Warszawa, maja 2018 r. KL/ / /AM/2018. Pan Marek Zagórski Sekretarz Stanu Ministerstwo Cyfryzacji. Szanowni Państwo,

Transkrypt

1 Warszawa, maja 2018 r. KL/ / /AM/2018 Pan Marek Zagórski Sekretarz Stanu Ministerstwo Cyfryzacji Szanowni Państwo, W związku z prowadzonymi przez Ministerstwo Cyfryzacji pracami nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, numer UC 100, (dalej: "projekt ustawy") (wcześniejszy projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych) Konfederacja Lewiatan pragnie zasygnalizować kilka modyfikacji do projektu o charakterze racjonalizatorskim, które mogą wpłynąć korzystnie na funkcjonowanie przedsiębiorstw działających na polskim rynku. Jednocześnie Konfederacja Lewiatan zwraca się z uprzejmą prośbą o potwierdzenie podejścia Ministerstwa Cyfryzacji do kwestii monitoringu w miejscu pracy (pkt III.3 pisma) oraz odniesienie się do zagadnień podniesionych przez sektor agencji zatrudnienia w zakresie dotyczącym stosowania RODO (pkt IV pisma). 9 kwietnia 2010 r. Z poważaniem, Henryka Bochniarz Prezydent Konfederacji Lewiatan do wiadomości: Pani Edyta Bielak - Jomaa Generalny Inspektor Ochrony Danych Osobowych Załącznik: stanowisko Konfederacji Lewiatan wobec projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, numer UC wersja z dnia 8 maja 2018 r

2 Stanowisko Konfederacji Lewiatan wobec projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, numer UC wersja z dnia 8 maja 2018 r. I. Postulaty dot. zmian w ustawie z dnia 26 czerwca 1974 r. - Kodeks pracy (art. 4 projektu ustawy) a. art k.p. - proponujemy rozważyć dodanie nowego punktu dotyczącego posiadanych przez kandydata kwalifikacji. Coraz częściej nie samo wykształcenia a kwalifikacje zdobywane w innych formach mają znaczenia dla oceny przydatności kandydata do pracy. b. art k.p. - proponujemy usunąć ten przepis. Pracodawca ma mieć prawo do żądania podania danych dotyczących wykształcenia, gdy jest to niezbędne do wykonywania pracy określonego rodzaju pracy lub na określonym stanowisku. Propozycja wprowadza dodatkowe obciążenia w procesie rekrutacji i będzie budziła szereg wątpliwości. Kto będzie dokonywał oceny jakie dane są niezbędne do wykonywania pracy określonego rodzaju pracy lub na określonym stanowisku? c. art k.p. Art. 224 reguluje zasady wprowadzania i stosowania monitoringu. Kwestia doprecyzowania zasad stosowania monitoringu, większej przejrzystości, nie budzi wątpliwości. Służyć temu będą: * jasno określone przesłanki uzasadniające skorzystanie z monitoringu, które będę podlegać kontroli i weryfikacji, * obowiązki informacyjne pracodawcy, * wyłączenie spod monitoringu określonych pomieszczeń, Natomiast z uwagi na cele stawiane monitoringowi (m.in. ochrona mienia lub kontrola produkcji) zastrzeżenia budzi wyraźne przesądzenie w art , iż cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Rozumiejąc konieczność nadzoru nad wprowadzanymi formami monitoringu, nie stwierdzamy potrzeby regulowania tego elementu działalności pracodawcy w układzie zbiorowym. Przyjęcie układu zbiorowego i co do zasady regulaminu pracy, wymaga uzgodnienia tego elementu z organizacji związkowymi, jeżeli takie funkcjonują w danym zakładzie pracy. Wymóg uzgodnienia, w szczególności zakresu oraz sposobu zastosowania monitoring, z organizacjami związkowymi, może w praktyce uniemożliwić wprowadzenie środków monitoringu, które tylko w sposób pośredni miały oddziaływać na załogę zakładu pracy, a w szerszym wymiarze służyć zabezpieczeniu mienia, interesów pracodawców. Należy także uznać, że zastosowanie procedury zmiany układu zbiorowego do kwestii monitoringu jest zbyt rozbudowane biurokratycznie, co nie jest uzasadnione wagą poruszanej tematyki wymaga - 2 -

