RODO w praktyce

1. Wstęp

Kiedy 8 czerwca 2018 r. pod Nowym Targiem doszło do wypadku drogowego, w którym uczestniczył autokar wiozący dzieci wracające z wycieczki szkolnej, część poszkodowanych uczniów została niezwłocznie rozwieziona do okolicznych szpitali. Jak się jednak okazało, ich rodzice mieli olbrzymie problemy z ustaleniem, gdzie przebywają ranne dzieci. Odnalezienie małego pacjenta w konkretnym szpitalu lub otrzymanie choćby podstawowych informacji przez telefon było bardzo trudne albo w ogóle niemożliwe. Jak się okazało, powodem takiej wstrzemięźliwości pracowników służby zdrowia było unijne rozporządzenie o ochronie danych osobowych, które 25 maja tego roku, a więc niecały miesiąc wcześniej, weszło w życie także w Polsce. Niebezpieczną sytuację bardzo szybko skomentował Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji. Zapewnił on, że jego urząd uczuli jednostki zdrowia, by bardziej racjonalnie podchodziły do tematu ochrony danych osobowych.

Najważniejszym słowem w powyższej wypowiedzi urzędnika jest racjonalność, która jest kluczem do zrozumienia i zastosowania w życiu nowych regulacji prawnych. Racjonalne dostosowanie, elastyczność środków oraz otwarty katalog stosowanych metod, technik i regulacji wewnętrznych stanowią o innowacyjności i atrakcyjności nowych przepisów. Z tych samych powodów stanowią one jednak wyzwanie i zmuszają do zupełnie nowego spojrzenia na ochronę danych osobowych, tak by dostosowując się do nowych mechanizmów prawnych nie narazić się na odpowiedzialność prawną i finansową. Ci, którzy myślą, że doświadczenia nabyte w trakcie praktyki pod rządami wcześniejszych przepisów (w tym między innymi ustawy o ochronie danych osobowych) są wystarczające, by stawić czoła nowym przepisom, są w poważnym błędzie.

Należy przypomnieć, że na podstawie poprzednio obowiązującej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: OchrDanychU) konieczne i zarazem wystarczające było sporządzenie dokumentacji w postaci Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemami Informatycznymi, których forma i treść były uregulowane rozporządzeniem wykonawczym. Ich sporządzenie było zatem wyłącznie niezbyt uciążliwą formalnością. Co więcej, kary finansowe przewidziane ustawą, niezależnie od ich niewielkiej wysokości, miały charakter wyłącznie przymuszający. Stosowane były dopiero wtedy, gdy kontrolowany podmiot nie dostosował się do zaleceń pokontrolnych organu. Te przyczyny spowodowały, że ochrona danych osobowych była jednym z tych zagadnień, o których przedsiębiorca pamiętał w ostatniej kolejności.

UWAGA

Doświadczenia nabyte w czasie obowiązywania OchrDanychU są istotne, jednak niewystarczające, by sprostać wymaganiom RODO.

O ochronie tych jakże wrażliwych danych pamiętał jednak europejski prawodawca. Zauważył on, że zmieniający się świat wymaga dostosowania do niego mechanizmów prawnych. Coraz powszechniejsze aplikacje mobilne, galopujący rozwój branży e-commerce, nowe technologie oraz postępująca wirtualizacja i digitalizacja życia codziennego spowodowały, że stopniowo zaczęliśmy tracić kontrolę nad naszymi danymi osobowymi oraz informacjami o życiu prywatnym.

Unijne rozporządzenie o ochronie danych osobowych ma pozwolić nam tę kontrolę przywrócić. Nie tylko dla odzyskania jakże wygodnej i spokojnej prywatności, ale i dla zarządzania nią w racjonalny sposób, także z powodów czysto ekonomicznych. Dziś dane osobowe, pozwalające sprofilować i celnie dotrzeć do każdego konsumenta, mają bowiem określoną i wymierną wartość. A zatem jeśli mamy coś cennego, nie pozwólmy, by ktoś korzystał z tego wbrew naszej woli i bez naszej kontroli nad gromadzeniem, przetwarzaniem i przechowywaniem tego unikatowego dobra, jakim są dane osobowe.

Między innymi dlatego pojawiła się potrzeba stworzenia niniejszego Poradnika, który ma być mapą drogową zarówno dla podmiotów przetwarzających dane osobowe, jak i dla samych podmiotów tych danych. Jako schemat Poradnika przyjęto schemat unijnego rozporządzenia, którego układ i kolejność w czytelny sposób pozwalają poprowadzić Czytelnika po meandrach RODO. Pamiętajmy jednak, że sama mapa to nie terytorium, więc wędrówka po nim może być pełna pułapek.

Poznamy zatem definicję danych osobowych i jej najważniejsze elementy kreacyjne, czyli zakres przedmiotowy informacji, możliwość identyfikacji podmiotu oraz odniesienie do konkretnej osoby fizycznej. Dowiemy się, czy numer telefonu zawsze należy do danych osobowych, i rozróżnimy dane na zwykłe, wrażliwe i te wynikające z wyroków skazujących i czynów zabronionych. Spróbujemy przekonać, że choć co do zasady wizerunek należy do danych osobowych zwykłych, jednak gdy jest przetwarzany coraz powszechniejszymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby, to będzie należał już do danych osobowych szczególnych kategorii jako dana biometryczna.

Zwrócimy uwagę na cienką granicę między administratorem danych osobowych a podmiotem przetwarzającym takie dane. A granica ta jest nie tylko cienka, ale i płynna, ponieważ to, co odróżnia administratora od innych podmiotów, to przede wszystkim możliwość decydowania o celach i sposobach przetwarzania.

Spróbujemy uporządkować też zasady przetwarzania danych osobowych, zwłaszcza że jest to regulacja nowatorska. Obowiązująca wcześniej OchrDanychU nie wskazywała wprost zasad ochrony danych osobowych, które były wywodzone z jej poszczególnych postanowień. Ustawodawca unijny postanowił jednak podnieść rangę tych zasad, wymieniając je wprost w treści rozporządzenia. A zrobił to nie bez powodu, ponieważ wszelkie procesy przetwarzania danych osobowych muszą być obecnie zgodne ze wszystkimi zasadami przetwarzania łącznie. Naruszenie choćby jednej z nich powoduje, że przetwarzanie danych osobowych będzie niezgodne z prawem. Warto więc je poznać i o nich pamiętać.

Tak samo opiszemy podstawy prawne przetwarzania danych osobowych. Jest to tym ważniejsze, że przedmiotowe podstawy stanowią zamknięty katalog, a administrator wypełni zasadę legalności, tylko jeżeli oprze proces przetwarzania danych osobowych choćby na jednej podstawie wskazanej w przepisie, i to tej właściwej. Trzeba zatem dobrze ją dobrać, by nie naruszyć praw osoby fizycznej.

Unijne rozporządzenie daje też zupełnie nowe i daleko idące prawa osobom, których dane są przetwarzane. Przede wszystkim europejski prawodawca zadbał o to, by osoby fizyczne miały większy dostęp do informacji o swoich danych i działaniach administratora, a także większy i faktyczny wpływ na proces przetwarzania tych danych. Prawo dostępu do danych, prawo do ich sprostowania, prawo do przenoszenia, ograniczenia przetwarzania czy prawo do sprzeciwu w wyraźny sposób stanowią też jasną i uporządkowaną analogię wobec katalogu praw właścicielskich chroniących własność w prawie cywilnym. Nowatorskie jest z kolei prawo do usunięcia danych i prawo do bycia zapomnianym. Osoba, której dane dotyczą, będzie mogła bowiem żądać od administratora danych ich usunięcia, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących albo jeśli przetwarzanie jej danych osobowych nie jest, z innego powodu, zgodne z rozporządzeniem. Uprawnienie to zostało zabezpieczone określonymi procedurami i sankcjami, a świadomość prawna w społeczeństwie sukcesywnie rośnie, wydaje się więc, że czeka nas fala wniosków o bycie zapomnianym.

UWAGA

RODO umożliwia osobom fizycznym większy dostęp do informacji o swoich danych i działaniach administratora, a także większy i faktyczny wpływ na proces przetwarzania tych danych.

