Prawo pracy - Personel od A do Z

Przyjęta 24 września 2010 r. przez Sejm nowelizacja ustawy o ochronie danych osobowych ma przede wszystkim wprowadzić bardziej skuteczne instrumenty służące egzekwowaniu prawa oraz rozwiać wątpliwości interpretacyjne, jakie pojawiały się na gruncie obecnie obowiązującej ustawy.

Jedną z takich wątpliwości była kwestia odwołania zgody na przetwarzanie danych osobowych przez osobę, której dane te dotyczą. Przepisy nie regulują jednoznacznie tej sprawy, a również w literaturze sprawa ta jest mocno dyskusyjna.

Nowelizacja doprecyzowuje więc definicję zgody na przetwarzanie danych osoby, której dane dotyczą i wprowadza możliwość odwołania wcześniej złożonej zgody w każdym czasie.

Obecnie obowiązujące przepisy dają Generalnemu Inspektorowi Ochrony Danych Osobowych, jego zastępcy oraz upoważnionym pracownikom biura prawo do kontrolowania administratorów danych osobowych (np. pracodawców) w zakresie przestrzegania przepisów ustawy. Kontrola taka może być przeprowadzona po przedstawieniu przez inspektora imiennego upoważnienia oraz legitymacji służbowej.

Nowelizacja ustawy doprecyzowuje, co musi znaleźć się w upoważnieniu do przeprowadzenia kontroli. Ma to być:

• wskazanie podstawy prawnej przeprowadzenia kontroli,
• oznaczenie organu kontroli,
• imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej,
• określenie zakresu przedmiotowego kontroli,
• oznaczenie podmiotu objętego kontrolą albo zbioru danych lub miejsca poddawanego kontroli,
• wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli,
• podpis Generalnego Inspektora,
• pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach,
• datę i miejsce wystawienia imiennego upoważnienia.

Każda kontrola inspektora GIODO musi zakończyć się sporządzeniem przez niego protokołu, którego jeden egzemplarz otrzymuje kontrolowany administrator danych. Po wejściu w życie znowelizowanych przepisów określone zostaną szczegółowe wytyczne co do treści protokołu. W świetle nowych regulacji protokół będzie musiał zawierać:

• nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres,
• imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora,
• imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot,
• datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli,
• określenie przedmiotu i zakresu kontroli,
• opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
• wyszczególnienie załączników stanowiących składową część protokołu,
• omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień,
• parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu,
• wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany,
• wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu,
• datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.

Obecnie obowiązująca ustawa o ochronie danych osobowych nie przewiduje sankcji za utrudnianie lub uniemożliwianie przeprowadzenia kontroli przez inspektora GIODO. Nowelizacja wprowadza w tym zakresie spore zmiany - zgodnie z nią „kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

Warto również dodać, że w razie rozszerzenia zakresu przetwarzania danych o dane, o których mowa w art. 27 ust 1 ustawy (tj. o dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym) administrator danych będzie zobowiązany zgłosić tę zmianę do GIODO przed dokonaniem jej w zbiorze.