3 przesłania protokołu wraz z wnioskiem o rejestrację do PIP, a następnie oczekiwania na jego pozytywne rozpatrzenie. Dodatkowo kwestie dotyczące celów, zakresu oraz sposobu zastosowania monitoringu zakładów pracy są kwestiami, które mogą ulegać okresowym zmianom, m.in. w zależności od rodzaju aktualnej działalności wykonywanej w zakładzie pracy (przykładowo możliwe jest wprowadzanie okresowych zwiększeń zakresu monitorowanych pomieszczeń oraz sposobów monitorowania w przypadku np. wykonywania działalności o dużym stopniu niebezpieczeństwa dla pracowników / osób postronnych, przechowywania szczególnie cennych składników majątkowych lub szczególnie niebezpiecznych substancji itp.). Wydaje się, że takie kwestie winny być normowane w bardziej elastycznym akcie prawnym, niż układ zbiorowy, trudno przecież przyjąć, że w przypadku zaistnienia konieczności zmian celów, zakresu oraz sposobu zastosowania monitoringu pracodwca będzie musiał za każdym razem wikłać się w skomplikowaną procedurę zmiany układu zbiorowego. Należy podkreślić, że wprowadzenie zmian do układu zbiorowego nie jest możliwe w innym trybie. Powyższa regulacja jest niewspółmiernie obciążająca dla pracodawcy objętego układem zbiorowym. W przypadku pracodawcy objętego jedynie regulaminem pracy, ciąży na nim obowiązek skonsultowania zmian treści regulaminu pracy z organizacjami związkowymi, zaś w razie nieuzgodnienia treści regulaminu pracy z organizacją związkową w ustalonym przez strony terminie, pracodawca może wprowadzić zmianę do regulaminu w drodze samodzielnej decyzji. Wobec powyższego postuluje się, by określanie celów, zakresu oraz sposobu zastosowania monitoringu zostało wprowadzone w regulaminie pracy w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest obowiązany do ustalenia regulaminu pracy. Za bezcelowe wydaje się w ogóle przewidywanie możliwości regulowania kwestii związanych z monitoringiem w układzie zbiorowym o ile w firmie funkcjonuje także regulamin pracy. W tym przypadku pracodawcy objęci zarówno układem jak i regulaminem pracy, wprowadzaliby odpowiednie zmiany jedynie do regulaminu pracy. Tym samym proponujemy nadać się następujące brzmienie 6: Pracodawca, u którego działają związki zawodowe, podejmuje decyzję odnośnie celu, zakresu oraz sposobu zastosowania monitoringu po zasięgnięciu opinii zakładowej organizacji związkowej. Zakładowa organizacja związkowa ma 7 dni na przedstawienie opinii. W razie nieuwzględnienia w całości lub w części stanowiska związku, pracodawca informuje o tym związek na piśmie, podając uzasadnienie swojego stanowiska i samodzielnie ustala cele, zakres oraz sposób zastosowania monitoringu w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest obowiązany do ustalenia regulaminu pracy. oraz dodać nowy 6a: Przepis 6 zdanie drugie stosuje się odpowiednio w przypadku, gdy u danego pracodawcy nie działa zakładowa organizacja związkowa

4 d. Art przy monitoringu poczty elektronicznej proponujemy wprowadzić alternatywę łączną pomiędzy wskazanymi w nim przesłankami, a także dodać nową przesłankę: ochrony informacji i tym samym paragrafowi 1 nadać następujące brzmienie: Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy lub właściwego użytkowania udostępnionych pracownikowi narzędzi pracy lub ochrony informacji, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). II. Postulaty dot. ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (art. 20 projektu ustawy) a) Art. 8 pkt 13 W świetle projektowanego pkt. 13 Pracodawca przechowuje dane osobowe, o których mowa w ust. 11, przez okres nie dłuższy niż jest to niezbędne w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres dochodzenia do nich praw lub roszczeń. Redakcja popisu będzie budził szereg wątpliwości. Nie jest jasne czy poprzez odniesienie do okresu dochodzenia do nich praw lub roszczeń autorzy maja na uwadze rzeczywiście trwające postępowania czy w przepisie jest mowa o okresie umożliwiającym dochodzenie roszczeń w kontekście okresów przedawnienia. b) w art. 8 ustawy o zakładowym funduszu świadczeń socjalnych wnioskuje się o wykreślenie pkt 14 Pracodawca dokonuje przeglądu danych osobowych, o których mowa w ust. 11 nie rzadziej niż co 6 miesięcy, w celu ustalenia niezbędności ich dalszego przechowywania; pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne dla realizacji celu określonego w ust. 11 oraz ust. 13. Wprowadzenie dodatkowego obowiązku monitorowania, co 6 miesięcy danych, będzie stanowiło nieproporcjonalne obciążenie dla pracodawców. III Postulaty dotyczące zmian w innych ustawach objętych zakresem projektu ustawy. 1.. Postulat do art. 35 pkt 4) Projektu (art. 106d Prawa Bankowego) 1.1 Brak wyłączenia art. 13, 14, 15 i 21 RODO - 4 -

5 1.1.1 Związek Polskiego Leasingu z niepokojem odnotował przede wszystkim zmiany do projektowanego art. 106d Prawa Bankowego, którego celem jest zapewnienie bezpieczeństwa, przeciwdziałanie nadużyciom oraz przestępstwom popełnianym na szkodę instytucji finansowych oraz ich klientom Przepis w obecnej wersji nie zawiera wyłączenia art. 13 i 14 Rozporządzenia 2016/679 (dalej: RODO ), które były przewidziane w wersji z r. Tymczasem, jak zostało wskazane w uzasadnieniu do Projektu: Efekty przetwarzania danych przez systemy antyfraudowe wskazują sytuacje, którym kredytodawca powinien się szczególnie przyjrzeć i dodatkowo zweryfikować (np. osoba, która złożyła wniosek kredytowy w banku lub w innej instytucji udzielającej kredytów posłużyła się dokumentem tożsamości, który został zastrzeżony). Brak wyłączenia obowiązków informacyjnych uniemożliwi osiągnięcie celu funkcjonowania Platformy Antyfraudowej. Podmiot, który uzyskał za pośrednictwem Platformy informacje dotyczące określonej osoby fizycznej, będzie musiał ją o tym (zgodnie z art. 14 RODO) poinformować, wskazując m.in. kategorie danych oraz źródło ich pozyskania (tym samym informując taką osobę o istniejącym podejrzeniu popełnienia przez nią przestępstwa, konieczności dalszej weryfikacji itd.) Konieczne dla zapewnienia prawidłowego funkcjonowania Platformy Antyfraudowej jest również wyłączenie stosowania: a) prawa dostępu do danych osobowych (art. 15 RODO) w zakresie danych osobowych przetwarzanych w celu przeciwdziałania nadużyciom i popełnianiu przestępstw, jak również b) prawa do sprzeciwu (art. 21 RODO) wobec przetwarzania przez instytucje finansowe danych osobowych pozyskanych na podstawie art. 106d Prawa Bankowego. Korzystanie z prawa do sprzeciwu wymagałaby od instytucji biorących udział w systemie wymiany informacji każdorazowego wykazywania istnienia ważnych, nadrzędnych, prawnie uzasadnionych podstaw do przetwarzania. O ile zdaniem Związku taka nadrzędność interesów będzie miała miejsce, każdorazowe wykazywanie jej w odpowiedzi na wniesiony sprzeciw wobec przetwarzania danych, wiązać się będzie z dodatkowymi obowiązkami i kosztami po stronie instytucji obowiązanych; c) art. 34 RODO; skoro bowiem prawidłowe funkcjonowanie systemu wymiany informacji wymaga, aby dane osobowe były przetwarzane bez wiedzy osób, których dane dotyczą, to konsekwentnie wyłączony powinien być obowiązek zawiadomienia osób, których dane osobowe przetwarzane są w ramach Platformy Antyfraudowej o naruszeniu ich danych osobowych Wykonanie obowiązków, o których mowa w art i art. 34 RODO, jak również umożliwienie osobom wnoszenia sprzeciwu wobec przetwarzania ich danych osobowych (a w konsekwencji korzystania z prawa ograniczenia przetwarzania danych) stałoby w sprzeczności z celem art. 106d Prawa Bankowego (przeciwdziałanie przestępstwom i nadużyciom) Art. 23 ust. 1 RODO pozwala na ograniczenie praw i obowiązków przewidzianych w art i w art. 34 RODO, jeżeli takie ograniczenie jest środkiem niezbędnym i proporcjonalnym służącym m.in.: d) - 5 -

