Nowe Standardowe Klauzule Umowne przyjęte przez Komisję Europejską: czy musisz zaktualizować swoje umowy?

Komisja Europejska ogłosiła w dniu 4 czerwca 2021 r., że przyjęła dwa zestawy standardowych klauzul umownych (“SCC”):

  • do stosowania między administratorami a podmiotami przetwarzającymi (“SCC dotyczące administratora i podmiotu przetwarzającego”),
  • do przekazywania danych osobowych do państw trzecich (“SCC dotyczące przekazywania danych do państw trzecich”).

 

W dniu 7 czerwca 2021 r. Komisja opublikowała je w Dzienniku Urzędowym Unii Europejskiej, co oznacza iż wchodzą one w życie 27 czerwca 2021r. [20 dni po publikacji].

 

Nowe SCC uwzględniają wyrok Trybunału Sprawiedliwości Unii Europejskiej (“TSUE”) w sprawie Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18) (“Schrems II”) jak i  wspólną opinię Europejskiej Rady Ochrony Danych i Europejskiego Inspektora Ochrony Danych, informacje zwrotne od zainteresowanych stron oraz opinię przedstawicieli państw członkowskich.

 

Decyzja 2001/497/WE oraz decyzja 2010/87/UE tracą moc ze skutkiem od dnia 27.09.2021 r. Do tego momentu nadal istnieje możliwość projektowania umów w oparciu o SCC w nich opublikowanych. Umowy zawarte przed dniem 27.09.2021 r. w oparciu o poprzednie SCC zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 RODO do dnia 27 grudnia 2022 r., o ile operacje przetwarzania będące przedmiotem umowy pozostaną niezmienione a stosowanie poprzednich SCC zapewnia odpowiednie zabezpieczenia w rozumieniu art. 46 ust. 1 RODO, czyli do 27 grudnia 2022r. jest czas na weryfikacje i aktualizację umów do standardów zawartych w nowych SCC.

 

Zapisy nowych Standardowych Klauzul Umownych obejmują zabezpieczenia w zakresie ochrony danych, korzystanie z podwykonawców przetwarzania, prawa osób, których dane dotyczą – w tym prawo do zadośćuczynienia – odpowiedzialność oraz nadzór w przypadku przekazywania danych od administratora do administratora, od administratora do podmiotu przetwarzającego, od podmiotu przetwarzającego do podmiotu przetwarzającego oraz od podmiotu przetwarzającego do administratora. Oczywiście przedsiębiorstwa nadal będą musiały przeprowadzać odpowiednią ocenę ryzyka.

Oczywiście też przekazywanie danych osobowych na podstawie SCC nie będzie mogło mieć miejsca, gdy przepisy i praktyki obowiązujące w państwie trzecim uniemożliwiają podmiotowi odbierającemu dane przestrzeganie SCC.

 

źródło:

strona internetowa Komisji Europejskiej [ec.europa.eu]

PUODO nakłada kolejną karę za brak współpracy

PUODO ogłosił w dniu 8 czerwca 2021 r. decyzję o nałożeniu na PNP SA grzywny w wysokości 22 000 PLN (ok. 4 920 EUR) za brak współpracy z PUODO oraz nieudostępnienie wszelkich informacji niezbędnych do wykonywania zadań przez PUODO. W decyzji podkreślono w szczególności, że po otrzymaniu skargi PUODO zwrócił się do PNP o ustosunkowanie się do jej treści i złożenie wyjaśnień, czego ten ostatni nie uczynił.

 

UODO w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do ukaranej Spółki z wezwaniem do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień. Żadne ze skierowanych do Spółki wezwań nie zostało przez Spółkę odebrane pomimo dwukrotnego ich awizowania. W związku z tym wysłane Spółce wezwania zostały uznane za doręczone.