Przeanalizujemy też wykorzystanie danych osobowych do zautomatyzowanego podejmowania decyzji, w tym profilowania. Działania takie odnajdujemy coraz częściej nie tylko w marketingu, ale i w wielu innych sektorach życia. Profilowanie jest coraz bardziej powszechną praktyką, a postęp technologiczny i dostępność do wielu narzędzi katalogowych i analitycznych (w tym choćby niewinne pliki cookies) ułatwiły tworzenie profili i podejmowanie zautomatyzowanych decyzji. Z jednej strony stanowi to praktyczne ułatwienie dla konsumentów, z drugiej jednak może też znacząco wpływać na prawa i wolności osób fizycznych, a także utrwalać stereotypy czy podważać swobodę wyboru produktów i usług. Nadmienić trzeba, że choć RODO nie wprowadza zakazu profilowania, jednak wprowadza przepisy mające na celu przeciwdziałanie zagrożeniom wynikającym z profilowania i automatycznego podejmowania decyzji. Administrator danych, realizując zasadę przejrzystości podczas zbierania danych, jest bowiem zobowiązany do poinformowania o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a konsument ma prawo sprzeciwić się takim działaniom.

Gdy mówimy o administratorze danych osobowych, wspomnimy też o wygodnej instytucji współadministratorów, która pozwala ustalić wspólnie cele i sposoby przetwarzania danych przez dwa i więcej podmioty powiązane funkcjonalnie lub gospodarczo. Omówimy przy tym także status prawny, a zwłaszcza obowiązki, inspektora ochrony danych osobowych oraz trudne kwestie zarządzania danymi osobowymi, w szczególności powierzenie i udostępnienie tych danych, upoważnienie do ich przetwarzania, prowadzenie rejestrów czy wreszcie analizę ryzyka i zagrożeń, które spędzają obecnie sen z powiek administratorom i inspektorom danych. A jeśli mowa o zagrożeniach, to omówimy także rodzaje i wysokość sankcji oraz przebieg postępowania kontrolnego.

Staraliśmy się poruszyć i omówić jak najwięcej kwestii. Wierzymy, że Poradnik pozwoli w przyjazny sposób poruszać się po wciąż mało znanej krainie unijnego rozporządzenia o ochronie danych osobowych.

2. RODO a prawo krajowe

RODO wiąże w całości i jest bezpośrednio stosowane od 25 maja 2018 r. we wszystkich państwach członkowskich. Jest zatem częścią krajowych przepisów bez potrzeby dokonywania jakichkolwiek dodatkowych działań wprowadzających. Mimo bezpośredniego stosowania obok RODO muszą lub mogą obowiązywać przepisy krajowe dotyczące ochrony danych osobowych.

W wielu przepisach RODO znajdują się odwołania do przepisów krajowych. Przedmiotowe odwołania mogą określać obligatoryjny lub fakultatywny zakres regulacji do dostosowania prawa krajowego do RODO. Do obligatoryjnej regulacji należą między innymi przepisy dotyczące organów nadzorczych (np. Prezes Urzędu Ochrony Danych Osobowych w Polsce; dalej PUODO lub Prezes UODO) czy przepisy dotyczące środków ochrony prawnej (np. skarga do Prezesa UODO w Polsce). W wielu przepisach RODO także przewiduje możliwość fakultatywnej regulacji krajowej. W przypadku braku takiej regulacji krajowej konieczne jest stosowanie generalnych zasad wynikających z RODO.

Ważnym zadaniem każdego państwa członkowskiego było (lub nadal jest) wprowadzenie do krajowego systemu prawnego przepisów zapewniających skuteczne stosowanie RODO, w tym przejrzenie obowiązujących przepisów szczególnych (sektorowych) odnoszących się do ochrony danych osobowych w celu usunięcia wszelkich niespójności z RODO. Dlatego w Polsce 25 maja 2018 r. weszła w życie ustawa z 10 maja 2018 r. o ochronie danych osobowych (dalej: OchrDanychU2018). Zakres ustawy nie objął wszystkich zagadnień RODO, które na gruncie przepisów krajowych są uregulowane w przepisach szczególnych. Powstał projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (planowany dzień wejścia w życie to 1 stycznia 2019 r.). Przepisy zawarte we wspomnianym projekcie dotyczą wielu ustaw obowiązujących w Polsce, w tym między innymi ustaw sektora cyfryzacji, energii, infrastruktury i budownictwa, finansów, statystyki publicznej, pracy, sportu i turystyki, zdrowia czy sprawiedliwości.

RODO wymaga zmiany licznych aktów prawnych obowiązujących w Polsce. Cały system prawny w Polsce powinien bowiem zostać dostosowany do RODO. Jednak należy pamiętać, że mimo braku wielu przepisów zapewniających skuteczne stosowanie RODO w Polsce, polskie przedsiębiorstwa powinny stosować RODO od 25 maja 2018 r., a nie od dnia wejścia w życie poszczególnych zmian w prawie krajowym.

3. Najczęstsze problemy po wprowadzeniu RODO

Podczas wdrożenia RODO podmioty sektora prywatnego, jak i publicznego oczekiwały gotowych rozwiązań, które - wydaje się - jeszcze długo będą przedmiotem wszechobecnej dyskusji o nowych europejskich standardach. Swoboda, jaką dał ustawodawca unijny (choćby poprzez wprowadzenie zasad przetwarzania danych), z jednej strony przyczyniła się do poszukiwania nowych rozwiązań, ale z drugiej strony wprowadziła swego rodzaju niepewność i różnorodność w rozumieniu tych samych zagadnień. Podmioty zaś, których dane osobowe są przedmiotem tej dyskusji, w sposób masowy zaczęły korzystać z przysługujących im praw podmiotowych, nie znając jednak ograniczeń wynikających z unijnych przepisów.

Z informacji uzyskanych 26 października 2018 r. od Agnieszki Świątek-Druś, rzecznika prasowego Urzędu Ochrony Danych Osobowych, wynika, że w pierwszych trzech miesiącach stosowania przepisów RODO do Urzędu wpłynęło 2400 skarg, czyli mniej więcej tyle, ile w całym roku 2017 - liczba ta wynosiła bowiem 2950. Wiele skarg musiało zostać zwróconych ich adresatom z uwagi na braki formalne w postaci niezłożenia własnoręcznego podpisu pod skargą wnoszoną w formie tradycyjnej czy nieopatrzenia kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP w przypadku skargi składanej w formie elektronicznej. Braki dotyczyły także nieokreślenia żądania, tj. niewskazania, jakich działań skarżący oczekuje od organu ds. ochrony danych osobowych. Jak informuje Prezes, zgłoszenia dotyczyły m.in.: wymuszania przez podmioty zgód na przetwarzanie danych osobowych w celach marketingowych, nieuprawnionego udostępniania danych osobowych osobom trzecim, przesyłania przez firmy niechcianej korespondencji, stosowania monitoringu wizyjnego czy przetwarzanie danych biometrycznych pracowników. Taki stan rzeczy mógł być spowodowany nieumiejętnym wypełnianiem przez administratorów obowiązku informacyjnego. Skoro RODO wymusiło na administratorach konieczność poinformowania osób, których dane są przetwarzane, podmioty przetwarzające dane lawinowo zaczęły informować o sobie, o danych, jakie mogą "zbierać", o odbiorcach tych danych. Niestety, nie zawsze wskazywane przez te podmioty podstawy przetwarzania były właściwe. Podmioty przetwarzające dane zapominają, że zmiana celu, dla którego dane zostały pozyskane, wymaga każdorazowo wypełnienia obowiązku informacyjnego w stosunku do osób, których dane dotyczą. Niekiedy brak jednoznacznej interpretacji pojęciowej wprowadzał samych administratorów w błąd co do prowadzonych działań na danych, np. czy w ramach działalności dokonują profilowania czy nie, czy też przekazują dane poza Europejski Obszar Gospodarczy.

Opieszałość krajowego ustawodawcy w uregulowaniu stanu prawnego w obszarach ponad 100 ustaw sektorowych czy brak wyjaśnień nie ułatwia przetwarzającym realizacji przepisów o ochronie danych. Trudności dla podmiotów przetwarzających dane pojawiły się już na samym wstępie prac nad wdrożeniem wytycznych RODO w określeniu, jaką rolę pełni dany podmiot w całym systemie ochrony danych osobowych. To z kolei rodziło kolejne pytania w zakresie zasadności podpisywania umów powierzenia. Niektóre podmioty wprost odmawiały ich zawarcia, inne uzależniały jej podpisanie od odpłatności.

Wiele firm, w tym także podmiotów publicznych, nie było przygotowanych na zmiany kadrowe w postaci czy to zatrudnienia nowych osób posiadających wiedzę i doświadczenie w administrowaniu danymi osobowymi, czy przeprowadzenia szkoleń dla kadry już zatrudnionej. To z kolei przyczyniło się do generowania przez te podmioty dodatkowych kosztów. Konieczność poniesienia znacznych kosztów odnotować można w zakresie wyposażenia podmiotów w narzędzia informatyczne spełniające kryteria bezpieczeństwa. Stworzenie mechanizmów ochrony fizycznej, ale przede wszystkim stworzenie infrastruktury umożliwiającej realizację praw osób, których dane dotyczą, nie powodując paraliżu w funkcjonowaniu działalności, dla niektórych stało się wyzwaniem. Do chwili obecnej wiele firm uważa, że posiadanie polityk i regulaminów jest wystarczające dla uznania, że działanie przedsiębiorstwa jest bezpieczne i zgodne z RODO.

