Zmiana wszystkich ustaw obowiązujących w Polsce już jest za rogiem. W związku z tym, zrobiliśmy dla Was wykaz zmian, który może Was zainteresować. Zobaczcie sami, co RODO szykuje nowego dla nas wszystkich.
Streszczenie zmian
- Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123) – zmiany dotyczą:
- zasad uzyskiwania zgody usługobiorcy (następuje tu odwołanie do ogólnych przepisów o ochronie danych osobowych, czyli RODO i ustawy o ochronie danych osobowych);
- zasad przetwarzania danych osobowych usługobiorców (uchylono przepisy szczególne, co oznacza, że zastosowanie znajdą RODO i ustawa o ochronie danych osobowych).
- Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954, 2245 i 2354) – zmiany dotyczą:
- uchylenia niektórych regulacji szczególnych i zastąpienie ich odwołaniem do ogólnych przepisów o ochronie danych osobowych;
- obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych i ich minimalnego zakresu;
- obowiązku zawiadomienia PUODO o naruszeniach;
- kar pieniężnych za niedopełnienie obowiązków określonych w ustawie.
- Ustawa z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2019 r. poz. 134)
- nowelizacja określa zasady wykonywania obowiązku informacyjnego z art. 13 RODO przez przedsiębiorców.
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669) – nowelizacja określa :
- przypadki, w których administrator nie wykonuje obowiązków z art. 15 RODO (prawo dostępu do danych oraz uzyskania ich kopii);
- zasady przetwarzania danych osobowych z związku z wykonywaniem kompetencji Prezydenta RP;
- zasady wyznaczania tymczasowego zastępcy IOD;
- obowiązek dostarczenia PUODO danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej oraz karę za jego niewykonanie.
- Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm) – zmiany dotyczą:
- danych osobowych, których pracodawca może żądać od kandydata na pracownika i pracownika już zatrudnionego;
- przetwarzania danych osobowych pracownika na podstawie zgody;
- przetwarzania szczególnych kategorii danych osobowych pracownika;
- prowadzenia w zakładzie pracy monitoringu wizyjnego.
- Ustawa z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60)
- nowelizacja określa zasady i sposoby realizacji obowiązku informacyjnego z art. 13 RODO przez organy władzy publicznej (co do zasady następuje to przy pierwszej czynności organu skierowanej do osoby fizycznej).
- Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2018 r. poz. 217, 357, 398 i 650 oraz z 2019 r. poz. 55) – nowelizacja określa:
- ograniczenia stosowania RODO do określonej w ustawie dokumentacji;
- obowiązku anonimizacji i pseudonimizacji oraz wyjątków od niego;
- okresu przetwarzania danych osobowych.
Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123)
Przed nowelizacją | Po nowelizacji |
Art. 4. 1. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta:1)nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;2)może być odwołana w każdym czasie.2. Usługodawca wykazuje uzyskanie zgody, o której mowa w ust. 1, dla celów dowodowych. | Art. 4. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych. |
Art. 16. 1. Do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) , w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej.2. Dane osobowe podlegają ochronie przewidzianej w niniejszym rozdziale w zakresie ich przetwarzania niezależnie od tego, czy jest ono dokonywane w zbiorach danych. | Utracił moc |
Art. 17. Dane osobowe usługobiorcy mogą być przetwarzane przez usługodawcę w celu i zakresie określonym w niniejszej ustawie. | Utracił moc |
Art. 18. (…)3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną zgodnie z art. 22 ust. 1.4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów określonych w art. 19 ust. 2 pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną. | Art. 18 (…) 3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną. 4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną. |
Art. 19. 1. Usługodawca nie może przetwarzać danych osobowych usługobiorcy po zakończeniu korzystania z usługi świadczonej drogą elektroniczną, z zastrzeżeniem ust. 2.2. Po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca, na zasadach określonych w ust. 3-5, może przetwarzać tylko te spośród danych określonych w art. 18, które są:1)niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi;2)niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, za zgodą usługobiorcy;3)niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi, o którym mowa w art. 21 ust. 1;4)dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy. 3. Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym zakresie. 4. Dla celów, o których mowa w ust. 2 pkt 2, dopuszcza się jedynie zestawianie danych wymienionych w art. 18 ust. 4 i 5 dotyczących korzystania przez usługobiorcę z różnych usług świadczonych drogą elektroniczną, pod warunkiem usunięcia wszelkich oznaczeń identyfikujących usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego korzystał (anonimizacja danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie tych oznaczeń.5. Usługodawca nie może zestawiać danych osobowych usługobiorcy z przybranym przez niego pseudonimem. | Art. 19.Ust. 1-2 utraciły moc 3. Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym zakresie. Ust. 4-5 utraciły moc |