6 zapobieganiu przestępczości, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom; i) ochronie praw i wolności innych osób. Z taką sytuacją mamy do czynienia w przypadku Platformy Antyfraudowej, która pozwala na zapobieganie przestępstwom popełnianym na szkodę instytucji finansowych i jej klientów, wzmacniając bezpieczeństwo prowadzonej działalności oraz środków pieniężnych (depozytów) klientów zgromadzonych w tych podmiotach. Interes własny instytucji finansowych jest więc zgodny z interesem publicznym (zgodnie z Opinią Grupy Roboczej art. 29 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE, taka zgodność interesów może mieć miejsce właśnie w odniesieniu do zwalczania przestępstw finansowych lub innego niezgodnego z prawem wykorzystywania usług) Dlatego postulujemy wyłączenie stosowania art RODO, jak również art. 21 oraz art. 34 RODO w zakresie, w jakim wykonanie tych obowiązków znacząco utrudniłoby lub uniemożliwiło przeciwdziałanie nadużyciom i przestępstwom. 1.2 Umożliwienie uczestniczenia w systemie wymiany informacji antyfraudowych wszystkim leasingodawcom oraz podmiotom prowadzącym działalność w zakresie udzielania pożyczek Ponownie zwracamy uwagę, że projektowana zmiana art. 106d ust. 1 Prawa Bankowego uniemożliwi niektórym leasingodawcom i pożyczkodawcom wbrew prezentowanym w uzasadnieniu Projektu założeniom korzystanie z Platformy Antyfraudowej Jak wskazano w uzasadnieniu: system wymiany danych pomiędzy bankami i instytucjami udzielającymi finansowania z udziałem rejestru kredytowego i przy wykorzystaniu analiz antyfraudowych opierających się na profilowaniu niewątpliwie przyczynia się do ograniczania ryzyka operacyjnego występującego w podmiotach udzielających kredytów/pożyczek/leasingów i zmniejszenia strat wynikających z przestępstw popełnianych na ich szkodę oraz szkodę ich klientów. Z uzasadnienia wynika zatem, że projektodawca nie zamierzał ograniczać ochrony w stosunku do leasingodawców i pożyczkodawców, a tym samym nie chciał wprowadzać nierówności w projektowanym systemie Tymczasem, zgodnie z projektowanym art. 106d ust. 1 Prawa bankowego: banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać, w tym dokonywać profilowania, i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach m.in. przestępstw lub uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia - 6 -

7 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (art. 106d ust. 1 pkt 2 Pr. b) Pojęcie instytucji finansowych zostało zdefiniowane w art. 4 ust. 1 pkt 7) Prawa Bankowego. Wyjaśnić zatem należy, że podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu operacyjnego (a nie leasingu finansowego) nie są objęte definicją instytucji finansowej. Projektowany przepis upoważnia m.in. podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu (a więc też podmioty prowadzące działalność w zakresie leasingu operacyjnego), do przetwarzania określonych danych, w przypadku przestępstw lub uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę określonych w przepisie podmiotów sektora finansowego (art. 106d ust. 1 pkt 2 Pr. b). Wśród podmiotów, na szkodę których potencjalnie dokonywane mogłyby być niepożądane działania, pominięte zostały jednak podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu W konsekwencji, leasingodawcy, którzy nie są objęci definicją instytucji finansowej, nie będą mogli przekazywać w ramach Platformy Antyfraudowej informacji dotyczących przestępstw popełnionych na szkodę ich i ich klientów. Ograniczenie funkcjonowania systemu wyłącznie do leasingodawców, którzy są objęci definicją instytucji finansowej, w sposób nieuzasadniony pozbawia pozostałych leasingodawców ochrony, którą zapewniają systemy antyfraudowe, a jednocześnie pozbawia pozostałych uczestników systemu dostępu do informacji o nadużyciach i przestępstwach popełnionych na szkodę tych leasingodawców Powyższe względy przemawiają również za rozszerzeniem systemu wymiany informacji także na podmioty, których podstawowa działalność polega na udzielaniu pożyczek (definicja instytucji pożyczkowej odnosi się bowiem wyłącznie do podmiotów udzielających pożyczek konsumenckich) Dlatego postulujemy nadanie art. 106d ust. 1 Prawa Bankowego następującego brzmienia: 1. banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu lub na udzielaniu pożyczek oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: (i) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; (ii) przestępstw lub uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych, podmiotów, których podstawowa działalność polega na - 7 -

