RODO, czyli niepełnosprawność szczególną kategorią danych osobowych

Prawo ochrony danych osobowych to bardzo ciekawy, choć niewątpliwie skomplikowany i rozległy temat. Już niedługo, bo 25 maja 2018 r., po ponad 20 latach od uchwalenia dyrektywy 95/46/WE, będącej w całej Unii Europejskiej źródłem obecnych przepisów o ochronie danych osobowych, w tym obowiązującej w Polsce Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo), w prawie tym nastąpią zmiany.

Dotychczasowe uregulowania przestaną obowiązywać, a znajdą zastosowanie nowe. Obowiązującym aktem prawnym stanie się Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE, w skrócie RODO (Dz. Urz. UE. L Nr 119, str. 1).

Zmieni się ponad 130 ustaw

Co warto podkreślić, w systemie prawa unijnego rozporządzenie, w przeciwieństwie do dyrektywy, charakteryzuje się ogólnością i abstrakcyjnością. Wiąże ono w całości i jest bezpośrednio stosowane we wszystkich państwach Unii. Nie wymaga także implementacji do prawa państwa członkowskiego, jest skuteczne bezpośrednio. Wszelkie dodatkowe regulacje wewnętrzne państw – obligatoryjne lub fakultatywne – mają jedynie charakter uzupełniający w stosunku do rozporządzenia w granicach w nim wskazanych i dostosowujący krajowy porządek prawny do zawartych w nim regulacji i zasad.

W Polsce obecnie trwają pracę nad nową ustawą o ochronie danych osobowych oraz przepisami ją wprowadzającymi, czyli zmianami dostosowującymi inne ustawy do uregulowań rozporządzenia. Zmiany obejmują przeszło 130 ustaw, między innymi Kodeks pracy. Są w fazie projektu i z uwagi na to, że ostateczny kształt uregulowań nie jest znany, nie będziemy się do nich szczegółowo odnosić w niniejszym artykule.

Krótko o projekcie

Krótko należy tylko zaznaczyć, że przedmiotem projektu nowej ustawy o ochronie danych osobowych są między innymi kwestie dotyczące:

• ustanowienia nowego organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, w miejsce dzisiejszego Generalnego Inspektora Ochrony Danych Osobowych (GIODO),
• trybu postępowania w sprawach naruszenia przepisów o ochronie danych osobowych,
• kwestii odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych,
• a także kwestii dotyczących administracyjnych kar pieniężnych
• oraz określenia wieku dziecka wymaganego do samodzielnego wyrażania zgody na przetwarzanie danych osobowych w odniesieniu do usług społeczeństwa informacyjnego.

Co ciekawe, projekt obniża granicę wieku dziecka wskazaną w przepisie art. 8 ust. 1 RODO, z 16 na 13 lat. Zgodnie z projektem, samodzielnie zgodę na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. zgodę na przetwarzanie danych osobowych w celu marketingu bezpośredniego administratora danych) będzie mogła samodzielnie wyrazić osoba, która ukończyła 13 lat. Przepisy rozporządzenia dały możliwość decyzji w tym zakresie Państwom Członkowskim, określając, że wiek ten nie może być niższy niż właśnie 13 lat.

Jeżeli ktoś z Czytelników jest zainteresowany uzyskaniem bardziej szczegółowych informacji w zakresie projektu, warto odwiedzić stronę internetową Ministerstwa Cyfryzacji lub stronę internetową Generalnego Inspektora Ochrony Danych Osobowych, gdzie można zapoznać się z dokładnym zakresem i zaawansowaniem prac. Tym bardziej jest to ciekawa lektura, że do przygotowanego przez Ministerstwo Cyfryzacji projektu zmian GIODO zgłosił przeszło 140 stron uwag, jak sam wskazuje: od proceduralnych do fundamentalnych. Podnosząc między innymi, że w opinii GIODO, „w projektach przepisów zaprezentowanych przez Ministerstwo Cyfryzacji dochodzi do rozluźniania nowych zasad i obniżania poziomu ochrony danych osobowych”.

Ewolucja, nie rewolucja

Wracając do samego rozporządzenia, RODO, w związku z masową cyfryzacją, postępem technologicznym i globalizacją, ma stanowić istotny krok na drodze do umacniania prawa podstawowego obywateli UE, jakim jest prawo do ochrony danych osobowych. Z drugiej zaś strony, ma uprościć i ujednolicić zasady dla administratorów rynku wspólnotowego, czego nie zapewniały poprzednie uregulowania.

Na nową regulację prawną dotyczącą danych osobowych, która weszła w życie 24 maja 2016 r., a będzie miała zastosowanie od 25 maja 2018 r., należy patrzeć przy tym nie jak na rewolucję w ochronie danych osobowych, ale ewolucję. Dlatego tym bardziej wskazane jest sięganie do dotychczasowego doświadczenia GIODO i wypracowanych przez niego dobrych praktyk w zakresie ochrony danych osobowych.