Podmioty, które nie do końca poradziły sobie z wdrożeniem RODO, nie wiedzą, jak odpowiadać na pytania wynikające z korzystania z prawa do bycia zapomnianym czy usunięcia danych. Realizowany przez administratorów obowiązek informacyjny ułatwił osobom fizycznym dotarcie do źródła przetwarzania ich danych. Jednocześnie osoby te, kierując żądania do przedsiębiorców oraz powołując się na przysługujące im prawa, nie są świadome, że prawa te nie są absolutne. Przykładem jest choćby prawo do bycia zapomnianym (o którym mowa w art. 17 RODO), z którego nie zawsze osoby te mogą skorzystać. Nie będzie ono przysługiwało, gdy przetwarzanie danych będzie niezbędne do wywiązania się przez administratora z obowiązku wynikającego z przepisów prawa czy do wykonywania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Wyzwań, z jakimi muszą zmierzyć się podmioty przetwarzające dane, jest wiele. Najważniejszym wydaje się zmiana świadomości w postrzeganiu istoty danych osobowych, co oznacza, że regulacje przewidziane przez RODO muszą na stałe wpisać się w działalność podmiotów stykających się z danymi osobowymi.

4. Jak należy rozumieć RODO

Pomimo że ochrona danych osobowych nie jest niczym nowym w polskim porządku prawnym, data 25 maja 2018 r. u wielu przedsiębiorców, i nie tylko, wzbudziła niepokój. W dużej mierze uzasadniony. Przyczyny takiego stanu rzeczy były różne, choćby obawa przed brakiem jednolitych reguł interpretacyjnych w zrozumieniu nomenklatury związanej z ochroną danych.

Po wejściu w życie RODO każdy przedsiębiorca stanął przed koniecznością dostosowania prowadzonej działalności, organizacji pracy do zgodności ze specyficznymi regułami, procedurami i mechanizmami nałożonymi przez unijnego ustawodawcę, których rozumienie może być zgoła odmienne przez różne podmioty. Niemniej jednak implementacja głównych motywów i założeń nowych przepisów bez unijnej standaryzacji pojęciowej w obszarze danych byłaby niemożliwa, a co najmniej dalece utrudniona.

Motyw 10 preambuły RODO¹:

§

Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. Jeżeli chodzi o przetwarzanie danych osobowych w celu wypełnienia obowiązku prawnego, w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, państwa członkowskie powinny móc zachować lub wprowadzić krajowe przepisy doprecyzowujące stosowanie przepisów niniejszego rozporządzenia [...].

Unijny ustawodawca w art. 4 RODO stworzył kanon pojęć, które stosowane w obszarze danych osobowych mają kluczowe znaczenie, pozostając jednak neutralnymi dla poszczególnych ustawodawstw unijnych.

Obok interpretacji definicji danych osobowych (sformułowanych i bliżej przedstawionych w rozdziale 5) niemal zawsze pojawiającymi się, gdy mowa o danych osobowych, są pojęcia administratora, podmiotu przetwarzającego czy przetwarzania. Na potrzeby niniejszej publikacji poniżej omawiamy wybrane zagadnienia związane z ww. pojęciami, wskazując jednocześnie, że pełny katalog pojęciowy odnajdziemy w art. 4 RODO.

W celu zapewnienia spójnego i zharmonizowanego podejścia interpretacyjnego na szczeblu europejskim Grupa Robocza Artykułu 29 RODO² wydała opinię (Opinia 1/2010 w sprawie pojęć "administrator danych" i "przetwarzający", WP 169) zawierającą wyjaśnienia odnoszące się do pojęć administratora danych i przetwarzającego dane. Praktyka stosowania przepisów o ochronie danych pokazała bowiem pojawiające się trudności w stosowaniu definicji administratora i podmiotu przetwarzającego. Trudności z interpretacją tych definicji pojawiają się zwłaszcza w złożonych okolicznościach, w których można przewidzieć wiele scenariuszy samodzielnego lub wspólnego funkcjonowania administratorów danych i przetwarzających o różnym stopniu autonomii i odpowiedzialności.

4.1. Administrator danych osobowych a podmiot przetwarzający dane osobowe

Status administratora danych osobowych może przysługiwać osobie fizycznej lub prawnej, organowi publicznemu, jednostce lub innemu podmiotowi. Jest to więc katalog otwarty. Administratorem może być zarówno podmiot prowadzący jednoosobową działalność gospodarczą, jak i podmiot działający w formie spółki z ograniczoną odpowiedzialnością. Dopiero precyzyjne określenie, czy dany podmiot jest administratorem danych, czy też nie, będzie się wiązało z podjęciem przez ten podmiot określonych działań w celu wypełnienia obowiązków wynikających z przepisów o ochronie danych osobowych.

Jeżeli wymagania wobec poszczególnych podmiotów nie zostaną sprecyzowane w sposób wystarczająco jasny, istnieje ryzyko niepodjęcia przez te podmioty określonych działań, włącznie z brakiem zapewnienia gwarancji skutecznego stosowania prawa w praktyce.

Rozwój technologii informacyjno-komunikacyjnych, a także globalizacja przetwarzania danych powodują wzajemne przenikanie się ról administratora i podmiotu przetwarzającego, a tym samym trudności w płynnym określeniu pozycji podmiotu, który styka się z danymi osobowymi.

Już samo gromadzenie przez określony podmiot danych osobowych klientów, kontrahentów, osób zatrudnionych sprawia, że spoczywa na nim obowiązek zapewnienia bezpieczeństwa administrowania takimi danymi. Administratorem danych osobowych możemy uczynić każdego pracodawcę wobec zatrudnionych pracowników. Będzie nim także operator sklepu internetowego (serwisu internetowego) w stosunku do użytkowników dokonujących zakupów z wykorzystaniem środków porozumiewania się na odległość czy świadczący usługę newsletter.

W praktyce przedsiębiorcy stają się administratorami wielu kategorii danych osobowych. Jest to uzależnione od charakteru prowadzonej działalności. Przedsiębiorcy są więc administratorami danych nie tylko w stosunku do swoich pracowników, współpracowników i klientów, ale również przedstawicieli dostawców, odwiedzających gości, podmiotów zgłaszających bądź odbierających produkty z reklamacji, kandydatów do pracy, potencjalnych klientów, którzy wysyłają zapytania ofertowe.

Grupa Robocza Artykułu 29 wyjaśnia, że posiadanie statusu administratora może wynikać z:

1) przyznanej podmiotowi przez przepisy prawa kompetencji do bycia administratorem,

2) kompetencji dorozumianych,

3) faktycznego wpływu podmiotu na dane osobowe.

Tabela 1. Status administratora - z czego wynika

PRZYKŁAD 1

Przykład administratora: monitoring wizyjny

Spółka zawiera umowę z firmą ochroniarską, w wyniku której firma instaluje kamery w różnych częściach budynku w imieniu spółki. Cel montażu kamer (zapewnienie bezpieczeństwa i ochrony osób i mienia) oraz sposób, w jaki gromadzi się i przechowuje obrazy, są określane wyłącznie przez spółkę. Spółkę należy uznać za jedynego administratora danych w odniesieniu do tej operacji przetwarzania danych.

W taki sam sposób, jak w przypadku definicji administratora danych, pojęcie przetwarzającego obejmuje szeroki zakres podmiotów, które mogą pełnić rolę przetwarzającego (tzw. procesora).

Niejednokrotnie to, czy dany podmiot jest administratorem czy procesorem, prowadzi do licznych nieporozumień. Ten sam podmiot może bowiem działać jednocześnie jako administrator danych w przypadku niektórych operacji przetwarzania danych oraz jako przetwarzający w przypadku innych tego rodzaju operacji. Kwalifikowanie go jako administratora danych lub przetwarzającego należy oceniać w odniesieniu do określonych kategorii danych lub operacji przetwarzania danych osobowych.

Działania w zakresie przetwarzania danych mogą ograniczać się do określonego zadania czy kontekstu. Mogą też mieć bardziej ogólny charakter i szerszy zakres.

