawowych zadań przez organy publiczne, np. w ramach procedur karnych, a także procedur podatkowych itp.

Ponadto na podmioty, które naruszają przepisy RODO i wobec których Prezes UOKiK wszczął postępowanie w celu nałożenia administracyjnej kary pieniężnej, został nałożony obowiązek przekazania Prezesowi UOKiK danych niezbędnych do określenia podstawy wymiaru tej kary. Brak przekazania tych danych (lub dostarczenie danych, na podstawie których ustalenie podstawy wymiaru jest niemożliwe) spowoduje określenie kary w wartości szacunkowej (art. 101a). Za brak przekazania danych do określenia podstawy wymiaru bądź przekazanie danych, które uniemożliwiają ustalenie podstawy wymiaru, grozi także kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2 (art. 108).

Podstawa prawna:

art. 5a, 6a, 11a, 57 ust. 1, art. 101a, art. 108 ustawy z 10 maja 2018 r. o ochronie danych osobowych - Dz.U. z 2018 r. poz. 1000; ost.zm. Dz.U. z 2018 r. poz. 1669

PODSTAWA PRAWNA:

ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz.U. z 2019 r. poz. 730

Ewa Sławińska

prawnik, redaktor naczelna "MONITORA księgowego"

Notyfikacje

Czy chcesz otrzymywać informacje o najnowszych szkoleniach? Zgódź się na powiadomienia od wideoakademii

Powiadomienia można wyłączyć w preferencjach systemowych
NIE NIE
TAK TAK