Art. 20. 1. Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:1)możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo lub z wykorzystaniem pseudonimu, o ile są spełnione warunki określone w art. 22 ust. 2;2)udostępnianych przez usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną;3)podmiocie, któremu powierza przetwarzanie danych, ich zakresie i zamierzonym terminie przekazania, jeżeli usługodawca zawarł z tym podmiotem umowę o powierzenie do przetwarzania danych, o których mowa w art. 18 ust. 1, 2, 4 i 5.2. Informacje, o których mowa w ust. 1, powinny być dla usługobiorcy stale i łatwo dostępne za pomocą systemu teleinformatycznego, którym się posługuje. | Utracił moc |
Art. 21. 1. W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub z obowiązującymi przepisami (niedozwolone korzystanie), usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości.2. Usługodawca może powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem ich niezwłocznego zaprzestania, a także o skorzystaniu z uprawnienia, o którym mowa w ust. 1. | Utracił moc |
Art. 22. 1. Odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez usługobiorcę danych, o których mowa w art. 18 ust. 1 i 2, jest dopuszczalna tylko wtedy, gdy przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw.2. Usługodawca umożliwia usługobiorcy korzystanie z usługi lub uiszczanie opłat za nią, jeżeli usługa świadczona drogą elektroniczną jest odpłatna, w sposób anonimowy albo przy użyciu pseudonimu, o ile jest to technicznie możliwe oraz zwyczajowo przyjęte. | Utracił moc |
Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954, 2245 i 2354))
Przed nowelizacją | Po nowelizacji |
Art. 57. 1. Dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej od:1)(uchylony);2)niezawierania z innym dostawcą usług umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej;3)udzielenia informacji lub danych, innych niż określone w art. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną. | Art. 57. 1. Dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej od:1)(uchylony);2)niezawierania z innym dostawcą usług umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej.3) (uchylony) |
Art. 78. (…)2. Dostawca publicznie dostępnych usług telefonicznych jest obowiązany, dla zapewnienia funkcjonalności systemu, o którym mowa w ust. 4, nieodpłatnie przekazywać Prezesowi UKE:1)w przypadku abonenta będącego konsumentem – dane, o których mowa w art. 161 ust. 2 pkt 4-6 i art. 169 ust. 1, | Art. 78. (…) 2. Dostawca publicznie dostępnych usług telefonicznych jest obowiązany, dla zapewnienia funkcjonalności systemu, o którym mowa w ust. 4, nieodpłatnie przekazywać Prezesowi UKE:1) w przypadku abonenta będącego konsumentem:dane, o których mowa w art. 169 ust. 1, adres miejsca zamieszkania i adres korespondencyjny – jeżeli jest on inny niż adres miejsca zamieszkania, numer PESEL − w przypadku obywatela Rzeczypospolitej Polskiej, nazwę, serię i numeru dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej − numer paszportu lub karty pobytu, |
Art. 159. 1. Tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej „tajemnicą telekomunikacyjną”, obejmuje:1) dane dotyczące użytkownika; | Art. 159. 1. Tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej „tajemnicą telekomunikacyjną”, obejmuje:1) dane dotyczące użytkownika, z zastrzeżeniem art. 161 ust. 2; |
Art. 161. (…)2. Dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną:1)nazwisk i imion;2)imion rodziców;3)miejsca i daty urodzenia;4)adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania;5)numeru ewidencyjnego PESEL – w przypadku obywatela Rzeczypospolitej Polskiej;6)nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej – numeru paszportu lub karty pobytu;7)zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych;8) adresu poczty elektronicznej. | Art. 161 (…) 2. Przetwarzanie danych osobowych użytkownika – innych niż wskazane w art. 159 ust. 1 pkt 2–5 − będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych. |
Art. 174. Jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta:1)nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;2)może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika;3)może być wycofana w każdym czasie, w sposób prosty i wolny od opłat. | Art. 174. Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. |
Brak w obecnej ustawie | Art. 1741 . Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanym dalej „rozporządzeniem 2016/679”, środki ochrony co najmniej: 1) zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych, oraz 2) chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz 3) zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych. |
Art. 174a. 1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia. 2. Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych. Brak w obecnej ustawie 3. W przypadku, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia, zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego. Brak w obecnej ustawie 4. Przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej. 5. Zawiadomienie, o którym mowa w ust. 3, nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona. Brak w obecnej ustawie 6. Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Generalny Inspektor Ochrony Danych Osobowych 72 może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym, będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia. 7. Zawiadomienie, o którym mowa w ust. 1, powinno zawierać w szczególności:1)opis charakteru naruszenia danych osobowych oraz zakładane ryzyko związane z naruszeniem;2)dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych, umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;3)informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych;4)informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych;5)informacje o fakcie poinformowania lub braku poinformowania abonenta lub użytkownika końcowego, będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych;6)opis skutków naruszenia danych osobowych;7)opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych. 8. Zawiadomienie, o którym mowa w ust. 3, powinno zawierać:1)opis charakteru naruszenia danych osobowych;2)dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych, umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;3)informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych;4)informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych;5)opis skutków naruszenia danych osobowych;6)opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych. Brak w obecnej ustawie | Art. 174a. 1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej „rozporządzeniem 611/2013”. 2. bez zmian 2a. Prezes Urzędu Ochrony Danych Osobowych zapewnia bezpieczne środki elektroniczne służące do powiadamiania o przypadkach naruszenia danych osobowych, o których mowa w ust. 1, oraz informacje dotyczące trybu dostępu do tych środków i ich stosowania. 3. W przypadku gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego na zasadach określonych w rozporządzeniu 611/2013, z zastrzeżeniem ust. 5. 3a. Zgodę, o której mowa w art. 3 ust. 5 rozporządzenia 611/2013, Prezes Urzędu Ochrony Danych Osobowych wydaje w drodze decyzji. 4. Bez mian 5. Zawiadomienie, o którym mowa w ust. 3, nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wykazał wdrożenie technologicznych środków ochrony, o których mowa w art. 4 ust. 1 i 2 rozporządzenia 611/2013, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosowanie tych środków do danych, których ochrona została naruszona. 5a. Dostawca publicznie dostępnych usług telekomunikacyjnych wykazuje spełnienie warunków, o których mowa w ust. 5, przekazując 125 niezwłocznie Prezesowi Urzędu Ochrony Danych Osobowych odpowiednią dokumentację.”. 6. Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Prezes Urzędu Ochrony Danych Osobowych może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym, będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia. 7. Uchylony 8. Uchylony 9. W przypadku gdy naruszenie danych osobowych ma wpływ naabonentów lub użytkowników końcowych będących osobami fizycznymi zinnych państw członkowskich, Prezes Urzędu Ochrony Danych Osobowychinformuje inne zainteresowane organy z państw członkowskich.” |
Art. 174b. Do sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych kontroli wykonywania przez dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązków, o których mowa w art. 174a oraz art. 174d, stosuje się odpowiednio przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) . | Art. 174b. Do sprawowanej przez Prezesa Urzędu Ochrony Danych Osobowych kontroli wykonywania przez dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązków, o których mowa w art. 1741 , art. 174a oraz art. 174d, stosuje się odpowiednio przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. |
Art. 174c. Generalny Inspektor Ochrony Danych Osobowych kierując wystąpienie, o którym mowa w art. 19a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych , do dostawcy publicznie dostępnych usług telekomunikacyjnych uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadomienia abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Generalny Inspektor Ochrony Danych Osobowych może publikować wystąpienia na swojej stronie podmiotowej BIP, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa. | Art. 174c. Prezes Urzędu Ochrony Danych Osobowych, kierując wystąpienie, o którym mowa w art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, do dostawcy publicznie dostępnych usług telekomunikacyjnych uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadomienia abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Prezes Urzędu Ochrony Danych Osobowych może udostępniać wystąpienia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa. |
Art. 174d. Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań,o których mowa w art. 174a ust. 8 pkt 4 i 6, zawierający w szczególności: 1) opis charakteru naruszenia danych osobowych; 2) informacje o zaleconych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych; 3) informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych; 4) informacje o fakcie poinformowania lub braku poinformowania abonenta lub użytkownika końcowego będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych; 5) opis skutków naruszenia danych osobowych; 6) opis zaproponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych. 2. Dostawca publicznie dostępnych usług telekomunikacyjnych może powierzyć, w drodze umowy, innemu przedsiębiorcy prowadzenie rejestru, o którym mowa w ust. 1. | Art. 174d. Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań, zawierający w szczególności: 1) opis charakteru naruszenia danych osobowych; 2) informacje o zaleconych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych; 3) informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych; 4) informacje o fakcie poinformowania lub braku poinformowania abonenta lub użytkownika końcowego będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych; 5) opis skutków naruszenia danych osobowych; 6) opis zaproponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych. 2. Dostawca publicznie dostępnych usług telekomunikacyjnych może powierzyć, w drodze umowy, innemu przedsiębiorcy prowadzenie rejestru, o którym mowa w ust. 1. |