Udział przetwarzającego w określonych procesach zależy od decyzji podjętej przez administratora danych. Może on zdecydować o przetwarzaniu danych w ramach własnej organizacji lub przekazać całość bądź część działań w zakresie przetwarzania danych podmiotowi zewnętrznemu. Najważniejszym elementem przepisu jest stwierdzenie, że przetwarzający działa w imieniu administratora danych.

Administrator danych jest zobowiązany do ustalania celów, w jakich dane osobowe są przetwarzane, oraz sposobów, jakimi się je przetwarza.

Kryterium odróżniającym administratora od innych podmiotów przetwarzających dane osobowe jest obowiązek sprawowania faktycznej kontroli nad przetwarzaniem danych.

Podmiot przetwarzający dane dokonuje przetwarzania danych osobowych wyłącznie w imieniu administratora lub współadministratorów. Podmiot ten nie może więc - przetwarzając dane osobowe w imieniu administratora danych - realizować własnych celów przetwarzania danych. Współadministratorzy zaś muszą dokonać uzgodnień, określając odpowiednie obszary swojej odpowiedzialności w zakresie przestrzegania przepisów RODO. Główne aspekty ich uzgodnień muszą być przekazane osobom, których dane są przetwarzane.

Obecnie obowiązek ten spełnia się poprzez przekazywanie osobom, których dane dotyczą, informacji wskazanych odpowiednio w art. 13 i 14 RODO.

Przykładowe cele, dla których przetwarzane są dane osobowe:

a) realizacja zobowiązań administratora (pracodawcy), wynikających ze stosunku pracy, umowy o świadczenie usług określonych regulaminem sklepu internetowego;

b) realizacja obowiązków pracodawcy wynikających z prawa pracy, zgłoszenia pracownika do ubezpieczenia społecznego, prowadzenia dokumentacji księgowo-podatkowej;

c) stosowanie monitoringu w celu zapewnienia bezpieczeństwa i ochrony osób i mienia;

d) oferowanie użytkownikom usługi newsletter;

e) prowadzenie marketingu produktów lub usług własnych;

f) obsługa zapytania skierowanego za pośrednictwem formularza kontaktowego w związku z podjęciem działań na żądanie osoby, której dane dotyczą, i niezbędnością przetwarzania do świadczenia usługi związanej z udzieleniem odpowiedzi na zapytanie.

Podmiot przetwarzający dane jest zazwyczaj stroną trzecią, podmiotem zewnętrznym wobec organizacji administratora, a jego obowiązki jasno określa umowa lub akt prawny. Typowym podmiotem przetwarzającym, z którego usług korzystają administratorzy, to podmiot świadczący usługi kadrowe lub księgowe czy dostarczający rozwiązań IT, także tych związanych z przechowywaniem danych w chmurze (szerzej w rozdziale 11 Zarządzanie danymi osobowymi).

Unijna reforma doprowadziła do znacznego wzrostu zawieranych umów powierzenia danych, ponieważ wraz z umową współpracy, określającą obowiązki wykonywania podstawowych usług, administratorzy zaczęli wyraźnie określać procesy, w których dochodzi do powierzania danych, cel przetwarzania oraz obieg danych.

PRZYKŁAD 2

Przykład podmiotu przetwarzającego - dostawca usług internetowych typu hosting

Dostawca usług internetowych jest zasadniczo przetwarzającym w przypadku danych osobowych publikowanych online przez jego klientów, na rzecz których świadczy usługi w zakresie hostingu i utrzymania strony internetowej. Jeżeli jednak dostawca usług przetwarza dane zawarte na stronach internetowych do własnych celów, jest administratorem danych w odniesieniu do tego określonego działania w zakresie przetwarzania danych.

PRZYKŁAD 3

Status agenta działającego w imieniu administratora danych

Agent w zakresie działalności swojego przedsiębiorstwa stale pośredniczy przy zawieraniu umów na rzecz dającego zlecenie przedsiębiorcy albo w jego imieniu. Agent obok pozyskiwania nowych klientów posiada swoją bazę danych potencjalnych klientów, których następnie łączy z dającym zlecenie umową. Agent zamierza podpisać umowę o powierzenie przetwarzania danych osobowych z dającym zlecenie, na mocy której dający zlecenie stanie się procesorem. Takie działanie należy uznać za błędne. Dającego zlecenie należy uznać za administratora danych wobec swoich klientów, a zatem niezasadne jest zawieranie umowy powierzenia danych. Jednak agent jako podmiot przetwarzający dane na zlecenie będzie mógł jednocześnie odpowiadać definicji administratora w swoim zakresie (w odniesieniu do stworzonej już bazy klientów). Przetwarzający, który wychodzi poza zakres otrzymanego od administratora upoważnienia oraz zyskuje znaczącą rolę w określaniu celów lub zasadniczych sposobów przetwarzania, jest (wspólnym) administratorem danych, a nie przetwarzającym.

4.2. Prawo wyboru podmiotu przetwarzającego przez administratora

Zgodnie z art. 28 ust. 1 RODO administrator odpowiada za właściwy wybór podmiotu przetwarzającego. Powinien to być podmiot, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą.

Artykuł 28 ust. 1 RODO:

§

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Przedsiębiorcy będący administratorami danych zobowiązani są zwracać szczególną uwagę, czy podmiot, któremu powierzają dane osobowe, cechuje się odpowiednim stopniem wiedzy, wiarygodności, możliwości wdrożenia odpowiednich środków zabezpieczających, i to nie tylko w kontekście danych osobowych.

To, w jaki sposób administrator dokona weryfikacji podmiotu i stosowanych przez niego środków, jest pozostawione jego uznaniu. Obserwuje się, że administratorzy danych stosują karty pytań kontrolnych, na które podmiot przetwarzający zobowiązany jest udzielić odpowiedzi, czy też zbierają informacje na temat procesora podczas dokonywanego audytu bezpośrednio w podmiocie przetwarzającym.

Zwykle pytania kontrolne mogą dotyczyć stosowanych przez podmiot środków technicznych i organizacyjnych, tj. czy procesor stosuje szyfrowanie danych, pseudonimizację, jak często wykonuje backupy danych, w jaki sposób przechowuje kopie zapasowe. Administrator powinien sprawdzić, czy procesor korzysta z podwykonawców i czy przetwarza dane na terenie Europejskiego Obszaru Gospodarczego.

Ponadto w zawieranych umowach powierzenia danych administratorzy określają ogólne klauzule co do stosowania prawa przez procesora i ponoszenia przez niego odpowiedzialności.

Wskazać należy, że jest też kategoria procesorów, z których usług korzysta wielu administratorów i co do których godzą się na ogólną politykę przetwarzania danych bez skorzystania z prawa do weryfikacji (na przykład usługi świadczone przez Google czy Microsoft).

PRZYKŁAD 4

Karta z przykładowymi pytaniami kontrolnymi dla podmiotu przetwarzającego:

a) Czy została opracowana i wdrożona polityka ochrony danych osobowych?

b) Czy osoby dopuszczone do przetwarzania danych osobowych otrzymały pisemne upoważnienia?

c) Czy szacowanie ryzyka zostało udokumentowane, czy został stworzony plan postępowania z ryzykiem?

d) Czy jest dokument określający politykę kontroli dostępów do systemów przetwarzających dane osobowe?

e) Czy jest zachowana minimalizacja dostępów?

f) Czy prowadzona jest kontrola dostępu do usług sieciowych?

g) Czy pozyskiwane są dane osobowe z innych źródeł niż od osób, których bezpośrednio dotyczą?

h) W jaki sposób weryfikuje się podmioty, którym powierzono przetwarzanie danych osobowych pod względem zapewnienia właściwej ochrony zbiorów powierzonych?

i) Czy podmiot wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z ich przetwarzaniem, tj. pseudonimizację i szyfrowanie danych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego?

Trzeba pamiętać, że odpowiedzi na dane pytania kontrolne należy udzielać, uwzględniając stan wiedzy technicznej, koszt wdrażania określonych środków oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia (art. 32 RODO).

Wybór podmiotu przetwarzającego powinien uwzględniać poniższe kroki:

1) określenie sposobów przetwarzania danych przez administratora;

2) konieczność stosowania sposobów przetwarzania danych przez procesora;

3) weryfikacja przez administratora właściwego przetwarzania danych przez procesora.

Analizując problematykę powierzenia danych osobowych, należy stwierdzić, że działania administratora danych, który ma zamiar powierzyć przetwarzanie danych podmiotowi przetwarzającemu, sprowadzają się do:

a) wstępnej weryfikacji podmiotu, któremu ma zamiar powierzyć dane osobowe,

b) zawarcia umowy powierzenia danych osobowych.