 

W decyzji podkreślone zostało, że odpowiedzialność za nieudzielenie UODO żądanych przez niego informacji spoczywa na Spółce. Nie zmienia tego okoliczność, że wezwania kierowane przez UODO do Spółki nie zostały ostatecznie przez nią odebrane.

 

źródło: strona internetowa Urzędu Ochrony Danych Osobowych [Aktualności – UODO]

49. posiedzenie Europejskiej Rady Ochrony Danych

Podczas 49. posiedzenia plenarnego EROD przyjęła m.in. zalecenia w sprawie podstawy prawnej dla przechowywania danych karty kredytowej wyłącznie w celu ułatwienia dalszych transakcji internetowych. Zalecenia obejmują sytuacje, w których osoby, których dane dotyczą, kupują produkt lub płacą za usługę za pośrednictwem strony internetowej lub aplikacji i podają dane swojej karty kredytowej w celu zawarcia pojedynczej transakcji.

 

źródło:

strona internetowa Europejskiej Rady Ochrony Danych [Recommendations 02/2021 on the legal basis for the storage of credit card data for the sole purpose of facilitating further online transactions | European Data Protection Board (europa.eu)

Kontrola niemieckich organów ds. ochrony danych osobowych dotycząca transferu danych poza EU

Niemieckie organy ds. ochrony danych w dniu 1 czerwca 2021 ogłosiły inicjatywę ogólnoniemieckiej kontroli przekazywanie danych przez przedsiębiorstwa do państw spoza Unii Europejskiej lub Europejskiego Obszaru Gospodarczego (kraje trzecie). Celem jest szerokie egzekwowanie wymogów Europejskiego Trybunału Sprawiedliwości (ETS) zawartych w jego decyzji Schrems II z dnia 16 lipca 2020 r. (sprawa C-311/18).

 

W swojej decyzji w sprawie Schrems II sąd stwierdził, że nie można już przekazywać danych do USA na podstawie tzw. tarczy prywatności. Ponadto stosowanie standardowych klauzul ochrony danych przy przekazywaniu danych do państw trzecich jest obecnie wystarczające jedynie przy zastosowaniu skutecznych środków dodatkowych, jeżeli ocena administratora wykazała, że w państwie otrzymującym dane nie można zagwarantować równoważnego poziomu ochrony danych osobowych. W wielu przypadkach orzeczenie ETS wymagało fundamentalnych zmian w długo praktykowanych modelach i procesach biznesowych.

 

Niemieckie Organy uczestniczące w kontroli będą teraz kierować do wybranych przedsiębiorstw wspólnie opracowany kwestionariusz. Kwestionariusz obejmuje między innymi korzystanie z usług dostawców w celu wysyłania e-maili, hostingu stron internetowych, śledzenia stron internetowych, zarządzania danymi kandydatów oraz wymiany danych klientów i pracowników w ramach grupy. Każdy organ nadzorczy indywidualnie decyduje, które z tych obszarów będzie badał i czy lista pytań zostanie dostosowana regionalnie.

 

źródło:

strona internetowa PUODO [puodo.gov.pl]

 

Ważna aktualizacja w aplikacjach ADOBE

Firma Adobe wydała w maju 2021 dużą aktualizacje zawierającą poprawki wielu krytycznych podatności. Luki dotyczyły aż 12 różnych produktów. Najważniejsza była jednak podatność zero-day dotyczącą programu Adobe Reader, która jest aktywnie wykorzystywana w środowisku Windows.

 

Lista zaktualizowanych aplikacji obejmuje: Adobe Experience Manager, Adobe InDesign, Adobe Illustrator, Adobe InCopy, Adobe Genuine Service, Adobe Acrobat and Reader, Magento, Adobe Creative Cloud Desktop Application, Adobe Media Encoder, Adobe After Effects, Adobe Medium i Adobe Animate.

