3 kwietnia 2019 r. Prezydent RP podpisał ustawę z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej ustawa wprowadzająca RODO. Celem regulacji jest zharmonizowanie przepisów poszczególnych ustaw z regulacjami wynikającymi z RODO.

Najważniejsze zmiany z punktu widzenia przedsiębiorców obejmą Kodeks pracy, ustawę o zakładowym funduszu świadczeń socjalnych (ZFŚS), czy ustawę o prawach konsumenta.

Ustawa wprowadzająca RODO przeformułowała katalog danych, których może żądać pracodawca od kandydata do pracy/ pracownika. Ponad powyższe, dane mają być udostępniane w formie oświadczenia osoby, której dane dotyczą. Dodatkowo, przetwarzanie przez pracodawcę innych danych, niż wymienione w Kodeksie pracy, uzależnione będzie od zgody tej osoby. Wycofanie zgody nie powinno powodować żadnych negatywnych konsekwencji. Ustawa wprowadzająca RODO ogranicza także możliwość przetwarzania danych biometrycznych pracownika.

Zmiany nie ominą również regulacji dotyczącej  ZFŚS. Podobnie jak w Kodeksie pracy, także na gruncie ZFŚS udostępnienie danych osobowych osoby uprawnionej do korzystania z Funduszu następować ma w formie oświadczenia. Dane te mają być przechowywane wyłącznie przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń. Pracodawca będzie miał obowiązek przeglądu danych osobowych na potrzeby ZFŚS, przynajmniej raz w roku w celu ustalenia niezbędności ich dalszego przechowywania.

Ustawa wprowadzająca RODO określa również zasady wykonywania obowiązku informacyjnego, o którym mowa w art. 13 RODO wobec konsumentów. Zgodnie z nową regulacją, w zakresie zawierania umów z konsumentami (również poza lokalem przedsiębiorstwa lub na odległość), co do zasady przedsiębiorca ma obowiązek zrealizować obowiązek informacyjny poprzez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Od zasady tej przewidziano jednak wyjątki, m.in. nie stosuje się jej, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z ujawnionymi informacjami.

Powyżej opisane zmiany to tylko kilka przykładów dostosowania obecnych przepisów do unormowań RODO. Z uzasadnienia ustawy wprowadzającej RODO wynika, iż ustawodawcy przyświecał przede wszystkim cel zapewnienia spójnego podejścia do kwestii ochrony danych osobowych oraz brak powielania rozwiązań RODO w wielu aktach prawnych.