Przepisy prawa zezwalają, aby podmiot przetwarzający dane (procesor) zlecił innemu podmiotowi przetwarzającemu (podprocesorowi) podwykonawstwo części swoich obowiązków albo wyznaczył podmiot współprzetwarzający dane. Wówczas będziemy mieli do czynienia z podpowierzeniem przetwarzania danych osobowych.

Takie działanie wymaga jednak uzyskania uprzedniej pisemnej zgody administratora danych.

Wzór 1. Zgoda na dalsze powierzenie danych osobowych do przetwarzania

Uzyskanie zgody administratora na dalsze powierzenie danych nie zwalnia podmiotu powierzającego dane podwykonawcy (tu: procesora) do dalszego przetwarzania z odpowiedzialności za działanie dokonywane na danych osobowych. Pisemna zgoda ma w tym przypadku na celu wyeliminowanie z obrotu gospodarczego sytuacji, w których administrator będzie pozbawiony możliwości ingerencji w proces powierzania danych, a tym samym wiedzy, gdzie dokładnie dane przekazane do przetwarzania się znajdują.

PRZYKŁAD 5

Podział ról administratora i przetwarzającego

Firma produkcyjna zatrudnia wielu pracowników. Podpisuje umowę współpracy ze spółką świadczącą obsługę administracji kadrowej i płacowej oraz księgowości, tj. outsourcinguje usługi. Firma produkcyjna informuje spółkę o terminach wypłacania wynagrodzeń, urlopach, zwolnieniach pracowników, a ponadto przekazuje wszystkie inne dane dotyczące rozliczeń. Spółka świadcząca usługi płacowe zapewnia system IT i przechowuje dane pracowników. Firma produkcyjna jest w tym przypadku administratorem, a spółka obsługująca płace jest podmiotem przetwarzającym dane na zlecenie i w imieniu firmy produkcyjnej.

PRZYKŁAD 6

Przetwarzaniem danych może być:

● dostęp do bazy kontaktów zawierających dane osobowe,

● niszczenie dokumentów zawierających dane osobowe,

● publikowanie wizerunku osoby fizycznej na stronie internetowej,

● przechowywanie adresów IP,

● zapis obrazu wideo z monitoringu,

● przesyłanie wiadomości newsletter.

Należy pamiętać, że rozsyłając wiadomości e-mail do celów marketingu bezpośredniego, należy przestrzegać przepisów dotyczących marketingu określonych w dyrektywie o prywatności i łączności internetowej, przepisów ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego.

Ponadto podmiot, któremu powierzono przetwarzanie danych, będzie miał bardzo zbliżone obowiązki do podmiotu powierzającego. Będzie musiał prowadzić rejestr przetwarzania, zgłaszać naruszenia w zakresie ochrony danych osobowych do organu nadzorczego czy wyznaczyć inspektora ochrony danych.

5. Czym są dane osobowe

Wdrożenie zasad wynikających z RODO należy rozpocząć od poznania definicji danych osobowych. Konieczna jest też umiejętność rozpoznawania, czy dana osobowa jest daną zwykłą, czy należy do danych szczególnych kategorii.

Zgodnie z art. 4 pkt 1 RODO:

§

Za dane osobowe należy uznać wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"), przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w  szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

W oparciu o przedstawioną definicję można wyróżnić trzy najważniejsze elementy umożliwiające rozpoznanie danych osobowych:

1) wszelkie informacje,

2) możliwość identyfikacji,

3) konkretna osoba fizyczna.

Termin "wszelkie informacje" należy interpretować szeroko. Dotyczy on zatem każdego aspektu osoby fizycznej, między innymi takiego jak jej życie prywatne, zawodowe, jej kwalifikacje czy stan zdrowia. Na przykład można nadmienić, że na gruncie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE L 1995 Nr 281, s. 31; dalej: Dyrektywa 95/46/WE), która również posługiwała się terminem "wszelkie informacje", Trybunał Sprawiedliwości w wyroku z 6 listopada 2003 r. (C-101/01) wskazał, iż:

TS

Termin "dane osobowe" użyty w przepisie art. 3 ust. 1 dyrektywy 95/46/WE obejmuje, zgodnie z definicją zawartą w przepisie art. 2 lit. a) tej dyrektywy, "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej". Pojęcie to odnosi się bez wątpienia do nazwiska osoby w połączeniu z jej numerem telefonu lub informacjami dotyczącymi jej warunków pracy czy sposobów spędzania przez nią wolnego czasu.

W samej definicji zawartej w przepisie art. 4 pkt 1 RODO zostały wskazane takie informacje, jak:

● imię i nazwisko,

● numer identyfikacyjny,

● dane o lokalizacji,

● identyfikator internetowy lub

● jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Drugi element dotyczy "możliwości identyfikacji". Aby mówić o danych osobowych, należy rozstrzygnąć, czy dane informacje pozwalają na określenie tożsamości osoby fizycznej. Należy przy tym wziąć pod uwagę, jak zostało wskazane w RODO, że informacja może umożliwiać w sposób bezpośredni lub pośredni ustalenie tożsamości danej osoby fizycznej. Przesądzać więc będą sytuacje oraz okoliczności odnoszące się do konkretnej osoby fizycznej.

W motywie 26 RODO zostało wyjaśnione, że:

§

(...) aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

Natomiast w motywie 30 RODO zostało wskazane, że:

§

(...) osobom fizycznym mogą zostać przypisane identyfikatory internetowe - takie jak adresy IP, identyfikatory plików cookie - generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Następnie należy zwrócić uwagę, że dane osobowe, które zostały zaszyfrowane bądź poddane pseudonimizacji, ale które mogą prowadzić do ponownej identyfikacji osoby fizycznej, nadal pozostają danymi osobowymi, do których odnosi się RODO. Przepisy RODO nie powinny natomiast mieć zastosowania do informacji anonimowych, czyli takich, których nie można powiązać z konkretną osobą fizyczną. RODO zatem nie dotyczy przetwarzania anonimowych informacji, na przykład do celów statystycznych.

PRZYKŁAD 7

Jako przykład można wskazać posługiwanie się zamiast imieniem i nazwiskiem danej osoby przypisanym do niej numerem. Lista numerów identyfikacyjnych wraz z powiązanymi imionami i nazwiskami nie powinna być dostępna ze spseudoniminozowanymi danymi. Taka lista powinna znajdować się w innym miejscu.

Ostatni element wymagający wyróżnienia to "osoba fizyczna". Zgodnie z motywem 14 RODO ochrona zapewniana przez RODO powinna mieć zastosowanie do osób fizycznych - niezależnie od ich obywatelstwa czy miejsca zamieszkania - w związku z przetwarzaniem ich danych osobowych.

RODO nie dotyczy przetwarzania danych osobowych odnoszących się do osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Jednak nie można pominąć przypadków, w ramach których dane osobowe osób fizycznych będą powiązane z danymi osób prawnych. Objęte bowiem zakresem ochronnym powinny być dane osobowe osób fizycznych, które prowadzą do identyfikacji osoby fizycznej i które są powiązane z danymi osób prawnych (na przykład dane osobowe wspólników).

Jak przecież zostało wskazane przez Grupę Roboczą Artykułu 29 w opinii 4/2007 w sprawie pojęcia danych osobowych:

§

(...) jeżeli kryteria "treść", "cel" lub "skutek" pozwalają na uznanie informacji o osobie prawnej lub o przedsiębiorstwie za "dotyczącą" osoby fizycznej, należy uznać je za dane osobowe i stosować przepisy dotyczące ochrony danych.

Informacje o osobach prawnych można więc uznać w niektórych sytuacjach za odnoszące się do konkretnych osób fizycznych. Takim przypadkiem może być między innymi adres poczty elektronicznej firmy, używany przez konkretnego pracownika.

Jeżeli chodzi o termin "osoba fizyczna", to wskazać można również, że zgodnie z motywem 27 RODO - RODO nie ma zastosowania do danych osobowych osób zmarłych.

Na podstawie powyższych wyjaśnień można stwierdzić, że dane osobowe to te informacje, które pozwalają zidentyfikować tożsamość konkretnej osoby fizycznej. Pojedyncza informacja zatem może nie należeć do danych osobowych, dzięki samemu imieniu przecież nie można ustalić tożsamości osoby fizycznej. Samo imię i nazwisko również mogą nie stanowić danych osobowych, gdyż identyczne imię i nazwisko może nosić co najmniej kilka osób. Jednak już imię i nazwisko wraz z miejscem zatrudnienia będą stanowiły dane osobowe. Przeważnie też sam numer telefonu dla większości osób nie będzie należał do danych osobowych, ale dla operatora telekomunikacyjnego, który może powiązać dany numer z konkretną osobą fizyczną, już będzie stanowił daną osobową.