 

W biuletynie bezpieczeństwa firma przyznała, że wada „została wykorzystana na wolności w ograniczonych atakach na użytkowników programu Adobe Reader w systemie Windows”. Zero-Day jest sklasyfikowany jako CVE-2021-28550 i dotyczy błędu wykonania dowolnego kodu, który może pozwolić atakującym na użycie praktycznie dowolnego polecenia w systemach docelowych.

 

Chociaż ataki ukierunkowane wymierzone były w użytkowników programu Adobe Reader w systemie Windows, problem dotyczy zarówno wersji Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat Reader 2020, Acrobat 2017 i Acrobat Reader 2017 dla systemu Windows oraz macOS.

 

W programach Adobe Acrobat i Reader usunięto 10 krytycznych i cztery ważne luki w zabezpieczeniach, a następnie naprawiono pięć krytycznych usterek w programie Adobe Illustrator, które mogą prowadzić do wykonania dowolnego kodu w kontekście użytkownika. Firma Adobe przyznała organizacji FortiGuard Labs z firmy Fortinet zgłoszenie trzech z pięciu luk w zabezpieczeniach programu Adobe Illustrator.

 

Użytkownikom zaleca się jak najszybszą instalacje poprawek, aby zminimalizować ryzyko związane z atakami.

 

źródło: strona internetowa helpx.adobe.com

Szczepienia przeciwko COVID-19 – czy zaszczepienie się przez pracownika może być podstawą przyznania benefitów od pracodawcy?

Akcja szczepień przeciw COVID-19 trwa. Osoby chętne do wykonania szczepienia mogą m.in. zaszczepić się bezpośrednio w ramach Narodowego Programu Szczepień, jak również skorzystać z możliwości zaszczepienia się w zakładzie pracy (jeżeli pracodawca przystąpił do Narodowego Programu Szczepień).

 

W tym momencie istotnym dokumentem, który reguluję omawianą kwestię, są wytyczne dotyczące organizacji i realizacji szczepień w zakładach pracy opracowane przez m.in. zespół KPRM i Ministerstwa Zdrowia. We wskazanych wytycznych podkreślono, że pracodawca odpowiada m.in. za: „nawiązanie współpracy z podmiotem leczniczym, który przeprowadzi szczepienia, zebranie listy zatrudnionych pracowników chętnych do szczepienia oraz oświadczeń o zgodzie na przetwarzanie danych osobowych, a także prawidłowe wypełnienie formularza zgłoszeniowego (równoznaczne z gotowością do zaszczepienia zgłoszonych pracowników)”. Pamiętajmy jednak, że wytyczne te nie mają charakteru wiążących przepisów prawa.

 

Pracodawca nawiązując współpracę z podmiotem leczniczym już na etapie zawierania umowy powinien klarownie ustalić zasady przetwarzania danych osobowych pracowników. Podmiot leczniczy bez wątpienia będzie oddzielnym administratorem danych osób, które zdecydują się na szczepienia. To na nim będzie spoczywać obowiązek przeprowadzenie kwalifikacji do szczepienia, ich wykonanie, a przede wszystkim sporządzenie dokumentacji medycznej oraz wystawienie kart szczepień.

 

Jak wskazują wytyczne, po nawiązaniu współpracy z podmiotem leczniczym i podaniu przybliżonej liczby chętnych do zaszczepienia (nie ma tutaj potrzeby podawania jakichkolwiek danych osobowych), pracodawca odpowiada także za zapewnienie odpowiednich warunków bezpieczeństwa, w przypadku wykonywania szczepień w zakładzie pracy oraz pokrycie dodatkowych kosztów, które powstaną przy organizacji szczepień. W żadnym z tych wypadków dane osobowe nie będą pracodawcy potrzebne.

 

Pracodawcy mają świadomość zagrożeń, które niesie za sobą duża ilość zachorowań na COVID-19 w zakładzie pracy, związanych z ryzykiem dużej absencji pracowników, obowiązkiem zapewnienia bezpiecznych i higienicznych warunków pracy oraz koniecznością ochrony pracowników, którzy z uwagi na przeciwskazania medyczne nie mogą poddać się szczepieniom. Właśnie z tych względów, rozważają oni różne formy promowania szczepień wśród swoich pracowników.