8 udostępnianiu składników majątkowych na podstawie umowy leasingu lub na udzielaniu pożyczek oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom 2. Zautomatyzowane podejmowanie decyzji przez podmioty sektora finansowego 2.1 Zgodnie z art. 22 rozporządzenia nr 2016/679, podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, możliwe jest jedynie, jeżeli (a) decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; (b) jest dozwolona prawem UE lub prawem państwa członkowskiego; (c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą. 2.2 W ocenie Związku Polskiego Leasingu zasadne jest wprowadzenie ustawowej podstawy umożliwiającej stosowanie przez podmioty sektora finansowego (banki/instytucje udzielające kredytów/instytucje finansowe/leasingodawców /pożyczkodawców) procesów, w których decyzje wywołujące wobec osoby skutki prawne lub w podobny sposób istotnie na nie wpływające opierają się wyłącznie za zautomatyzowanym przetwarzaniu danych, w tym profilowaniu. Dotyczy to przede wszystkim dokonywania oceny zdolności kredytowej i wiarygodności klienta na potrzeby zawarcia umowy z podmiotem sektora finansowego oraz dokonywania oceny ryzyka prania pieniędzy i finansowania terroryzmu. 2.3 Brak takich przepisów ustawowych i konieczność odwołania się przez podmioty sektora finansowego do jednej z dwóch pozostałych przesłanej, tj. niezbędności decyzji do zawarcia lub wykonania umowy lub zgody osoby, powodują stan niepewności co do stosowanych przez podmioty sektora finansowego podstaw zautomatyzowanego podejmowania decyzji. 2.4 Dotyczy to w szczególności przesłanki niezbędności do zawarcia umowy. Z jednej strony przyjmuje się bowiem, że administratorowi pozostawiono decyzję, co do takiego ukształtowania umowy w aspekcie jej zawierania lub wykonania, aby wykreować stan niezbędności automatycznego podejmowania decyzji do zawarcia lub wykonania umowy1. Z drugiej jednak strony, brak jednoznacznych wytycznych w tym zakresie powoduje istotne ryzyko po stronie podmiotów sektora finansowego co do braku podstaw do stosowania zautomatyzowanego podejmowania decyzji. Wydane przez Grupę Roboczą art. 29 wytyczne dotyczące automatycznego indywidualnego podejmowania decyzji i profilowania do celów rozporządzenia 2016/679 (WP 251) wydają się potęgować tą niepewność. Zwracamy bowiem uwagę, że wytyczne (wersja zrewidowana WP 251rev.01) nie zawierają przykładów sytuacji, w których podejmowanie decyzji w sposób zautomatyzowany będzie uznane za niezbędne w celu zawarcia umowy. Z kolei pierwotna wersja wytycznych z r. wskazywała, że przesłanki takie jak (i) większa przejrzystość i sprawiedliwość procesu decyzyjnego (np. zmniejszenie ryzyka błędu ludzkiego lub dyskryminacji), (ii) zmniejszenie ryzyka związane z niewykonaniem zobowiązań przez osobę, której dane dotyczą, (iii) umożliwienie podejmowania - 8 -

9 decyzji w krótszym czasie lub zwiększenie efektywności procesu mogą nie zostać uznane za wystarczające dla spełnienia przesłanki z art. 22 ust. 2 lit. a) RODO. 2.5 Postulowane rozwiązanie przyczyni się do stabilności sektora finansowego oraz zmniejszy ryzyko systemowe. 3. Przetwarzanie danych osobowych z dowodów osobistych przez podmioty sektora finansowego 3.1 Uprawnienie do przetwarzania danych osobowych z dowodów osobistych, o którym mowa w art. 112b Prawa Bankowego, w tym do kopiowania dowodów osobistych, powinno przysługiwać również leasingodawcom oraz pożyczkodawcom, na których nałożony jest obowiązek ustawowy identyfikacji i weryfikacji tożsamości klientów. 4. Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu 4.1 Wyłączenie obowiązku informacyjnego (art. 14 RODO) względem beneficjentów rzeczywistych Art. 34 ust. 6 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu ( ustawa AML ) stanowi, że: przetwarzanie informacji o beneficjentach rzeczywistych przez instytucje obowiązane odbywa się bez wiedzy osób, których informacje te dotyczą W ocenie Związku Polskiego Leasingu intencją ustawodawcy było wyłączenie względem beneficjentów rzeczywistych obowiązku informacyjnego nałożonego na instytucje obowiązane przez przepisy o ochronie danych osobowych (art. 25 u.o.d.o. oraz art. 14 RODO), na co wskazuje choćby brzmienie art. 34 ust. 6 ustawy AML, odnoszące się do wyłączenia obowiązku informacyjnego na podstawie art. 25 ust. 2 pkt 1) u.o.d.o Wyłączenie to jest w pełni uzasadnione, m.in. z uwagi na to, że wykonanie obowiązku informacyjnego wymagałoby niewspółmiernie dużego wysiłku ze strony instytucji obowiązanej (instytucje obowiązane nie dysponują danymi kontaktowymi beneficjentów, takimi jak adres , adres korespondencyjny, kwestia tłumaczenia informacji na język obcy) Wydaje się jednak, że w trakcie prac legislacyjnych nad ustawą AML nie zostały uwzględnione przepisy Rozporządzenia 2016/679. Należy zwrócić bowiem uwagę, że art. 23 RODO pozwala państwom UE na ograniczenie uprawnień osób określonych w Rozporządzeniu (w tym obowiązku informacyjnego z art. 14 RODO), jednak akt prawa krajowego przewidujący takie ograniczenie powinien spełniać wymogi określone w art. 23 ust. 2 Rozporządzenia Z uwagi na sposób sformułowania art. 34 ust. 6 ustawy AML, postulujemy wyraźne wskazanie w ustawie AML, że obowiązek informacyjny instytucji obowiązanych przewidziany w art. 14 Rozporządzenia 2016/679 nie ma zastosowania względem beneficjentów rzeczywistych. 4.2 Dostosowanie ustawy AML do przepisów Rozporządzenia 2016/