RODO wyróżnia dane osobowe szczególnych kategorii oraz dane osobowe dotyczące wyroków skazujących i czynów zabronionych. Wszystkie pozostałe dane osobowe to tak zwane dane osobowe zwykłe.

5.1. Dane osobowe szczególnych kategorii

Ustawodawca unijny przewidział dane osobowe szczególnych kategorii. Według przepisu art. 9 ust. 1 RODO danymi szczególnej kategorii są:

1) dane osobowe ujawniające pochodzenie rasowe lub etniczne,

2) dane osobowe ujawniające poglądy polityczne,

3) dane osobowe ujawniające przekonania religijne lub światopoglądowe,

4) dane osobowe ujawniające przynależność do związków zawodowych,

5) dane genetyczne,

6) dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,

7) dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

Dane te, z uwagi na wrażliwy charakter, są objęte szczególną ochroną polegającą na zakazie ich przetwarzania.

Dane osobowe szczególnych kategorii zasługują też na szczególną ochronę, gdyż jak zostało wskazane w motywie 75 RODO, ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności, jeżeli przetwarzane są dane osobowe szczególnych kategorii.

Zasadą jest zakaz przetwarzania danych osobowych szczególnych kategorii, od której to zasady RODO dopuszcza wyjątki. Zostały one omówione w rozdziale 7. Na jakiej podstawie można przetwarzać dane osobowe).

5.2. Dane osobowe dotyczące wyroków skazujących i czynów zabronionych

RODO wyróżnia również dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa. Można je przetwarzać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii albo prawem państwa członkowskiego, przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

Wszelkie kompletne rejestry wyroków skazujących powinny być prowadzone wyłącznie pod nadzorem władz publicznych. Przetwarzanie danych dotyczących wyroków skazujących i czynów zabronionych nie podlega reżimowi danych osobowych szczególnych kategorii, lecz ogólnemu reżimowi RODO - art. 6 ust. 1 RODO.

Dane dotyczące wyroków skazujących i czynów zabronionych zostały wyróżnione przez ustawodawcę unijnego w ten sposób, aby ich przetwarzanie odbywało się przede wszystkim pod nadzorem władz publicznych.

5.3. Wizerunek jako dana osobowa

Definicja danych osobowych sprawia, że nie ma wątpliwości co do tego, czy konkretna dana osobowa jest daną osobową zwykłą, czy jednak należy do danych osobowych szczególnych kategorii.

Takie dane jak imię, nazwisko, adres zamieszkania, adres poczty elektronicznej, dane o lokalizacji to niewątpliwie dane osobowe zwykłe.

Z kolei takie dane jak o stanie zdrowia, genetyczne, biometryczne to dane osobowe szczególnych kategorii (szerzej w rozdziale 5.1. Dane osobowe szczególnych kategorii). Istnieją też dane, które w zależności od przypadku mogą zostać zakwalifikowane albo jako dane osobowe zwykłe, albo jako dane osobowe szczególnej kategorii. Przykładem danych o potencjalnie różnym charakterze może być wizerunek człowieka, a zatem jego wygląd bądź sposób, w jaki jest postrzegany.

W pierwszej kolejności należy podkreślić, że wygląd może stanowić daną osobową. Wygląd bowiem jest taką informacją, która w połączeniu z innymi informacjami może stanowić podstawę do ustalenia tożsamości osoby fizycznej. Obraz danej osoby stanowi przecież zbiór charakterystycznych jej cech, który jest kojarzony z tą daną osobą.

Podkreślić należy, że zazwyczaj fotografia nie przedstawia tylko wyglądu osoby fizycznej, ale jest także nośnikiem dodatkowych informacji o osobie fizycznej. Z fotografii umieszczonej na portalu społecznościowym może wynikać między innymi: gdzie, kiedy i z kim przebywała konkretna osoba fizyczna.

Naczelny Sąd Administracyjny w wyroku z 18 listopada 2009 r. (I OSK 667/09) wskazał, że:

NSA

(...) wizerunek umieszczony na zdjęciu klasowym wykonanym przed trzydziestoma laty wraz z opatrzeniem go imieniem i nazwiskiem, a następnie zamieszczonym na portalu społecznościowym stanowi dane osobowe.

Jak już zostało zaznaczone powyżej, wizerunek może stanowić daną osobową zwykłą lub daną osobową szczególnych kategorii. Jeżeli obraz danej osoby jest przetwarzany w celu uzyskania szczególnych kategorii danych, wówczas taki wizerunek należy zaliczyć do takiej kategorii.

Przykładem takiej sytuacji może być chęć otrzymania informacji na temat między innymi pochodzenia etnicznego, wyznania, stanu zdrowia danej osoby.

Kwestię wizerunku rozstrzyga też motyw 51 RODO:

§

Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją "danych biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Takich danych osobowych nie należy przetwarzać, chyba że niniejsze rozporządzenie dopuszcza ich przetwarzanie w szczególnych przypadkach, przy czym należy uwzględnić, że prawo państw członkowskich może obejmować przepisy szczegółowe o ochronie danych dostosowujące zastosowanie przepisów niniejszego rozporządzenia tak, by można było wypełnić obowiązki prawne lub wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oprócz wymogów szczegółowych mających zastosowanie do takiego przetwarzania, zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności, jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności, gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności.

Ustalenie, że wizerunek człowieka jest daną osobową, ma szczególne znaczenie w przypadku prowadzenia monitoringu wizyjnego czy publikowania zdjęć współpracowników czy przedstawicieli kontrahentów w mediach elektronicznych. Administratorzy takich danych osobowych powinni zwrócić uwagę na specyficzny charakter przetwarzania takich danych i w odrębny sposób ująć to w zasadach postępowania z takimi danymi.

Ustawodawca unijny wyjaśnił, że co do zasady wizerunek należy do danych osobowych zwykłych. Natomiast gdy wizerunek jest przetwarzany specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej, to będzie należał do danych osobowych szczególnych kategorii jako dana biometryczna. Przykładem wizerunku należącego do danych biometrycznych jest automatyczne skanowanie twarzy w celu odblokowania telefonu komórkowego lub autoryzacji operacji płatności (Face ID).

5.4. Monitoring pracownika

W przepisach krajowych nie było dotąd regulacji odnoszącej się wprost do stosowania przez pracodawcę monitoringu miejsca pracy. Był to jednak problem często pojawiający się na sali sądowej. Wówczas monitoring definiowano jako czynności kontrolne sprawowane za pomocą środków technicznych takich jak komputery, kamery czy aparaty.

Wśród przedstawicieli doktryny prawniczej przeważał pogląd dopuszczający stosowanie monitoringu pracowników jako narzędzia stanowiącego jeden ze sposobów realizacji prawa do nadzoru i kontroli pracownika przez pracodawcę. Problemy nastręczały jednak metody wykonywania tego środka. Szczególne wątpliwości co do zgodności z prawem powstawały przy prowadzeniu przez pracodawcę stałego i nieprzerwanego monitoringu pracowników.

Prawidłowy, a więc legalny i nieuciążliwy monitoring powinien spełniać szereg warunków mających na celu ochronę dóbr osobistych pracownika i poszanowanie jego prawa do prywatności.

Co do zasady dopuszczano stosowanie monitoringu w celach innych niż zapewnienie bezpieczeństwa pracowników, ochrona mienia lub zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. W szczególności przyjmowano, że nieregularna kontrola aktywności pracowników w pomieszczeniach zakładu pracy, a więc faktycznie kontrola wykonywania pracy przez pracownika jest dopuszczalna.

W związku ze zmianami, jakie wprowadziło RODO, ustawodawstwa krajowe musiały dostosować regulacje dotyczące danych osobowych do tych wynikających z unijnego rozporządzenia o ochronie danych. Wobec tego w polskim porządku prawnym wprowadzono do Kodeksu pracy zmiany właśnie m.in. w zakresie dopuszczenia monitoringu w miejscu pracy przy zachowaniu szczególnych warunków.

UWAGA

Monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika.

Wyrazem wdrożenia unijnych regulacji jest art. 222 oraz 223 Kodeksu pracy. Pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu, gdy jest to niezbędne do:

1) zapewnienia bezpieczeństwa pracowników albo ochrony mienia lub

2) kontroli produkcji, lub

3) zachowania tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Monitoringiem nie można jednak obejmować miejsc niedotyczących wykonywania pracy, np. pomieszczeń sanitarnych, stołówki czy szatni.