Brak w obecnej ustawie | Art. 210a. 1. Kto nie wypełnia obowiązku: 1) wdrożenia technicznych i organizacyjnych środków ochrony, o których mowa w art. 1741 , 2) informacyjnego, względem Prezesa Urzędu Ochrony Danych Osobowych, o którym mowa w art. 174a ust. 1, 3) informacyjnego, względem abonenta lub użytkownika końcowego, o którym mowa w art. 174a ust. 3, 4) prowadzenia rejestru naruszeń danych osobowych, o którym mowa w art. 174d ust. 1 – podlega karze pieniężnej nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym. 2. Do kar nakładanych na podstawie ust. 1 stosuje się odpowiednio przepisy art. 209 ust. 1a–3 oraz art. 210. Uprawnienia Prezesa UKE określone w tych przepisach przysługują Prezesowi Urzędu Ochrony Danych Osobowych. |
Ustawa z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2019 r. poz. 134)
Przed nowelizacją | Po nowelizacji |
Brak w obecnej ustawie | Art. 4a. 1. Administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212), wykonuje obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.86)), zwanego dalej „rozporządzeniem 2016/679”, w zakresie umów, o których mowa w rozdziałach 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. 2. Przepisu ust. 1 nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 rozporządzenia 2016/679. 3. Przepisu ust. 1 nie stosuje się do administratora danych, który: 1) przetwarza dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, lub 2) udostępnia dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, innym administratorom, z wyjątkiem przypadku gdy: a) osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo b) udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze. |
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669)
Przed nowelizacją | Po nowelizacji |
Brak w obecnej ustawie | Art. 5a. 1. Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, w przypadku gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego mającego na celu: 1) zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom; 2) ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności: a) realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności, b) wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia należności pieniężnych i niepieniężnych, c) przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek z wyłudzeniami skarbowymi, d) ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami, e) prowadzenie kontroli, w tym kontroli celno-skarbowych. 2. W przypadku, o którym mowa w ust. 1, administrator udziela odpowiedzi na żądanie wniesione na podstawie art. 15 rozporządzenia 2016/679 w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne. |
Brak w obecnej ustawie | Art. 6a. 1. Do przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, w zakresie nieobjętym bezpieczeństwem narodowym, stosuje się odpowiednio przepisy art. 4–7, art. 11, art. 12, art. 16, art. 17, art. 24 ust. 1 i 2, art. 25 ust. 1 i 2, art. 28–30, art. 32, art. 34, art. 35, art. 37–39 i art. 86 rozporządzenia 2016/679 oraz przepisy art. 6 i art. 11 ustawy. 2. Przetwarzanie danych, o których mowa w art. 9 i art. 10 rozporządzenia 2016/679, następuje w zakresie niezbędnym do realizacji konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, jeżeli prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań wynikających z tych kompetencji. |
Brak w obecnej ustawie | Art. 11a. 1. Podmiot, który wyznaczył inspektora, może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności, z uwzględnieniem kryteriów, o których mowa w art. 37 ust. 5 i 6 rozporządzenia 2016/679. 2. W związku z wykonywaniem obowiązków inspektora w czasie jego nieobecności do osoby go zastępującej stosuje się odpowiednio przepisy dotyczące inspektora. 3. Podmiot, który wyznaczył osobę zastępującą inspektora, zawiadamia Prezesa Urzędu o jej wyznaczeniu w trybie określonym w art. 10 oraz udostępnia jej dane zgodnie z art. 11. |
Art. 57. 1. Administrator lub podmiot przetwarzający może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o którym mowa w art. 36rozporządzenia 2016/679. | Art. 57.1. Administrator może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o których mowa w art. 36 rozporządzenia 2016/679. |
Brak w obecnej ustawie | Art. 101a. 1. W związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, podmiot, o którym mowa w art. 101, jest obowiązany do dostarczenia Prezesowi Urzędu, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej. 2. W przypadku niedostarczenia danych przez podmiot, o którym mowa w art. 101, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes Urzędu ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu |
Art. 108. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. | Art. 108. 1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. 2. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej. |
Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm)
Przed nowelizacją | Po nowelizacji |