Niewątpliwie jednym z zasadniczych i podstawowych celów rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE jest zapewnienie równorzędnego we wszystkich państwach członkowskich stopnia ochrony praw i wolności osób fizycznych w związku z przetwarzaniem ich danych (zob. motyw 10 preambuły RODO).

Nowe regulacje mają zwiększyć ochronę danych osobowych osób, których dane dotyczą, między innymi poprzez:

• zapewnienie im prawa do bycia zapomnianym, czyli ochronę prywatności osób;
• szeroki obowiązek informacyjny w zakresie przetwarzania danych osobowych;
• łatwiejszy dostęp do danych, poprzez zapewnienie osobom dostępu do informacji o przetwarzaniu ich danych, które powinny być dostępne w jasnej i zrozumiałej formie;
• możliwość przenoszenia danych;
• obowiązek informowania o naruszeniu danych, wykonywany przez administratorów, zawierający w sobie obowiązek powiadomienia organu nadzorczego i w stosownych przypadkach osoby, której dane dotyczą, o naruszeniu tych danych;
• obowiązek wdrożenia mechanizmów ochrony danych w fazie projektowania oraz domyślnej ochrony danych;
• silniejszą ochronę praw dzieci;
• lepszą egzekucję przestrzegania przepisów, poprzez możliwość nakładania administracyjnych kar pieniężnych w wysokości do 20 milionów euro lub do 4 proc. całkowitego rocznego światowego obrotu.

RODO a zatrudnianie

Nowe uregulowania wprowadzają wiele zmian, nie sposób omówić ich wszystkich. Przede wszystkim należy zauważyć, że RODO nie wyłącza możliwości Państw Członkowskich co do doprecyzowania stosowania RODO w przepisach krajowych, jak i przyjmowania nowych regulacji prawnych w poszczególnych dziedzinach wymagających uszczegółowienia.

Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem, zawarte w rozdziale IX RODO, odnoszą się m.in. do sytuacji przetwarzania danych w związku z procesem zatrudniania pracownika.

Warto przyjrzeć się w tym kontekście art. 88 RODO, zgodnie z którym „Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnianiem, w szczególności do celów rekrutacji (...)”.

Już więc na etapie rekrutacji pojawia się kwestia informacji dotyczących zdrowia pracownika, niezbędnych pracodawcy nie tylko w zakresie realizacji jego obowiązków dotyczących ochrony zdrowia i życia pracowników czy w związku z zapewnieniem im bezpiecznych i higienicznych warunków pracy, ale także niezbędnych pracodawcy w zakresie zapewnienia ochrony lub realizacji uprawnień pracowników w związku ze stwierdzoną niepełnosprawnością czy niezdolnością do pracy.

Niewątpliwie dane te będą także niezbędne do realizacji przez samego pracodawcę jego uprawnień w zakresie chociażby ubiegania się o dofinansowanie do wynagrodzenia pracowników z niepełnosprawnością.

Zdrowie „szczególną kategorią danych osobowych”

RODO, podobnie jak Dyrektywa 95/46/WE oraz obowiązująca obecnie ustawa o ochronie danych osobowych (ustawa z dnia 29 sierpnia 1997 r.), wyodrębnia pewne kategorie danych, których przetwarzanie co do zasady jest zakazane, a dopuszczalne wyłącznie po spełnieniu dodatkowych warunków. Mowa o tzw. danych wrażliwych, które w RODO są określone jako „szczególne kategorie danych osobowych”, których zakres jest nieco inny niż dotychczasowy, określony w art. 27 ust 1 uodo.

Na gruncie RODO szczególne kategorie danych osobowych to te określone w art. 9 ust 1, czyli dane: ujawniające pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Jednocześnie art. 4 pkt 15 RODO definiuje pojęcie danych dotyczących zdrowia, które oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie zdrowia, a także motyw 35 preambuły RODO, który stanowi, że do danych osobowych dotyczących zdrowia należy zaliczyć wszelkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia.

Rekrutacja pod ochroną

Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być np. lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Zatem na gruncie RODO dane o niepełnosprawności należy uznać za szczególne kategorie danych. Wyjątki od zakazu przetwarzania powyższych danych zostały wskazane w art. 9 ust. 2 RODO.

Jak zostało już wspomniane powyżej, w ramach procesu rekrutacji osoby z niepełnosprawnością w grę będzie wchodzić kwestia przetwarzania tych danych, co do którego to przetwarzania jest co do zasady wyraźny zakaz. Już na gruncie obecnych przepisów prawa mamy wiele sporów co do tego, czy w ogóle, kiedy i w jakim zakresie osoba ubiegająca się o pracę powinna lub też zobowiązana jest podawać informacje o niepełnosprawności.

Choć przepisy Kodeksu pracy są jednoznaczne, to prawo i praktyka jest często rozbieżna. Jak więc będzie wyglądało to przetwarzanie w świetle przepisów RODO? Kwestia ta zostanie szczegółowo przedstawiona naszym w następnym materiale dotyczącym ochrony „szczególnych kategorii danych osobowych” w kontekście nadchodzących zmian i przede wszystkim zatrudniania w ich świetle osoby z niepełnosprawnością.