Monitoring wizyjny nie jest jedynym rodzajem monitoringu, który w praktyce jest wykorzystywany przez pracodawców. Można wyróżnić także monitoring poczty e-mail, rozmów telefonicznych oraz monitoring korzystania z zasobów Internetu. W przypadku tych form nadzoru również może nastąpić przetwarzanie danych osobowych pracowników.

Pracodawca, który stosuje monitoring, może przetwarzać nagrania obrazu wyłącznie do celów, dla których zostały zebrane, i przechowywać przez okres nieprzekraczający 3 miesięcy od dnia nagrania.

W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, że mogą one stanowić dowód w postępowaniu, termin ten ulega przedłużeniu do czasu prawomocnego zakończenia postępowania.

Po upływie wskazanych okresów uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, chyba że dłuższy okres przechowywania wynika z odrębnych przepisów.

PRZYKŁAD 8

Nagrania dotyczące incydentów w postaci np. kradzieży, uszkodzenia mienia (stłuczka na parkingu) mogą być przechowywane dłużej - do czasu wyjaśnienia sprawy albo zakończenia odpowiednich postępowań sądowych.

Kluczowy dla legalizacji monitoringu jest obowiązek poinformowania pracowników o jego stosowaniu, celu, zakresie i zasięgu, ponieważ "cichy" monitoring to naruszenie dóbr osobistych pracownika, w szczególności jego prawa do prywatności.

Pracownik powinien być zatem poinformowany w przejrzysty sposób o fakcie i zasadach monitorowania. Do poinformowania pracownika o stosowanym monitoringu powinno dochodzić "w sposób przyjęty u danego pracodawcy" (czyli tak jak np. w przypadku regulaminu pracy), nie później niż na 14 dni przed uruchomieniem monitoringu. Poinformowanie będzie także konieczne każdorazowo przed rozpoczęciem pracy przez nowego pracownika.

Informacja o celu, zakresie oraz sposobie zastosowania monitoringu może być zawarta w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Powinna być ona zwięzła, przejrzysta, w zrozumiałej i łatwo dostępnej dla pracownika formie. Informacja o monitoringu powinna zostać zamieszczona także w miejscu monitorowanym, na przykład na tablicach znamionowych albo w formie dokumentu dostępnego w recepcji.

Przykładowa treść informacji o stosowaniu monitoringu może brzmieć następująco:

Wzór 2. Pismo informujące pracowników o monitoringu

Szerzej o obowiązku informacyjnym w rozdziale 8.

UWAGA

W przypadku wprowadzenia monitoringu pracodawca zobowiązany jest do oznaczenia pomieszczenia i terenu monitorowanego w sposób widoczny i czytelny, za pomocą odpowiednich znaków (tabliczek znamionowych) lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

Zmiany Kodeksu pracy nie rozwiązują jednak wszystkich problemów wynikających ze stosowania monitoringu. Zgodnie z przepisami pracodawca jest uprawniony do stosowania monitoringu dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia albo zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, jeżeli uzna to za niezbędne.

Istnieje więc podwójne kryterium celu oraz konieczności. Wprowadzenie monitoringu może zatem uzasadniać wyłącznie cel wskazany w ustawie, i to tylko w przypadku, gdy jest to konieczne dla realizacji tego ustawowego celu, tj. gdy inne środki poza monitoringiem nie pozwolą na realizację tych celów.

Ważne jest to, że katalog celów uzasadniających wprowadzenie monitoringu jest zamknięty. Oznacza to, że dopuszczalność stosowania monitoringu została znacząco ograniczona w stosunku do istniejącego stanu (w praktyce wcześniej dopuszczano monitoring również w celu kontrolowania pracowników).

Co istotne, przetwarzanie danych uzyskanych w drodze monitorowania pracowników może nastąpić wyłącznie do celów, dla których dane zostały zebrane. Oznacza to, że można je wykorzystać w celach zapewnienia bezpieczeństwa pracowników, ochrony mienia i zachowania w tajemnicy informacji. Literalnie wynika z przepisów, że nagranie przy okazji monitoringu niewłaściwego zachowania pracownika nie będzie mogło być wykorzystane.

PRZYKŁAD 9

Zarejestrowanie wykonywania pracy w sposób niewłaściwy przez pracownika, niejako przy okazji monitoringu wizyjnego, nie może zostać wykorzystane do celów pomocniczych w trakcie przeprowadzanych szkoleń z zakresu bhp, chyba że pracownik wyraził uprzednio na to zgodę.

Ponadto ustawodawca wprowadził regulację dotyczącą monitoringu poczty elektronicznej pracownika. Pracodawca, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). Monitoring poczty elektronicznej nie może jednak naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.

6. Jak prawidłowo przetwarzać dane - zasady

Zasady przetwarzania danych są wyrazem odejścia od dotychczas stosowanej przez OchrDanychU ochrony następczej w zakresie zarządzania danymi osobowymi w stronę ochrony proaktywnej, istniejącej już od chwili zetknięcia się z danymi osobowymi. Stanowią swego rodzaju drogowskazy dla podmiotów przetwarzających dane osobowe, jak należy postępować z danymi. Należy je potraktować jako zbiór wytycznych, którymi przedsiębiorcy powinni się kierować, zarządzając danymi osobowymi.

Zasady określają ramy prawa do ochrony danych osobowych. Zatem danym osobowym przetwarzanym zarówno w systemach informatycznych, jak i przy użyciu metod tradycyjnych administrator musi zapewnić:

● zgodność z prawem,

● adekwatność,

● celowość,

● prawidłowość,

● bezpieczeństwo,

● poufność,

● integralność,

● rozliczalność,

● dostępność.

Zasady precyzują sposoby przetwarzania danych osobowych oraz procesy administrowania nimi. Stanowiąc źródło nowych obowiązków ciążących na administratorze i innych podmiotach przetwarzających dane, jednocześnie zwiększają ich samodzielność w zakresie przetwarzania danych osobowych.

Przedsiębiorcy muszą, inaczej niż dotychczas, samodzielnie ocenić, jakie ryzyka wiążą się z przetwarzaniem danych osobowych i jakie w związku z tym należy przedsięwziąć środki (jakie zabezpieczenia, dokumentację oraz procedury przetwarzania wdrożyć) - biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych - z zachowaniem określonych wytycznych wynikających z przywołanych zasad. Respektowanie wymienionych zasad niejako zmusiło podmioty do skontrolowania prowadzonej działalności pod kątem wypełniania wymogów w zakresie ochrony danych osobowych, w tym zweryfikowania m.in.: jakie dane osobowe przetwarzają, w jaki sposób, na jakiej podstawie prawnej, w oparciu o jaką dokumentację wewnętrzną, jakie stosują środki techniczne i organizacyjne w zakresie zabezpieczenia danych osobowych, a także jakim podmiotom przekazują dane i czy są to podmioty spoza Europejskiego Obszaru Gospodarczego.

Zgodnie z motywem 38 preambuły RODO:

§

Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.

Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

Do czasu wejścia w życie przepisów RODO obowiązująca wówczas OchrDanychU nie przewidywała wprost zasad ochrony danych osobowych. Zasady te były wywodzone z jej poszczególnych postanowień.

Ustawodawca unijny postanowił jednak podnieść rangę tych zasad, wpisując je wprost w art. 5 RODO.

UWAGA

Wszelkie procesy przetwarzania danych osobowych muszą być zgodne ze wszystkimi zasadami przetwarzania łącznie. Naruszenie choćby jednej z nich powoduje, że przetwarzanie danych osobowych będzie niezgodne z prawem.

Istotnym novum, jakie rozporządzenie wprowadziło do systemu ochrony danych osobowych, stały się zasady: rozliczalności, przejrzystości, ochrony danych w fazie projektowania czy domyślnej ochrony danych, które dotychczas nie były wyrażone w przepisach. To w nawiązaniu do nich przedsiębiorcy musieli wprowadzić największe zmiany.

6.1. Przetwarzanie zgodne z prawem (zasada zgodności z prawem)

Przetwarzanie danych osobowych musi być przede wszystkim zgodne z prawem. Zasada ta podlega konkretyzacji w przepisach szczegółowych, orzecznictwie. Możemy ją wywodzić także z dobrych praktyk stosowanych przez przedsiębiorców.

Do zgodności z prawem przetwarzania danych wymagane jest istnienie przesłanki legalizującej przetwarzanie danych, a przesłanki te zostały enumeratywnie wyliczone w art. 6 ust. 1 lit. a-f RODO.

UWAGA

Przetwarzanie danych jest zgodne z prawem, pod warunkiem że następuje na podstawie ustawy lub aktu prawnego wydanego na podstawie ustawy oraz jest niezbędne do osiągnięcia uzasadnionego celu.