 

Szczepienie przeciw COVID-19 ma obecnie dobrowolny charakter – szczepionki na Sars-Cov-2 nie znajdują się na liście szczepień obowiązkowych. Pracodawcom zależy jednak na uzyskaniu odporności zbiorowej załogi i ochrona pracowników przed zakażeniem, szczególnie jeżeli forma pracy wymaga styczności z dużą liczbą innych osób, i zapewnienia bezpiecznych i higienicznych warunków pracy.

 

Przedsiębiorstwa rozważają różne formy nagradzania pracowników za odpowiedzialne podejście i fakt zaszczepienia się przeciw COVID-19, obejmujące m.in. przyznawanie dodatkowych uprawnień albo możliwość wzięcia udziału w konkursach lub loteriach z nagrodami, dla pracowników, którzy zdecydowali się zaszczepić oraz przekazali taką informację pracodawcy.

 

W odpowiedzi na praktyczną potrzebę przedsiębiorców, motywacją ewentualnych dodatkowych benefitów jest przecież bezpieczeństwo pracowników oraz stabilny biznes, pojawiły się głosy sceptyczne – kwestionujące możliwość takich działań pracodawców, związane z ryzykiem uznania, że promowanie wśród pracowników szczepień przeciw COVID-19 może m.in. stanowić formę nierównego traktowania lub być naruszeniem przepisów o ochronie danych osobowych.

 

Odpowiednie uregulowanie w zakładzie pracy sposobów promowania szczepienia się przez pracowników, może ograniczyć ewentualne ryzyka dla pracodawcy do akceptowalnego poziomu. W takim przypadku korzyści wynikające z osiągnięcia odporności zbiorowej w skali przedsiębiorstwa mogą przeważyć i stanowić podstawę do podjęcia decyzji o wprowadzeniu np. programu benefitowego.

 

Na co zwrócić uwagę?

Dane o zaszczepieniu przeciwko COVID-19 stanowią informacje dotyczące zdrowia, a zatem jest to szczególna kategoria danych z art. 9 ust. 1 RODO. Ich przetwarzanie jest co do zasady zabronione, chyba że administrator może powołać się na wyjątek z art. 9 ust.2 RODO. Pracodawcy rozważający wprowadzenie programu benefitowego powinni więc w szczególności zwrócić uwagę na dobrowolność przystąpienia do programu oraz przekazywanie informacji o fakcie zaszczepienia się wyłącznie z inicjatywy pracownika.

 

Zakres i czas posiadania przez pracodawcę danych o zaszczepieniu się powinien być restrykcyjnie ograniczony. Ewentualne niewzięcie udziału w programie benefitowym nie powinno wiązać się z żadnymi negatywnymi konsekwencjami dla pracowników. Rodzaj i forma przyznawanych benefitów nie mogą wiązać się z nierównym traktowaniem w zatrudnieniu, choćby w kontekście wysokości wynagrodzenia za pracę.

 

Nasze doświadczenia pokazują także, że promowanie akcji szczepień wśród pracowników jest skuteczne, gdy działania edukacyjne prowadzone są wspólnie i w porozumieniu z organizacjami związkowymi działającymi u pracodawcy. Mogą one spowodować chęć zaszczepienia u większej ilości pracowników.