10 4.2.1 Konfederacja Lewiatan zwraca uwagę na wątpliwości dotyczące stosowania przepisów ustawy AML w świetle obowiązków informacyjnych instytucji obowiązanej jako administratora danych osobowych na gruncie Rozporządzenia 2016/ Zgodnie z art. 156 ustawy AML, odpowiedzialności karnej podlega, kto wbrew przepisom ustawy ujawnia osobom nieuprawnionym, posiadaczom rachunku lub osobom, których transakcja dotyczy, informacje zgromadzone zgodnie z ustawą lub wykorzystuje te informacje w sposób niezgodny z przepisami ustawy. Zakaz ujawniania informacji - w zakresie, w jakim stanowią one dane osobowe stoi w sprzeczności z obowiązkami przewidzianymi m.in. w art. 14 i 15 RODO (np. obowiązkiem wydania podmiotowi, których dane dotyczą, kopii danych osobowych przetwarzanych przez instytucję obowiązaną) Z tego względu zasadne jest wyraźne, zgodne z wymogami art. 23 ust. 2 RODO, wyłączenie w ustawie AML stosowania tych przepisów RODO, które pozostają w sprzeczności z celami ustawy AML. 5. Postulat do art. 87 Projektu (ustawa o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych) Należy zwrócić uwagę, że art. 3 ust. 1 u.i.g. w proponowanym brzmieniu nie odnosi się do wszystkich obowiązków i uprawnień wynikających z u.i.g. Oprócz informacji gospodarczych wymienione zostały, tylko dane, o których mowa w art. 9 (rejestry zagraniczne) i art. 13 (rejestry bankowe). Pozwalamy sobie zwrócić uwagę, że zakres danych przetwarzanych przez BIGi nie ogranicza się wyłącznie do informacji gospodarczych oraz danych, o których mowa w art. 9 i art. 13 u.i.g., lecz obejmuje również inne kategorie danych, w szczególności dane pochodzące z rejestrów publicznych, o których mowa w art. 28 u.i.g. Postulujemy uzupełnienie art. 3 ust. 1 u.i.g. uwzględniająca zmianę umożliwiająca przetwarzanie danych osobowych odnoszącą się do wszystkich obowiązków i uprawnień wynikających z u.i.g. Proponowana treść art. 3 ust. 1: 1. Biura, wierzyciele oraz osoby trzecie przetwarzają dane osobowe, gdy jest to niezbędne w celu realizacji ich uprawnień lub obowiązków związanych z udostępnianiem informacji gospodarczych lub innych danych określonych w ustawie w zakresie i na zasadach określonych w ustawie. Co więcej w przekonaniu Konfederacji Lewiatan omyłkowo w projekcie nie został ujęty ust. 2 art. 3 UIG (do którego odwołuje się uzasadnienie projektu), postulowany przez BIGi ust. 2 powinien wprost gwarantować wyłączenia stosowania RODO wobec BIGów. Postulujemy aby ust. 2 znalazł się w projekcie w następującym brzmieniu: 2. Do przetwarzania danych osobowych, o którym mowa w ust. 1, stosuje się przepisy Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z , str. 1)., z wyjątkiem:

11 1) art. 12 w zakresie odnoszącym się do praw i obowiązków, które zostały w ustawie wyłączone lub ograniczone, 2) art. 14, 3) art. 15 w zakresie, w jakim zasady pobierania opłat przez biuro zostały uregulowane w ustawie, 4) art i Informacje, o których mowa w art. 15 ust. 1 lit. e rozporządzenia odnoszą się do obowiązków biura w zakresie wstrzymania ujawniania, aktualizacji i usuwania informacji gospodarczych na zasadach określonych w ustawie. Chcielibyśmy zaznaczyć, że uzasadnienie projektu jest dodatkowo niekompletne bowiem nie zawiera uzasadnienia wyłączenia art. 12 i 14 RODO, choć takie uzasadnienie zostało wskazane przez Ministerstwo Przedsiębiorczości i Technologii (dalej jako MPiT ) w Tabeli uwag do Przepisów Wprowadzających Ustawę o Ochronie Danych Osobowych z dnia 22 lutego 2018 r. MPiT wskazywało wówczas, że unormowane w art. 12 RODO prawa i obowiązki (zasady przejrzystego informowania i komunikacji oraz tryb wykonywania praw przez osobę, której dane dotyczą) mogą odnosić się wyłącznie do regulacji zawartych w art. 13, 15 i 20 RODO, a zatem w zakresie odnoszącym się do przepisów wyłączonych, art. 12 RODO nie znajdzie zastosowania. Z kolei w zakresie wyłączenia art. 14 RODO, MPiT wskazało, że jest to dopuszczalne na gruncie ust. 5 lit. c tego artykułu, który stanowi, że ust. 1-4 nie mają zastosowania, gdy i w zakresie, w jakim pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. MPiT uznało, że określone w rozdziale 3 i 4 u.i.g. zasady przekazywania informacji gospodarczych do BIGów oraz przechowywania, ujawniania, aktualizacji i usuwania informacji gospodarczych spełniają ten odpowiedni standard. Zauważono, że stosownie do przepisów art. 14 ust. 1 pkt 3 i art. 15 ust. 1 pkt 3 u.i.g. wierzyciel ma obowiązek wysłania do dłużnika wezwania do zapłaty, zawierającego ostrzeżenie o zamiarze przekazania danych do biura, z podaniem firmy i adresu siedziby tego biura, a tym samym dłużnikowi jest zatem znane biuro, do którego będą mogły zostać przekazane jego dane. Wobec powyższego postulujemy przywrócenie do projektu propozycji zmian w brzmieniu zaproponowanym przez BIGi i MPIT. IV Dodatkowe uwagi Konfederacja Lewiatan dot. zmian w ustawie o ochronie danych osobowych. 1. Zmiana art. 2 ust. 1 ustawy o ochronie danych osobowych W ustawie z dnia...o ochronie danych osobowych (Dz. U....) wprowadza się następujące zmiany: 1) art. 2 ust. 1 otrzymuje brzmienie: Art. 2 ust. 1. Do przetwarzania danych osobowych w związku z działalnością prasową, dziennikarską, literacką lub artystyczną, nie stosuje się przepisów rozdziałów II-VII oraz rozdziału IX rozporządzenia 2016/679, w zakresie w jakim przetwarza się dane osobowe w powyższych celach. 3. Monitoring w miejscu pracy

12 W toku posiedzenia Komisji Praw Człowieka, Praworządności i Praw Człowieka w Senacie ( 15 maja br.), obradującej nad ustawą o ochronie danych osobowych, p. Marek Zagórski, Minister Cyfryzacji odniósł się do bardzo istotnej dla wielu przedsiębiorców kwestii, dotyczącej jednoznacznego określenie zakresu obowiązków po stronie pracodawców, u których przed wejściem w życie ustawy wprowadzono i obowiązują systemy monitorowania miejsca pracy. Pan Minister potwierdził, że u tychże pracodawców "ustawa sankcjonuje istniejący stan rzeczy", a zatem nie ma potrzeby dopełnienia przez nich żadnych dodatkowych obowiązków w omawianym zakresie. Konfederacja Lewiatan zwraca się w związku z tym z prośbą o formalne potwierdzenie przytoczonego podejścia do interpretacji przepisów ustawy o ochronie danych osobowych, mając na względzie interesy wielu firm już stosujących systemy monitoringu. Wyjaśnienia wymaga kwestia celów stosowanych dotychczas systemów monitoringu oraz obowiązków, np. oznaczenie pomieszczeń i terenu monitorowanengoo w sposób widoczny i czytelny. V. Zapytanie dotyczące stosowania RODO przez branżę agencji zatrudnienia. Biorąc pod uwagę komentarze i stanowiska, które pojawiają się w odniesieniu do zasad stosowania Rozporządzenia o ochronie danych osobowych 2016/679/WE ( RODO ) przez branżę agencji zatrudnienia, a które, w opinii prawników na co dzień zajmujących się tym obszarem w agencjach, nie biorą pod uwagę specyfiki procesów, które są przedmiotem jej działalności, zwracamy się z prośbą o odniesienie się do poniżej przedstawionego stanowiska i wskazanie ewentualnych rozbieżności ze stanowiskiem Ministerstwa w poniższych obszarach. RELACJA ADMINISTRATOR ADMINISTRATOR POMIĘDZY AGENCJĄ ZATRUDNIENIA A JEJ KLIENTAMI W PROCESIE REKRUTACJI W procesie świadczenia usług doradztwa personalnego i pośrednictwa (dalej usługi rekrutacji) pracy agencja zatrudnienia pełni rolę administratora danych w stosunku do danych osobowych kandydatów do pracy, rekomendowanych swoim klientom. Rola administratora danych wynika z istoty działalności prowadzonej przez agencje zatrudnienia na podstawie Ustawy o promocji zatrudnienia i instytucjach rynku pracy z r. (j.t Nr 99, poz z późn. zm.). Zgodnie z art. 18 ust. 1 ustawy, prowadzenie działalności gospodarczej w zakresie świadczenia usług pośrednictwa pracy, polega m.in. na inicjowaniu i organizowaniu kontaktów osób poszukujących odpowiedniego zatrudnienia lub innej pracy zarobkowej z pracodawcami, udzielaniu pomocy osobom w uzyskaniu odpowiedniego zatrudnienia oraz pracodawcom w pozyskaniu pracowników o poszukiwanych kwalifikacjach zawodowych, a także na udzielaniu pracodawcom informacji o kandydatach do pracy, w związku ze zgłoszoną ofertą pracy. Z kolei domeną usług doradztwa personalnego jest m.in. określanie kwalifikacji pracowników i ich predyspozycji, jak również weryfikacja kandydatów pod względem oczekiwanych kwalifikacji. Powyższe usługi agencja zatrudnienia wykonuje na potrzeby wszystkich rekrutacji prowadzonych na rzecz swoich klientów, w tym obecnych i przyszłych. Realizuje ona zatem własne cele przetwarzania, posługując się przy tym własnymi

