„Sankcje nakładane przez prezesa UODO w postaci administracyjnych kar pieniężnych mają na celu zdyscyplinowanie administratorów i podmiotów przetwarzających. Lekceważenie przez nich obowiązków związanych ze współpracą z Prezesem UODO prowadzi bowiem do przedłużania prowadzonych przez niego postępowań” – napisał UODO w jednym z komunikatów dotyczących ostatnich kar.

• 15 tys. zł – taką karę nałożył prezes Urzędu Ochrony Danych Osobowych na spółkę zajmującą się pośrednictwem pracy na terenie Polski i Niemiec. Skargę na nią za niechciany telemarketing złożył w swoim urzędzie obywatel Niemiec. Sprawę prowadzi jednak, ze względu na miejsce siedziby spółki, polski organ nadzoru. To postępowanie transgraniczne.

Polski urząd dwukrotnie wezwał firmę do złożenia wyjaśnień i nie doczekał się żadnej reakcji. Za trzecim razem spółka odpowiedziała, ale w sposób niepełny i wewnętrznie sprzeczny. Prezes UODO Jan Nowak uznał, że celowo utrudnia ona prowadzenie postępowania lub co najmniej lekceważy swoje obowiązki związane ze współpracą z organem nadzoru. Dlatego też nałożył karę finansową, przy czym właściwe postępowanie nadal jest w toku.

• 5 tys. zł – taką karę nałożył prezes Urzędu Ochrony Danych Osobowych na indywidualnego przedsiębiorcę prowadzącego niepubliczny żłobek i przedszkole, który odmówił prezesowi przekazania informacji na temat wypełnienia obowiązku zawiadomienia o naruszeniu osób, których ono dotyczyło. Przedsiębiorca zgłosił do Prezesa UODO naruszenia ochrony danych osobowych, polegające na utracie dostępu do danych osobowych przechowywanych w prowadzonym niepublicznym żłobku i przedszkolu. W związku z brakiem w zgłoszeniu informacji niezbędnych do oceny tego naruszenia, organ nadzorczy trzykrotnie skierował do przedsiębiorcy wezwania do złożenia stosownych wyjaśnień. Dwa wezwania nie zostały podjęte w terminie, natomiast jedno ukarany podmiot odebrał osobiście. Przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wezwania, stąd kara.

• 100 tys. zł – maksymalną przewidzianą prawem karę dla podmiotów publicznych nałożył Prezes UODO na Głównego Geodetę Kraju (GGK).

GGK nie dopuścił do przeprowadzenia czynności kontrolnych wynikającym z upoważnień przedłożonych przez kontrolerów z  UODO. Według oceny GGK z zakresu wskazanego w upoważnieniach wynikało, że kontrola ma dotyczyć numerów ksiąg wieczystych, które według niego nie stanowią danych osobowych w rozumieniu przepisów Prawa geodezyjnego i kartograficznego.

Prezes UODO stwierdził naruszenie przez Głównego Geodetę Kraju przepisów ogólnego rozporządzenia o ochronie danych (RODO). Naruszenie polega na niezapewnieniu organowi nadzorczemu w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań. Ponadto GGK nie współpracował z kontrolerami UODO w trakcie tej kontroli.

Podsumowując ostatnie kary Prezesa UODO należy podkreślić wagę sprawnej i rzeczowej komunikacji pomiędzy podmiotem i przedstawicielami organu nadzoru, przejawiająca się w:

• terminowym składaniu wyjaśnień,
• dostarczaniu wszystkich niezbędnych, rzeczowych informacji,
• niezwłocznym wdrażaniu zaleceń organu i przedstawianie dowodów to potwierdzających.

W oczekiwanej przez Prezesa UODO i kontrolerów urzędu sprawnej współpracy kluczową rolę odegrać może trwale włączony do zespołu obsługi prawnej pion ds. ochrony danych osobowych lub Inspektor Ochrony Danych (w zależności od ilości czynności na danych i technologii zaangażowanej w ich przetwarzanie).

Kara nałożona na indywidualnego przedsiębiorcę tj. niepubliczny żłobek i przedszkole pozwala wysnuć wniosek, że nad taką obsługą powinien zastanowić się każdy przedsiębiorca, bez względu na wielkość firmy.