 

źródło: strona internetowa gov.pl Szczepienia w zakładach pracy – Szczepienie przeciwko COVID-19 – Portal Gov.pl (www.gov.pl)

 

Doręczanie pism w okresie stanu zagrożenia epidemicznego/epidemii

W stanowisku z dnia 31 marca 2021r. MRPiT wy-jaśniło, że „regulacja przyjęta w ustawie z 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 modyfikuje przyjęte zasady doręczania przesyłek przez operatora pocztowego. Zgodnie z art. 98 ust. 1 ustawy nieodebranych pism podlegających doręczeniu za potwierdzeniem odbioru przez operatora pocztowego w rozumieniu ustawy z dnia 23 listopada 2012 r. – Prawo pocztowe, których termin odbioru określony w zawiadomieniu o pozostawieniu pisma wraz z informacją o możliwości jego odbioru przypadał w okresie stanu zagrożenia epidemicznego lub stanu epidemii, nie można uznać za doręczone w czasie obowiązywania stanu zagrożenia epidemicznego lub stanu epidemii oraz przed upływem 14 dni od dnia zniesienia tych stanów. Z brzmienia przepisu wynika, że odnosi się on do wszystkich nieodebranych przesyłek podlegających doręczeniu za potwierdzeniem odbioru przez operatora pocztowego (z wyjątkiem wskazanych w ust. 2 tego przepisu), bez względu na to, kto jest nadawcą przesyłki. Zatem znajdzie także zastosowanie do wysłanej przez pracodawcę a nieodebranej przez pracownika przesyłki zawierającej oświadczenie o rozwiązaniu umowy o pracę doręczanej za potwierdzeniem odbioru przez operatora pocztowego w rozumieniu ustawy z dnia 23 listopada 2012 r. – Prawo pocztowe. Powyższe prowadzi do stwierdzenia, że nie będzie możliwe przyjęcie domniemania skutecznego doręczenia i złożenia oświadczenie woli, jeżeli przesyłka nie zostanie przez adresata podjęta w terminie, po jej uprzednim prawidłowym awizowaniu. Należy zauważyć, że rozwiązanie przyjęte w przedmiotowym przepisie nie pozwala na jednoznaczne określenie terminu dokonania skutecznego doręczenia. Z brzmienia art. 98 ust. 1 ustawy można wywieść, że nieodebrane przez pracownika oświadczenie pracodawcy o rozwiązaniu umowy o pracę wywoła skutek najwcześniej po upływie 14 dni od dnia zniesienia stanu zagrożenia epidemicznego lub stanu epidemii. Natomiast kwestia uznania takiej przesyłki za doręczoną po tym terminie mogłaby być oceniana we-dług zasad wskazanych w przywołanym wyroku Sądu Najwyższego z dnia 3 kwietnia 2019 r. (II PK 326/17) zgodnie z utrwalonym orzecznictwem Sądu Najwyższego i jednolitym stanowiskiem doktryny prawa. Jednocześnie pragniemy zauważyć, że art. 98 ust. 1 ustawy nie wyłącza możliwości złożenia oświadczenia woli w inny prawem przewidziany sposób, tak aby doszło ono do adresata, w taki sposób, aby mógł się on zapoznać z jego treścią. Może to nastąpić chociażby za pomocą środka komunikacji elektronicznej, zgodnie z art. 61 § 2 i art. 781 K.c. i z kwalifikowanym podpisem elektronicznym. Ponadto osoba składająca oświadczenie może również podjąć próbę doręczenia oświadczenia o rozwiązaniu umowy o pracę za pośrednictwem kuriera, osobiście bądź przy pomocy innych osób w miejscu zamieszkania adresata”.