Art. 221. § 1.Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:1)imię (imiona) i nazwisko;2)imiona rodziców;3)datę urodzenia;4)miejsce zamieszkania (adres do korespondencji);5)wykształcenie;6)przebieg dotychczasowego zatrudnienia.§ 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także:1)innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;2)numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL);3) numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.§ 3.Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 2. § 4.Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów. § 5.W zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisyo ochronie danych osobowych. | Art. 221. § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia. § 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4–6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. § 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie; 5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych. § 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. § 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia. |
Brak w obecnej ustawie | Art. 221a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2016/679”. § 2. Brak zgody, o której mowa w § 1, lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę. § 3. Przetwarzanie, o którym mowa w § 1, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. |
Brak w obecnej ustawie | Art. 221b . § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Przepis art. 221a § 2 stosuje się odpowiednio. § 2. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. § 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy. |
Art. 222.§ 1.Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). Brak w obecnej ustawie § 2.Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. (…)§ 10.Przepis § 9 nie narusza przepisów art. 12 i art. 13rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1). | Art. 222.§ 1. Bez zmian § 11. Monitoring nie obejmuje pomieszczeń udostępnianych zakładowej organizacji związkowej. § 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Monitoring pomieszczeń sanitarnych wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy. (…) § 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia 2016/679. |
Art. 229. § 1. Wstępnym badaniom lekarskim, z zastrzeżeniem § 11 , podlegają: 1) osoby przyjmowane do pracy; 2) pracownicy młodociani przenoszeni na inne stanowiska pracy i inni pracownicy przenoszeni na stanowiska pracy, na których występują czynniki szkodliwe dla zdrowia lub warunki uciążliwe. § 1 1. Wstępnym badaniom lekarskim nie podlegają osoby 1) przyjmowane ponownie do pracy u tego samego pracodawcy na to samo stanowisko lub na stanowisko o takich samych warunkach pracy w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy z tym pracodawcą; 2) przyjmowane do pracy u innego pracodawcy na dane stanowisko w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy, jeżeli przedstawią pracodawcy aktualne orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy w warunkach pracy opisanych w skierowaniu na badania lekarskie, a pracodawca ten stwierdzi, że warunki te odpowiadają warunkom występującym na danym stanowisku pracy, z wyłączeniem osób przyjmowanych do wykonywania prac szczególnie niebezpiecznych. § 1 2. Przepis § 11pkt 2 stosuje się odpowiednio w przypadku przyjmowania do pracy osoby pozostającej jednocześnie w stosunku pracy z innym pracodawcą. § 2. Pracownik podlega okresowym badaniom lekarskim. W przypadku niezdolności do pracy trwającej dłużej niż 30 dni, spowodowanej chorobą, pracownik podlega ponadto kontrolnym badaniom lekarskim w celu ustalenia zdolności do wykonywania pracy na dotychczasowym stanowisku. § 3. Okresowe i kontrolne badania lekarskie przeprowadza się w miarę możliwości w godzinach pracy. Za czas niewykonywania pracy w związku z przeprowadzanymi badaniami pracownik zachowuje prawo do wynagrodzenia, a w razie przejazdu na te badania do innej miejscowości przysługują mu należności na pokrycie kosztów przejazdu według zasad obowiązujących przy podróżach służbowych. § 4. Pracodawca nie może dopuścić do pracy pracownika bez aktualnego orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku w warunkach pracy opisanych w skierowaniu na badania lekarskie. § 4a. Wstępne, okresowe i kontrolne badania lekarskie przeprowadza się na podstawie skierowania wydanego przez pracodawcę. § 5. Pracodawca zatrudniający pracowników w warunkach narażenia na działanie substancji i czynników rakotwórczych lub pyłów zwłókniających jest obowiązany zapewnić tym pracownikom okresowe badania lekarskie także: 1) po zaprzestaniu pracy w kontakcie z tymi substancjami, czynnikami lub pyłami; 2) po rozwiązaniu stosunku pracy, jeżeli zainteresowana osoba zgłosi wniosek o objęcie takimi badaniami. § 6. Badania, o których mowa w § 1, 2 i 5, są przeprowadzane na koszt pracodawcy. Pracodawca ponosi ponadto inne koszty profilaktycznej opieki zdrowotnej nad pracownikami, niezbędnej z uwagi na warunki pracy. § 7. Pracodawca jest obowiązany przechowywać orzeczenia wydane na podstawie badań lekarskich, o których mowa w § 1, 2 i 5. § 8. Minister właściwy do spraw zdrowia w porozumieniu z ministrem właściwym do spraw pracy określi, w drodze rozporządzenia: 1) tryb i zakres badań lekarskich, o których mowa w § 1, 2 i 5, oraz częstotliwość badań okresowych, a także sposób dokumentowania i kontroli badań lekarskich, 2) tryb wydawania i przechowywania orzeczeń lekarskich do celów przewidzianych w niniejszej ustawie i w przepisach wydanych na jej podstawie, 3) zakres informacji objętych skierowaniem na badania lekarskie i orzeczeniem lekarskim, a także wzory tych dokumentów, 4) zakres profilaktycznej opieki zdrowotnej, o której mowa w § 6 zdanie drugie, 5) dodatkowe wymagania kwalifikacyjne, jakie powinni spełniać lekarze przeprowadzający badania, o których mowa w § 1, 2 i 5, oraz sprawujący profilaktyczną opiekę