UODO w stanowisku z dnia 30 czerwca 2020r. wskazał jednoznacznie, że:

„[…] dane członków zarządu reprezentujących osobę prawną, dane pełnomocników osób prawnych, a także dane pracowników, którzy są osobami kontaktowymi osoby prawnej, będących możliwymi do zidentyfikowania osobami fizycznymi, będą danymi osobowymi podlegającymi ochronie RODO.

Wobec tego administrator jest zobligowany do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub 14 RODO, o ile nie zachodzi jedna z przesłanek zwalniających go z tego obowiązku”.

Danymi, które nie będą stanowiły w ogóle danych osobowych, a więc nie będą wiązały się ze skierowaniem obowiązku informacyjnego i wpisywały się z definicji w tzw. „dane kontaktowe osoby prawnej”, o których mowa w motywie 14 RODO, będą wyłącznie ogólne dane kontaktowe (np. numer telefonu do sekretariatu spółki, czy ogólny adres e-mail nie zawierający imienia i nazwiska osoby fizycznej taki jak office@poczta.pl).

Wszelkie inne dane, które odnoszą się do konkretnej osoby fizycznej (np. służbowy adres e-mail, czy informacja na temat pełnionej funkcji) to dane osobowe, które podlegają przepisom RODO, a tym samym wobec tych osób obligatoryjnie należy realizować także obowiązki informacyjne.

Reperkusje po wyroku TSUE w sprawie Schrems II (C- 311/18) z dnia 16 lipca 2020 r. Europejski Trybunał Sprawiedliwości (C-311/18) 6

Orzeczeniem z dnia 16 lipca 2020 r. Europejski Trybunał Sprawiedliwości (C-311/18) uznał tarczę ochrony danych UE-USA tzw. Privacy Shield, za nieważną a stosowanie standardowych klauzul umownych Komisji Europejskiej (2010/87/UE) obarczone pewnymi obowiązkami osób odpowiedzialnych, które wynikają z zastosowania tych klauzul.

Wyrok TSUE jest jednak bezlitosny i oznacza, że w przypadku podmiotów z siedzibą w USA, które figurują na liście Privacy Shield, a jest to liczba ponad 5 tys. aktywnych podmiotów, w tym między innymi Oracle, Microsoft, czy Google. Dalszy transfer danych w oparciu o instrument Privacy Shield jest niemożliwy.

Transfer danych do USA można oprzeć na tzw. standardowych klauzulach umownych (SCC). Są jednak przypadki, gdy nie można zastosować się do gwarancji zawartych w standardowych klauzulach umownych, a co za tym idzie nie mogą one być wykorzystywane jako podstawa do przekazywania danych.

Przykład: Przepisy bezpieczeństwa w USA, takie jak Foreign Intelligence Surveillance Act (FISA) 702, które umożliwiają amerykańskim organom bezpieczeństwa dostęp do danych osobowych bez nakazu sądowego, mają zastosowanie przede wszystkim do firm telekomunikacyjnych.

Co do zasady, standardowe klauzule umowne nie mogą być wykorzystywane do przekazywania danych do takich przedsiębiorstw. Prawo to może mieć również wpływ na inne przedsiębiorstwa, np. jeżeli przedsiębiorstwa te korzystają z usług dostawców usług telekomunikacyjnych, takich jak usługi w chmurze. W tym przypadku istnieje możliwość, że amerykańskie organy bezpieczeństwa uzyskają w ten sposób dostęp do danych.

TSUE w orzeczeniu podkreślił zresztą, że do mających siedzibę w Unii administratorów i podmiotów odbierających dane osobowe należy w tym momencie sprawdzenie w każdym konkretnym przypadku i – gdy ma to zastosowanie – we współpracy z podmiotem odbierającym te dane, czy prawo państwa trzeciego przeznaczenia zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach. W przypadku braku możliwości podjęcia dodatkowych środków odpowiednich dla zagwarantowania takiej ochrony, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego.

W wyroku Naczelnego Sądu Administracyjnego z 19 maja 2020 r. ( sygn. akt II GSK 134/20) wynika, że jeżeli pismo adresowane imiennie do osoby pracującej w danym miejscu, zostało doręczone nie do rąk własnych danej osoby fizycznej, lecz osobie upoważnionej przez pracodawcę do odbioru korespondencji (np. sekretariat firmy), to co do zasady adresatowi przysługuje prawo do przywrócenia terminu (doręczenie było wadliwe).