13 środkami i metodami, w tym środkami technologicznymi (bazy danych kandydatów, poszukiwania bezpośrednie i pośrednie, testy, formularze, analizy). W celu świadczenia usług doradztwa personalnego i pośrednictwa pracy, w szczególności zarekomendowania klientom kandydatów spełniających oczekiwane wymagania, agencja zatrudnienia udostępnia dane osobowe tych kandydatów klientowi, działającemu jako samodzielny administrator danych. Klient agencji, po otrzymaniu od niej danych osobowych proponowanych kandydatów, zaczyna realizować własny cel przetwarzania, jakim jest weryfikacja i ocena danych, a także samodzielne podjęcie decyzji o zatrudnieniu lub odrzuceniu danej kandydatury. Jest zatem również w pełni odrębnym administratorem danych, decydującym o celach (zatrudnienie pracownika o poszukiwanych cechach) i środkach przetwarzania (analiza dokumentów, spotkanie z kandydatem, wideokonferencja itd.). W naszej ocenie, wbrew części błędnych poglądów, w powyższej relacji nie można mówić o instytucji powierzenia przetwarzania danych osobowych. Jak wskazano bowiem powyżej na katalog działań realizowanych przez agencje zatrudnienia składa się szereg czynności, a nie tylko zbieranie danych osobowych kandydatów. Z punktu widzenia ww. struktury bez znaczenia pozostaje okoliczność, że agencje zatrudnienia działają na rzecz swoich klientów, albowiem świadcząc usługi rekrutacji, działają w ramach prowadzonej przez siebie działalności, we własnym imieniu i przynajmniej do momentu udostępnienia klientom danych osobowych kandydatów, decydują o celach i środkach przetwarzania danych osobowych. Przyjęcie, że agencja zatrudnienia pełni rolę podmiotu przetwarzającego prowadziłoby do szeregu komplikacji natury technicznej. Jedynie tytułem przykładu należy wskazać na kwestie związane z realizacją obowiązku informacyjnego w przypadku prowadzenia rekrutacji, w których dane klientów (potencjalnych pracodawców) nie są ujawniane (na ich życzenie). Podsumowując, w procesie rekrutacji pomiędzy agencją a klientem zachodzi relacja administrator administrator, a wymiana danych następuje na zasadzie udostępnienia. Każdy podmiot realizuje bowiem własny cel i posługuje się własnymi środkami przetwarzania danych. RELACJA ADMINISTRATOR ADMINISTRATOR POMIĘDZY AGENCJĄ ZATRUDNIENIA A PRACODAWCĄ UŻYTKOWNIKIEM W PRACY TYMCZASOWEJ Bezsporne jest, że agencja pracy tymczasowej, kierując pracowników tymczasowych do wykonywania pracy na rzecz pracodawców użytkowników, jest administratorem ich danych osobowych jako pracodawca. Natomiast analiza relacji pomiędzy agencją pracy tymczasowej a pracodawcą użytkownikiem oraz roli pracodawcy użytkownika w świetle RODO musi być dokonywania z uwzględnieniem przepisów ustawy o zatrudnianiu pracowników tymczasowych z r. (dalej Ustawa ). W powołanym akcie prawnym przyjęto charakterystyczny dla zatrudnienia tymczasowego udział trzech podmiotów: pracownika tymczasowego, pracodawcy agencji pracy tymczasowej i pracodawcy użytkownika, oraz specyficzną konstrukcję, wyodrębniającą ten rodzaj zatrudnienia o charakterze trójstronnym spośród innych nietypowych form zatrudnienia. Tę specyfikę tworzy w szczególności znajdująca swoje umocowanie w

14 ustawie konstrukcja przejęcia części praw i obowiązków pracodawcy przez podmiot, który nie jest pracodawcą w sensie formalnym, ale w praktyce przysługuje mu szereg uprawnień pracodawcy, na rzecz i pod kierownictwem którego świadczona jest praca tymczasowa (vide art. 1 ust. 2 Ustawy). Wśród istotnych ustawowych obowiązków pracodawcy użytkownika, które tradycyjnie należą do obowiązków pracodawcy, a które mają istotne znaczenie dla oceny roli pełnionej przez ten podmiot wg RODO, należy wymienić między innymi następujące: a) pracodawca użytkownik wyznacza pracownikowi tymczasowemu zadania i kontroluje ich wykonanie (art. 2 ust. 1 Ustawy), b) pracodawca użytkownik informuje agencję zatrudnienia o wynagrodzeniu, jakie ma być wypłacane pracownikom tymczasowym (art. 9 ust. 2 pkt 1 Ustawy), c) pracodawca użytkownik wykonuje obowiązki i korzysta z praw przysługujących pracodawcy w zakresie niezbędnym do organizowania pracy z udziałem pracownika tymczasowego (art. 14 ust. 1 Ustawy), d) pracodawca użytkownik jest obowiązany zapewnić pracownikowi tymczasowemu bezpieczne i higieniczne warunki pracy w miejscu wyznaczonym do wykonywania pracy tymczasowej (art. 14 ust. 2 pkt 1 Ustawy), e) pracodawca użytkownik prowadzi ewidencję czasu pracownika tymczasowego w zakresie i na zasadach obowiązujących w stosunku do pracowników (art. 14 ust. 2 pkt 2 Ustawy), f) pracodawca użytkownik prowadzi ewidencję osób wykonujących pracę tymczasową (art. 14 a Ustawy), g) poprzez sprawowanie nadzoru nad przebiegiem pracy, pracodawcy użytkownik może zdecydować np. o przyznaniu premii, nagrody, ale również zastosowaniu kary porządkowej, czy rozwiązaniu stosunku pracy z danym pracownikiem tymczasowym, h) pracodawca użytkownik dostarcza pracownikowi tymczasowemu odzież i obuwie robocze oraz środki ochrony indywidualnej, zapewnia napoje i posiłki profilaktyczne, przeprowadza szkolenia w zakresie bezpieczeństwa i higieny pracy, ustala okoliczności i przyczyny wypadku przy pracy, przeprowadza ocenę ryzyka zawodowego oraz informuje o tym ryzyku (art. 9 ust. 2a Ustawy), i) pracodawca użytkownik ma obowiązek stosować wobec pracowników tymczasowych tzw. zasadę równego traktowania (art. 15 Ustawy). Ustawowy zakres praw i obowiązków pracodawcy użytkownika jest znacznie szerszy, a dodatkowo może zostać poszerzony w umowie o świadczenie usług zawieranej z agencją