zdrowotną, o której mowa w § 6 zdanie drugie – uwzględniając konieczność zapewnienia prawidłowego przebiegu i kompleksowości badań lekarskich, o których mowa w § 1, 2 i 5, profilaktycznej opieki zdrowotnej, o której mowa w § 6 zdanie drugie, a także informacji umożliwiających porównanie warunków pracy u pracodawcy oraz ochrony danych osobowych osób poddanych badaniom | Art. 229. § 1. Wstępnym badaniom lekarskim, z zastrzeżeniem § 11 , podlegają: 1) osoby przyjmowane do pracy; 2) pracownicy młodociani przenoszeni na inne stanowiska pracy i inni pracownicy przenoszeni na stanowiska pracy, na których występują czynniki szkodliwe dla zdrowia lub warunki uciążliwe. § 1 1. Wstępnym badaniom lekarskim nie podlegają osoby 1) przyjmowane ponownie do pracy u tego samego pracodawcy na to samo stanowisko lub na stanowisko o takich samych warunkach pracy w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy z tym pracodawcą;2)przyjmowane do pracy u innego pracodawcy na dane stanowisko w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy, jeżeli posiadają aktualne orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy w warunkach pracy opisanych w skierowaniu na badania lekarskie i pracodawca ten stwierdzi, że warunki te odpowiadają warunkom występującym na danym stanowisku pracy, z wyłączeniem osób przyjmowanych do wykonywania prac szczególnie niebezpiecznych. § 1 2. Przepis § 11pkt 2 stosuje się odpowiednio w przypadku przyjmowania do pracy osoby pozostającej jednocześnie w stosunku pracy z innym pracodawcą. § 13. Pracodawca żąda od osoby, o której mowa w § 11pkt 2 oraz w § 12, aktualnego orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na danym stanowisku oraz skierowania na badania będące podstawą wydania tego orzeczenia. § 2. Pracownik podlega okresowym badaniom lekarskim. W przypadku niezdolności do pracy trwającej dłużej niż 30 dni, spowodowanej chorobą, pracownik podlega ponadto kontrolnym badaniom lekarskim w celu ustalenia zdolności do wykonywania pracy na dotychczasowym stanowisku. § 3. Okresowe i kontrolne badania lekarskie przeprowadza się w miarę możliwości w godzinach pracy. Za czas niewykonywania pracy w związku z przeprowadzanymi badaniami pracownik zachowuje prawo do wynagrodzenia, a w razie przejazdu na te badania do innej miejscowości przysługują mu należności na pokrycie kosztów przejazdu według zasad obowiązujących przy podróżach służbowych. § 4. Pracodawca nie może dopuścić do pracy pracownika bez aktualnego orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku w warunkach pracy opisanych w skierowaniu na badania lekarskie. § 4a. Wstępne, okresowe i kontrolne badania lekarskie przeprowadza się na podstawie skierowania wydanego przez pracodawcę. § 5. Pracodawca zatrudniający pracowników w warunkach narażenia na działanie substancji i czynników rakotwórczych lub pyłów zwłókniających jest obowiązany zapewnić tym pracownikom okresowe badania lekarskie także: 1) po zaprzestaniu pracy w kontakcie z tymi substancjami, czynnikami lub pyłami; 2) po rozwiązaniu stosunku pracy, jeżeli zainteresowana osoba zgłosi wniosek o objęcie takimi badaniami. § 6. Badania, o których mowa w § 1, 2 i 5, są przeprowadzane na koszt pracodawcy. Pracodawca ponosi ponadto inne koszty profilaktycznej opieki zdrowotnej nad pracownikami, niezbędnej z uwagi na warunki pracy. § 7. Pracodawca przechowuje orzeczenia wydane na podstawie badań lekarskich, o których mowa w § 1, 2 i 5, orzeczenia i skierowania uzyskane na podstawie § 13 oraz skierowania, o których mowa w § 4a. § 71. W przypadku stwierdzenia, że warunki określone w skierowaniu, o którym mowa w § 13, nie odpowiadają warunkom występującym na danym stanowisku pracy, pracodawca zwraca osobie przyjmowanej do pracy to skierowanie oraz orzeczenie lekarskie wydane w wyniku tego skierowania. § 8. Minister właściwy do spraw zdrowia w porozumieniu z ministrem właściwym do spraw pracy określi, w drodze rozporządzenia: 1) tryb i zakres badań lekarskich, o których mowa w § 1, 2 i 5, oraz częstotliwość badań okresowych, a także sposób dokumentowania i kontroli badań lekarskich, 2) tryb wydawania i przechowywania orzeczeń lekarskich do celów przewidzianych w niniejszej ustawie i w przepisach wydanych na jej podstawie, 3) zakres informacji objętych skierowaniem na badania lekarskie i orzeczeniem lekarskim, a także wzory tych dokumentów, 4) zakres profilaktycznej opieki zdrowotnej, o której mowa w § 6 zdanie drugie, 5) dodatkowe wymagania kwalifikacyjne, jakie powinni spełniać lekarze przeprowadzający badania, o których mowa w § 1, 2 i 5, oraz sprawujący profilaktyczną opiekę zdrowotną, o której mowa w § 6 zdanie drugie – uwzględniając konieczność zapewnienia prawidłowego przebiegu i kompleksowości badań lekarskich, o których mowa w § 1, 2 i 5, profilaktycznej opieki zdrowotnej, o której mowa w § 6 zdanie drugie, a także informacji umożliwiających porównanie warunków pracy u pracodawcy oraz ochrony danych osobowych osób poddanych badaniom. |
Ustawa z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60)
Przed nowelizacją | Po nowelizacji |
Brak w obecnej ustawie | Art. 2a. § 1. Kodeks postępowania administracyjnego normuje również sposób wykonywania obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2016/679”, w postępowaniach wymienionych w art. 1 i art. 2. § 2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów administracji publicznej przewidzianych w Kodeksie postępowania administracyjnego i nie wpływa na tok i wynik postępowania. § 3. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na tok i wynik postępowania |