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/957 z 28 czerwca 2018 r. zmieniająca dyrektywę 96/71/WE dotyczącą delegowania pracowników w ramach świadczenia usług weszła w życie 29 lipca 2018 r. Artykuł 3 tej dyrektywy zobowiązuje państwa członkowskie do implementacji jej nowych zasad w systemach prawnych krajów członkowskich Unii Europejskiej do 30 lipca 2020 r. W związku z powyższym m.in.:

• po 30 lipca 2020 r. delegowanie pracownika za granicę będzie ograniczone czasowo. Maksymalny czas delegowania wyniesie 12 miesięcy, z możliwością wydłużenia do 18 miesięcy. W tym celu trzeba będzie poinformować odpowiedni urząd o planowanej zmianie ram czasowych pobytu pracownika za granicą.
• pracodawca będzie zobowiązany przestrzegać minimalnych warunków zatrudnienia w obszarach ściśle wskazanych w ustawie, obowiązujące w kraju delegowania.
• w przypadku przekroczenia terminu 12 miesięcy (lub 18 miesięcy, jeżeli zostanie powiadomiony odpowiedni urząd), pracodawca będzie musiał zagwarantować pracownikom – oprócz wspomnianych minimalnych warunków zatrudnienia – również wszystkie inne warunki przewidziane w przepisach prawa, przepisach administracyjnych lub układach zbiorowych uznanych za powszechnie obowiązujące w kraju delegowania.

W stanowisku z dnia 01 czerwca 2020r. ZUS wyjaśnił, że „”Podstawa wymiaru świadczeń w razie choroby i macierzyństwa z tytułu pracy w pełnym wymiarze czasu pracy wraz ze składnikami, do których pracownik zachowuje prawo w okresie pobierania zasiłków nie może być niższa od kwoty minimalnego wynagrodzenia za pracę po odliczeniu kwoty odpowiadającej 13,71% tego wynagrodzenia.

Od 1 stycznia 2020 r. przy obliczaniu wysokości minimalnego wynagrodzenia za pracę nie uwzględnia się dodatku za staż pracy. Zmiana ta nie ma wpływu na zasady ustalania minimalnej podstawy wymiaru zasiłków pracowników, którzy otrzymują dodatek stażowy wypłacany za okres pobierania zasiłku”.

Centralny Instytut Ochrony Pracy na stronie internetowej (www.ciop.pl) udostępnił przygotowane w uzgodnieniu z GIP opracowanie pt. „Bezpieczeństwo i ochrona zdrowia osób pracujących w czasie epidemii Covid-19”. Zawarte w nim wytyczne mają ułatwić pracodawcom i przedsiębiorcom prowadzenie w czasie epidemii działań skierowanych na osiągnięcie bezpiecznego i zdrowego środowiska pracy. Zawierają przy tym ogólne informacje o środkach profilaktycznych, które należy stosować w czasie epidemii w każdym zakładzie pracy, a także informacje dotyczące:

• opracowania planu działań,
• środków zapobiegających zakażeniom,
• zasadom ograniczania obciążeń psychospołecznych,
• komunikowania się w sprawach związanych z wdrożonymi działaniami, a także
• postępowania w przypadku podejrzenia zachorowania.

Opracowanie zawiera listę sprawdzającą, na podstawie której pracodawca ustali czy uwzględnił wszystkie obszary zapobiegania COVID-19 w zakładzie.

UODO w stanowisku z dnia 18 maja 2020r. wyjaśnił, że:

• „Po przeprowadzonym badaniu profilaktycznym lekarz przeprowadzający badanie profilaktyczne dokonuje w dokumentacji medycznej pracownika opisu badania oraz wpisu treści orzeczenia, a następnie wydaje orzeczenie lekarskie osobie badanej oraz pracodawcy. Zatem kwestia okresowych badań lekarskich jest znana jedynie pracodawcy oraz pracownikowi. Nie jest zasadne udostępnianie tego typu informacji na ogólnodostępnych listach. Pracowników, którym kończą się badania okresowe, można poinformować w inny sposób”.

• „UODO nie widzi przeszkód, by ze względów bezpieczeństwa i organizacji pracy informować, kto ma uprawnienia np. do prowadzenia wózka widłowego. Tego typu informacja może także pomóc w ustaleniu, czy danego sprzętu używa osoba z odpowiednimi kwalifikacjami, a tym samym może zapobiec sytuacji, w której będzie próbowała skorzystać z niego osoba nieuprawniona.