15 Ponadto, należy także przywołać przepis art. 5 Ustawy, zgodnie z którym w zakresie nieuregulowanym odmiennie przepisami Ustawy do pracodawcy użytkownika (a nie tylko do agencji pracy tymczasowej) stosuje się odpowiednio przepisy prawa pracy dotyczące pracodawcy. Powyższe oznacza, że praktycznie od momentu przekazania pracodawcy użytkownikowi listy pracowników tymczasowych, którzy stawią się do pracy w jego zakładzie w związku z wykonaniem umowy o świadczenie usług pracy tymczasowej, pracodawca użytkownik zaczyna dane tych pracowników przetwarzać wyłącznie dla siebie (we własnym imieniu, a nie w imieniu agencji zatrudnienia), przy pomocy własnych środków i wykonując w stosunku do tych osób obowiązki pracodawcy. Jest to samodzielna rola pracodawcy użytkownika, w której pracodawca użytkownik nie działa na zlecenie agencji pracy tymczasowej, zaś obowiązki, które wykonuje nie są wykonaniem zobowiązań wobec agencji zawartych w umowie, ale realizowaniem samodzielnej roli pracodawcy użytkownika zapisanej w ustawie. W praktyce można by mnożyć przykłady działania pracodawcy użytkownika na własny rachunek z wykorzystaniem danych osobowych pracowników tymczasowych np. prowadzenie szkoleń z zakresu BHP, prowadzenie ewidencji czasu pracy, sporządzanie protokołów powypadkowych, prowadzenie ewidencji okresów zatrudnienia, wydawanie kart dostępowych do zakładu pracy, identyfikatorów pracownika, ustalanie rozkładów i harmonogramów czasu pracy, list pracowników na poszczególnych zmianach, stosowanie do pracowników regulaminów premiowania obowiązujących u pracodawcy użytkownika, uwzględnianie pracowników tymczasowych w planach benefitowych pracodawcy użytkownika, przekazywanie list zatrudnionych pracowników związkom zawodowym, raportowanie danych o takich pracownikach do własnych struktur organizacyjnych itd. Powyższe oznacza, że w pełnym procesie organizowania pracy z udziałem pracownika tymczasowego oraz w zakresie wykonania wszystkich obowiązków pracodawcy użytkownika na podstawie Ustawy pracodawca użytkownik pełni samodzielną rolę administratora danych, działając we własnym celu (agencja w celu zatrudnienia pracownika tymczasowego i skierowania do pracy u pracodawcy użytkownika, a pracodawcy użytkownik w celu pełnienia roli faktycznego pracodawcy, który jest odbiorcą pracy tymczasowej, sprawuje nadzór i kontrole nad jej przebiegiem), i posługując się własnymi środkami przetwarzania. Podsumowując: w procesie świadczenia usług pracy tymczasowej mamy do czynienia z dwoma administratorami danych. W takim przypadku uzasadnione jest, aby wymiana danych osobowych pracowników tymczasowych odbywała się w oparciu o udostępnianie danych, a nie w oparciu o umowę powierzenia przetwarzania. Jest to stanowisko powszechnie przyjęte w Europie i brak jest uzasadnienia dla odmiennych, lokalnych interpretacji w tym zakresie. Przyjęcie błędnego stanowiska, zgodnie z którym w powyższej relacji mamy do czynienia z powierzeniem danych osobowych, prowadziłoby do niedającego się zaakceptować rozwiązania, w ramach którego pracodawca użytkownik przetwarza dane osobowe w imieniu agencji zatrudnienia. ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI W AGENCJACH ZATRUDNIENIA

16 W agencjach zatrudnienia nie mamy do czynienia z podejmowaniem decyzji w sposób wyłącznie zautomatyzowany, o którym mowa w art. 22 RODO, a co za tym idzie nie ma konieczności pozyskiwania zgody na profilowanie danych; jest także wątpliwość, czy wymagany jest w tym wypadku obowiązek informacyjny. W procesach rekrutacyjnych korzystanie z systemu informatycznego odbywa się na zasadzie wyszukiwarki, która poprzez wprowadzenie odpowiednich kryteriów wyszukiwania (tzw. tagów) pozwala zawęzić zbiór kandydatów branych pod uwagę. Takie zawężenie kryteriów wyszukiwania jest następnie podstawą do decyzji ludzkiej, podejmowanej przez konsultanta rekrutera, którzy kandydaci są przedstawieni potencjalnemu pracodawcy. Rekruter analizuje profile kandydatów i z grupy kandydatów spełniających kryteria wybiera (sam, na podstawie własnej wiedzy i doświadczenia) tych, których rekomenduje klientowi. Można mieć zatem poważne wątpliwości, czy w takiej sytuacji mamy do czynienia z profilowaniem, bowiem nie dochodzi do podjęcia decyzji przez system, a ostateczna decyzja jest zawsze podejmowana przez czynnik ludzki, obecny na wszystkich etapach przetwarzania danych