Zakres badań profilaktycznych

W stanowisku z dnia 06 kwietnia 2021r. MRPiT uznało, że „zadaniem pracodawcy nie jest zlecanie poszczególnych badań w ramach badań profilaktycznych. Obowiązkiem pracodawcy jest wydanie pracownikowi, w dwóch egzemplarzach, skierowania na badanie profilaktyczne. Decyzje dotyczące wykonania badań specjalistycznych w ramach badań profilaktycznych należą do lekarza medycyny pracy. Podstawę do ich przeprowadzenia stanowi wydane przez pracodawcę skierowanie oraz wspomniane wyżej „Wskazówki metodyczne w sprawie przeprowadzania badań profilaktycznych pracowników””. Dodatkowo lekarz przeprowadza w trakcie badania wywiad lekarski, który jest dla niego źródłem dodatkowych informacji zarówno o stanie zdrowia pracownika, jak i jego środowisku pracy. Jeżeli lekarz przeprowadzający badanie profilaktyczne stwierdzi, że jest to niezbędne dla prawidłowej oceny stanu zdrowia osoby przyjmowanej do pracy lub pracownika, może poszerzyć jego zakres o dodatkowe specjalistyczne badania konsultacyjne oraz badania dodatkowe, a także wyznaczyć krótszy termin następnego badania, niż to określono we wskazówkach metodycznych”.

Skierowanie pracownika na badanie profilaktyczne (międzyokresowe)

W stanowisku z dnia 16 kwietnia 2021r. MZ wyjaśniło, że „skierowanie na badania okresowe jest uzasadnione w sytuacji, gdy pogorszenie stanu zdrowia nastąpiło w stopniu, który uniemożliwia lub znacznie utrudnia wykonywanie pracy na danym stanowisku oraz gdy istnieje podejrzenie, że dalsze wykonywanie pracy na tym stanowisku może stanowić zagrożenie dla życia lub zdrowia pracownika lub innych osób. Ocena, czy obserwowane przez pracodawcę lub zgłoszone przez pracownika pogorszenie stanu zdrowia powinno skutkować skierowaniem na badania okresowe, mimo posiadania przez pracownika aktualnego orzeczenia lekarskiego, należy do pracodawcy”.

Plany legislacyjne rządu

Ministerstwo Rozwoju przygotowuje nowelizację kodeksu pracy, w myśl której pracodawcy będą mogli prowadzić wyrywkowe kontrole zatrudnionych na obecność alkoholu lub innych środków odurzających. Od dawna oczekiwana przez przedsiębiorców zmiana przepisów została wpisana do planu prac legislacyjnych rządu. Wszystko wskazuje jednak na to, że zmiany w kodeksie pracy mogą nastąpić jeszcze w tym roku. W myśl założeń projektu (który trafił już do konsultacji) pracodawcy zyskają prawo do wyrywkowych kontroli trzeźwości pracowników lub kontroli na obecność środków działających podobnie do alkoholu w ich organizmach. W noweli mają znaleźć się szczegółowe zasady takich kontroli. Co więcej, przedsiębiorcy będą mieli takie uprawnienia nie tylko w stosunku do etatowych pracowników, ale także osób wykonujących pracę na innej podstawie, w tym współpracujących w postaci działalności gospodarczej. Przewidywany termin przyjęcia projektu: III kwartał 2021r.

Orzeczenia sądowe, o których warto wiedzieć

• W wyroku z dnia 14 kwietnia 2021r. Sąd Naj-wyższy (sygn. akt I NSNc 5/21) uznał, że zmiana umowy o pracę ze stałej na czas określony dokonana przez nowego praco-dawcę po przejściu zakładu pracy i przejęciu załogi jest prawnie niedopuszczalna.
SN wskazał, że zgodnie z art. 231 k.p. w związku z przejściem zakładu na nowego pracodawcę ten ostatni staje się stroną umów o pracę w miejsce dotychczasowego. Jest on zatem związany warunkami pracy i płacy, które zostały w nich przewidziane. Może je z czasem modyfikować, ale tylko na takich samych zasadach, jak zrobiłby to poprzedni pracodawca. W stanie faktycznym doszło do ewidentnego na-ruszenia przepisów, gdyż pracodawca podpisał z pracownikiem umowę na czas określony, choć poprzedni stosunek pracy był zawarty na czas nieokreślony. Utrwalone orzecznictwo zakazuje zmiany umowy z bezterminowej na terminową w trybie wypowiedzenia zmieniającego.