Tego typu rozwiązanie służy usprawnieniu oraz organizacji pracy w danym zakładzie pracy i odbywa się na podstawie prawnie uzasadnionego interesu pracodawcy, który nie narusza praw i wolności osób, których dane dotyczą”.

Z dniem 24 czerwca 2020 r. weszła w życie ustawa z dnia 19 czerwca 2020 r. o dopłatach do oprocentowania kredytów bankowych udzielanych przedsiębiorcom dotkniętym skutkami COVID-19 oraz o uproszczonym postępowaniu o zatwierdzenie układu w związku z wystąpieniem COVID-19 (Dz. U. poz. 1086). Jest to tzw. Tarcza 4.0.

Ustawa ta wprowadziła m.in następujące zmiany dot. wszystkich pracodawców (bez dodatkowych warunków):

• „przywrócone” zostało prawo do dodatkowego zasiłku opiekuńczego ubezpieczonemu zwolnionemu od wykonywania pracy z powodu konieczności osobistego sprawowania opieki nad dzieckiem, o którym mowa w art. 32 ust. 1 pkt 1 ustawy zasiłkowej (czyli zdrowym dzieckiem w wieku do lat 8), w przypadku zamknięcia/otwarcia żłobka, klubu dziecięcego, przedszkola, szkoły lub innej placówki, do których uczęszcza dziecko, albo niemożności sprawowania opieki przez nianię lub dziennego opiekuna z powodu COVID-19  do dnia 28 czerwca 2020 r.,
• uregulowano zasady wykonywania pracy zdalnej,
• w okresie obowiązywania stanu zagrożenia epidemicznego lub stanu epidemii, ogłoszonego z powodu COVID-19, pracodawca może udzielić pracownikowi, w terminie przez siebie wskazanym, bez uzyskania zgody pracownika i z pominięciem planu urlopów, urlopu wypoczynkowego niewykorzystanego przez pracownika w poprzednich latach kalendarzowych, w wymiarze do 30 dni urlopu, a pracownik jest obowiązany taki urlop wykorzystać.
• wprowadzono możliwość wypowiedzenie umowy o zakazie konkurencji obowiązującym po ustaniu danego stosunku prawnego. Zgodnie z jego treścią, w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii, ogłoszonego z powodu COVID-19, strony umowy o zakazie konkurencji obowiązującym po ustaniu m.in. stosunku pracy, na rzecz którego ustanowiono zakaz działalności konkurencyjnej, mogą ją wypowiedzieć z zachowaniem terminu 7 dni.

Od 22 czerwca 2020 r. inspektorzy pracy przystąpią do wykonywania powierzonych zadań w pełnym zakresie.

Działania kontrolno-nadzorcze prowadzone będą przy zastosowaniu procedur ograniczających ryzyko zakażenia koronawirusem. Taką decyzję podjął Główny Inspektor Pracy. Jak czytamy w komunikacie zamieszczonym na stronie internetowej www.pip.gov.pl: „Nowe zasady przeprowadzania kontroli zostały określone w wytycznych opracowanych przez Głównego Inspektora Pracy i Głównego Inspektora Sanitarnego. Dotyczą one w szczególności or-organizacji i funkcjonowania jednostek organizacyjnych Państwowej Inspekcji Pracy w okresie stanu epidemii SARS-CoV-2 (…). W celu zapewnienia bezpieczeństwa pracy inspektorów pracy wyposaża się w odpowiednio dobrane środki ochrony indywidualnej. (…) Podczas prowadzenia czynności kontrolnych na terenie zakładu pracy Główny Inspektor Pracy zaleca korzystanie z wydzielonego pomieszczenia. Czynności kontrolne na terenie zakładu pracy powinny trwać możliwie jak najkrócej. (…)

Dokumenty udostępnione inspektorowi pracy przez pracodawcę do kontroli poza terenem zakładu zostaną poddane 24-godzinnej kwarantannie w szczelnie zamykanych pojemnikach. Dokumenty te, podobnie jak inna korespondencja, mogą zostać wyjęte i skierowane do użytku w danej jednostce organizacyjnej PIP dopiero po upływie 24 godzin od wpłynięcia. W czasie kontroli inspektor powinien respektować obowiązujące u pracodawcy ograniczenia i obowiązki związane z zapobieganiem rozprzestrzenianiu się SARS-CoV-2 (…)”