Art. 54.§ 1.W wezwaniu należy wskazać:1)nazwę i adres organu wzywającego;2)imię i nazwisko wzywanego;3)w jakiej sprawie oraz w jakim charakterze i w jakim celu zostaje wezwany;4)czy wezwany powinien się stawić osobiście lub przez pełnomocnika, czy też może złożyć wyjaśnienie lub zeznanie na piśmie lub w formie dokumentu elektronicznego;5)termin, do którego żądanie powinno być spełnione, albo dzień, godzinę i miejsce stawienia się wezwanego lub jego pełnomocnika;6)skutki prawne niezastosowania się do wezwania. Brak w obecnej ustawie | Art. 54.§1. Bez zmian § 1a. W wezwaniu zawiera się również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie. |
Art. 61.(…)Brak w obecnej ustawie | Art. 61. (…) § 5. Organ administracji publicznej przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie. |
Art. 61a. § 1.Gdy żądanie, o którym mowa w art. 61, zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. | Art. 61a. §1. Gdy żądanie, o którym mowa w art. 61, zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. Przepis art. 61 § 5 stosuje się odpowiednio. |
Art. 65. § 1.Jeżeli organ administracji publicznej, do którego podanie wniesiono, jest niewłaściwy w sprawie, niezwłocznie przekazuje je do organu właściwego, zawiadamiając jednocześnie o tym wnoszącego podanie. Zawiadomienie o przekazaniu powinno zawierać uzasadnienie. Brak w obecnej ustawie | Art. 65. §1. Bez zmian §1a. Zawiadomienie o przekazaniu sprawy zawiera również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący, chyba że wnoszący podanie posiada te informacje, a ich zakres lub treść nie uległy zmianie. |
Art. 66.§ 1.Jeżeli podanie dotyczy kilku spraw podlegających załatwieniu przez różne organy, organ administracji publicznej, do którego podanie wniesiono, uczyni przedmiotem rozpoznania sprawy należące do jego właściwości. Równocześnie zawiadomi wnoszącego podanie, że w sprawach innych powinien wnieść odrębne podanie do właściwego organu, i poinformuje go o treści § 2. | Art. 66. §1.Jeżeli podanie dotyczy kilku spraw podlegających załatwieniu przez różne organy, organ administracji publicznej, do którego podanie wniesiono, uczyni przedmiotem rozpoznania sprawy należące do jego właściwości. Równocześnie zawiadomi wnoszącego podanie, że w sprawach innych powinien wnieść odrębne podanie do właściwego organu, i poinformuje go o treści § 2. Do zawiadomienia stosuje się odpowiednio przepis art. 65 § 1a. |
Art. 73. § 1.Strona ma prawo wglądu w akta sprawy, sporządzania z nich notatek, kopii lub odpisów. Prawo to przysługuje również po zakończeniu postępowania.§ 1a.Czynności określone w § 1 są dokonywane w lokalu organu administracji publicznej w obecności pracownika tego organu. Brak w obecnej ustawie | Art. 73. § 1. Bez zmian § 1a. Bez zmian § 1b. Wgląd w akta sprawy w przypadku, o którym mowa w art. 236 § 2, następuje z pominięciem danych osobowych osoby składającej skargę. |
Brak w obecnej ustawie | Art. 74a. Przepis art. 73 § 1 nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 rozporządzenia 2016/679 |
Brak w obecnej ustawie | Art. 122h. § 1. W sprawach załatwianych milcząco organ administracji publicznej udostępnia informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie. § 2. Przekazanie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w sposób określony w § 1, nie zwalnia organu administracji publicznej z obowiązku ich przekazania przy pierwszej czynności skierowanej do strony |
Brak w obecnej ustawie | Art. 217a. Organ administracji publicznej przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.” |
Brak w obecnej ustawie | Art. 226a. Organy właściwe w sprawach skarg i wniosków przekazują informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, skarżącemu lub wnioskodawcy przy pierwszej czynności skierowanej do tych osób. |
Art. 231. Jeżeli organ, który otrzymał skargę, nie jest właściwy do jej rozpatrzenia, obowiązany jest niezwłocznie, nie później jednak niż w terminie siedmiu dni, przekazać ją właściwemu organowi, zawiadamiając równocześnie o tym skarżącego, albo wskazać mu właściwy organ. | Art. 231. § 1. Jeżeli organ, który otrzymał skargę, nie jest właściwy do jej rozpatrzenia, obowiązany jest niezwłocznie, nie później jednak niż w terminie siedmiu dni, przekazać ją właściwemu organowi, zawiadamiając równocześnie o tym skarżącego, albo wskazać mu właściwy organ. § 2. Informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący skargę, dołącza się do zawiadomienia o przekazaniu skargi. |
Art. 236. W przypadkach określonych w art. 233 i 234 organem właściwym do rozpatrzenia skargi jest organ uprawniony do wszczęcia postępowania lub organ, przed którym toczy się postępowanie, a w przypadkach określonych w art. 235 – organ właściwy do wznowienia postępowania, stwierdzenia nieważności decyzji albo do jej uchylenia lub zmiany. | Art. 236. § 1. W przypadkach określonych w art. 233 i 234 organem właściwym do rozpatrzenia skargi jest organ uprawniony do wszczęcia postępowania lub organ, przed którym toczy się postępowanie, a w przypadkach określonych w art. 235 – organ właściwy do wznowienia postępowania, stwierdzenia nieważności decyzji albo do jej uchylenia lub zmiany. § 2. W przypadku wszczęcia albo wznowienia postępowania, stwierdzenianieważności decyzji, jej uchylenia albo zmiany na skutek skargi, o której mowaw art. 233 zdanie drugie, art. 234 pkt 2 lub art. 235, w stosunku do strony iuczestnika postępowania przepisu art. 15 ust. 1 lit. g rozporządzenia 2016/679 niestosuje się.§ 3. Na każdym etapie postępowania, o którym mowa w § 2, skarżący może zezwolić organowi na udostępnienie swoich danych stronie postępowania. |
Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2018 r. poz. 217, 357, 398 i 650 oraz z 2019 r. poz. 55)
Przed nowelizacją | Po nowelizacji |
Art. 22. 1. Działalność archiwalną w zakresie państwowego zasobu archiwalnego prowadzi państwowa sieć archiwalna, którą tworzą:1)archiwa państwowe;2)archiwa wyodrębnione;3)archiwa zakładowe organów państwowych i innych państwowych jednostek organizacyjnych;3a)archiwa zakładowe organów jednostek samorządu terytorialnego i samorządowych jednostek organizacyjnych;4)(uchylony).2. Działalność archiwalną w zakresie państwowego zasobu archiwalnego prowadzą ponadto:1)jednostki organizacyjne, które posiadają powierzony zasób archiwalny;2)biblioteki i muzea, przechowujące materiały archiwalne, które wchodzą do państwowego zasobu archiwalnego, oraz gromadzące określone w art. 15 ust. 2 materiały archiwalne stanowiące państwowy zasób archiwalny:a)których organizatorem jest:–minister lub kierownik urzędu centralnego,–jednostka samorządu terytorialnego,–państwowa jednostka organizacyjna,b)działające w państwowych jednostkach organizacyjnych i w samorządowych jednostkach organizacyjnych. | Bez zmian |
Art. 22a. Podmioty, o których mowa w art. 22 ust. 1 pkt 2-3a oraz ust. 2, w zakresie prowadzonej działalności archiwalnej mogą, na podstawie umowy albo porozumienia zawartych z Naczelnym Dyrektorem Archiwów Państwowych lub właściwym archiwum państwowym, nieodpłatnie korzystać z systemów teleinformatycznych, o których mowa w art. 21 ust. 1 pkt 10. | Art. 22a. Podmioty, o których mowa w art. 22 ust. 1 pkt 2–3a oraz ust. 2, w zakresie prowadzonej działalności archiwalnej mogą, na podstawie umowy albo porozumienia zawartych z Naczelnym Dyrektorem Archiwów Państwowych lub właściwym archiwum państwowym, nieodpłatnie korzystać z systemów informatycznych i teleinformatycznych, o których mowa w art. 21 ust. 1 pkt 10 lit. a. |
Brak w obecnej ustawie | Art. 22b. 1. Do przetwarzania danych osobowych przez jednostki, o których mowa w art. 22 ust. 1 pkt 1 i 2 oraz ust. 2, w zakresie ich działalności archiwalnej, a także w zakresie przechowywania przez jednostki, o których mowa w art. 22 ust. 1 pkt 1, dokumentacji określonej w art. 51a ust. 1 i art. 51r, ogranicza się stosowanie: 1) art. 16 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.)), zwanego dalej „rozporządzeniem 2016/679”, w ten sposób, że przetwarzający przyjmują od osoby, której dane dotyczą, pisemne sprostowanie lub uzupełnienie dotyczące jej danych osobowych, nie dokonując ingerencji w materiały archiwalne;2) art. 18 ust. 1 lit. a i b rozporządzenia 2016/679, w zakresie niezbędnym do zapewnienia korzystania z materiałów archiwalnych zgodnie z ustawą, bez naruszania istoty ochrony danych osobowych zawartych w tych materiałach, także w przypadku pierwotnego zbierania danych w sposób bezprawny albo w przypadku nieprawdziwości, nieścisłości lub niekompletności danych. 2. W przypadku, o którym mowa w ust. 1 pkt 1, sprostowanie lub uzupełnienie jest przechowywane i udostępniane odrębnie od materiałów archiwalnych, a informację o ich wniesieniu zamieszcza się w odpowiednich środkach ewidencyjnych. 3. Wykonanie obowiązku, o którym mowa w art. 15 ust. 1 i 3 rozporządzenia 2016/679, następuje w zakresie, w jakim dane osobowe podlegające udostępnieniu mogą być ustalone za pomocą istniejących środków ewidencyjnych. 4. Administrator danych informuje o ograniczeniach, o których mowa w ust. 1 i 3, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie. 5. Zabezpieczenia stosowane przez jednostki, o których mowa w art. 22, polegają co najmniej na: 1) dopuszczeniu do przetwarzania chronionych danych osobowych wyłącznie pracowników posiadających pisemne upoważnienie wydane przez administratora danych; 2) pisemnym zobowiązaniu pracowników, o których mowa w pkt 1, do zachowania przetwarzanych danych w poufności. |
Brak w obecnej ustawie | Art. 22c. 1. Jednostki, o których mowa w art. 22, w ramach działalności archiwalnej, wdrażają zabezpieczenia wolności i praw osób, których dotyczą dane zawarte w materiałach archiwalnych, w szczególności w trakcie ich udostępniania przez anonimizację danych osobowych, zawieranie z użytkownikami zasobu archiwalnego umów wyłączających dalsze przetwarzanie danych osobowych oraz przez pseudonimizację danych w systemach informatycznych i teleinformatycznych. 2. Stosowanie zabezpieczeń w postaci anonimizacji i pseudonimizacji nie jest obowiązkowe, jeżeli: 1) przetwarza się, w tym udostępnia, dane osobowe za zgodą osoby, której dane dotyczą, jej pełnomocnika, przedstawiciela ustawowego lub opiekuna prawnego; 2) osoba, której dane dotyczą, dobrowolnie i świadomie podała je uprzednio do publicznej wiadomości. 3. Zabezpieczenia wolności i praw, o których mowa w ust. 1, stosuje się odpowiednio do dokumentacji niestanowiącej materiałów archiwalnych, o ile nie sprzeciwia się to celom postępowania z tą dokumentacją. |
Brak w obecnej ustawie | Art. 22d. Jednostki wymienione w art. 22 ust. 1 pkt 1 i 2 oraz w ust. 2 pkt 2 przetwarzają dane osobowe, odpowiednio: 1) wieczyście; 2) przez okres wynikający z art. 5 ust. 1 pkt 2. |
Pomóż nam dotrzeć do innych osób! Udostępnij ten artykuł dalej, niech więcej osób uzyska dzięki niemu potrzebną wiedzę. Dziękujemy!