Obowiązek zapewnienia przez administratora, aby dane były przetwarzane zgodnie z prawem, oznacza przetwarzanie ich na wszystkich płaszczyznach zarządzania danymi, tj. od momentu ich zebrania aż do czasu ich usunięcia na podstawie co najmniej jednej z przesłanek dopuszczalności przetwarzania bliżej opisanych w rozdziale 7.1 (art. 6 RODO).

Niedopuszczalne jest zarówno pozyskiwanie, jak i przetwarzanie danych pozyskanych w sposób niezgodny z prawem. Przykładem braku zgodności z prawem jest także przetwarzanie danych na podstawie zgody, która nie została wyrażona jednoznacznie, swobodnie przez osobę, której dane dotyczą (warunki wyrażenia zgody określa rozdział 7.1.1).

Przez zgodność z prawem należy rozumieć także zapewnienie osobom, których dane dotyczą, prawa do informacji o celu i odbiorcach danych, o profilowaniu (więcej o obowiązku informacyjnym w rozdziale 8. Obowiązek informacyjny - na kim spoczywa i jak go wypełnić). To także spełnienie przez administratora obowiązków w aspekcie techniczno-organizacyjnym, tj. zgodnego z prawem wdrożenia środków zapewniających odpowiedni poziom bezpieczeństwa przetwarzania danych.

Wskazać warto, że zasada legalności wiąże się niezmiennie z pozostałymi zasadami i współistnieje przy ich realizacji.

Przetwarzanie zgodne z prawem zachodzi, gdy:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych,

b) przetwarzanie jest niezbędne do wykonania umowy lub podjęcia działań na żądanie osoby przed zawarciem umowy, której stroną jest osoba, której dane dotyczą,

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

PRZYKŁAD 10

1. Sprzedający legalnie przetwarza dane osobowe użytkownika sklepu internetowego, który wypełniając formularz kontaktowy wpisał swoje dane: imię i nazwisko oraz adres e-mailowy w celu otrzymania odpowiedzi na zadane sprzedającemu zapytanie dotyczące towaru lub świadczonej usługi. Przyjąć bowiem należy, że przetwarzanie podanych danych osobowych znajduje podstawę prawną w art. 6 ust. 1 lit. b RODO.

2. W przypadku świadczenia usługi newsletter przetwarzanie danych będzie zgodne z prawem, gdy osoba, na rzecz której świadczona ma być usługa, wyrazi na to zgodę - art. 6 ust. 1 lit. a RODO.

6.2. Cel przetwarzania danych (zasada celowości)

Zasada celowości nakłada na administratora obowiązek sprecyzowania celu przetwarzania danych jeszcze przed rozpoczęciem przetwarzania. Przez cel należy rozumieć potrzebę podmiotu przetwarzającego, dla której przetwarzane są dane osobowe. Przykładowe cele, dla których dane osobowe mogą być przetwarzane, zostały wskazane w rozdziale 4.1.

Cele przetwarzania danych powinny być konkretne, wyraźne (jednoznaczne) oraz prawnie uzasadnione i oczywiście legalne. To wszystko prowadzi do wniosku, że cel nie może być oderwany od konkretnej sytuacji, dla której dane osobowe są przetwarzane. Cel musi być jasny i niepozostawiający możliwości rozbieżnej interpretacji. Cel nieokreślony lub określony nieprecyzyjnie spowoduje, że przetwarzanie stanie się niezgodne z prawem. Jednocześnie dalsze przetwarzanie danych nie może odbywać się w celu innym niż pierwotnie zakładany, dla którego dane zostały zebrane. Innymi słowy, zasada celowości zakazuje poddawania danych dalszemu przetwarzaniu sprzecznemu z pierwotnymi celami.

PRZYKŁAD 11

Administrator, który zamierza wprowadzić monitoring, powinien wykazać zasadność jego stosowania, w tym proporcjonalność tego środka do celu. Powinien wskazać, czy stosowanie monitoringu jest niezbędne i co przemawia za tym, aby uznać, że jest on lepszym środkiem służącym zapewnieniu na przykład bezpieczeństwa niż inne, powszechnie dostępne środki kontroli. Ponadto administrator powinien ograniczyć obszar monitorowania do niezbędnego zasięgu. Obszar, który nie ma znaczenia dla ochrony mienia czy zapewnienia bezpieczeństwa, nie powinien być monitorowany.

W odniesieniu do powyższego przykładu w Austrii odnotowano pierwsze sankcje za objęcie monitoringiem wizyjnym zbyt szerokiego obszaru, niż wynikający z celu, dla którego monitoring został zainstalowany. Firma, która dopuściła się naruszenia, umieściła kamerę w nieodpowiednim miejscu, co skutkowało nagrywaniem przez nią dużej części chodnika (a tym samym nieświadomych przechodniów) przy siedzibie organizacji. Organ nadzorczy uznał ten fakt za niezgodny z RODO, ponieważ monitorowanie przestrzeni publicznych na dużą skalę jest niedozwolone. Dodatkowo obecność kamer nie została wystarczająco oznaczona, przez co obowiązki informacyjne nie spełniały zasady przejrzystości dla osób, których dane dotyczą.

Jedynie na marginesie warto zaznaczyć, że Grupa Robocza Artykułu 29 rozróżnia, mimo że są ze sobą ściśle związane, pojęcia celu przetwarzania danych i interesu (administratora lub osoby trzeciej), który uzasadnia przetwarzanie danych.

Celem jest określony powód przetwarzania danych, natomiast "interes" jest pojęciem szerszym, odnosi się do korzyści administratora lub osoby trzeciej wynikających z przetwarzania danych (Opinia w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE).

6.3. Minimalizacja danych (zasada adekwatności)

Minimalizacja danych wyrażona jest przez zasadę adekwatności. Zasadę tę można sprowadzić do stwierdzenia "nic na zapas". Administrator powinien bowiem przetwarzać tylko te dane, które są mu niezbędne ze względu na cel ich pozyskania.

Przetwarzanie danych musi być adekwatne do pierwotnie określonego celu. Wynika to z zasady ochrony danych już w fazie projektowania, w myśl której administrator musi określić ilość i treść pozyskiwanych danych osobowych już na etapie modelowania przyszłych operacji przetwarzania.

Pozyskiwane dane osobowe muszą być ograniczone do zakresu niezbędnego do celów ich przetwarzania.

To, czy zakres zbieranych danych jest adekwatny do celu przetwarzania, należy oceniać indywidualnie. Czasem dopuszczalny zakres danych może wprost wynikać z przepisów prawa. W momencie zaś gdy nie ma uregulowań prawnych co do zakresu pozyskiwania danych, należy dokonać oceny, czy zestaw przetwarzanych danych zawiera wyłącznie te dane, które są niezbędne do osiągnięcia celu. Dane zebrane ponad konieczny zakres powinny być niezwłocznie usunięte.

PRZYKŁAD 12

Przykładem nieadekwatności będzie przetwarzanie np. numeru PESEL, numeru dowodu osobistego, imion rodziców użytkownika serwisu dla celów złożenia przez niego zamówienia w sklepie internetowym.

6.4. Poprawność danych i ich aktualizacja (zasada prawidłowości)

Gromadzone przez administratora dane powinny być poprawne, a w razie potrzeby aktualizowane. Taki wymóg nakłada zasada prawidłowości.

Przesłankę prawidłowości należy odnieść do merytorycznej poprawności danych. Administrator powinien oceniać wiarygodność źródła pozyskania danych, a także wdrożyć sposoby weryfikowania prawdziwości przetwarzania danych. Innymi słowy, dane gromadzone przez administratora powinny odpowiadać prawdzie.

Artykuł 5 ust. 1 lit. d RODO nakazuje administratorowi podjęcie wszelkich uzasadnionych działań dla niezwłocznego usunięcia lub poprawienia danych nieprawidłowych lub niekompletnych. Administrator powinien wdrożyć procedury pozwalające na usunięcie danych lub ich korektę zarówno na wniosek osoby, której dane dotyczą, jak i wówczas, gdy sam poweźmie informację, że przetwarzane przez niego dane wymagają podjęcia takich działań.

Ponadto na administratorze ciąży obowiązek powiadomienia o konieczności korekty danych podmioty trzecie, którym je powierzył. Brak informacji dla podmiotu, któremu przekazał dane, może wyłączyć odpowiedzialność tego podmiotu za przetwarzanie nieprawdziwych danych.

Wyrazem tej zasady jest zamieszczanie w umowach powierzenia klauzul, które zwalniają podmioty przetwarzające dane osobowe w imieniu administratora z odpowiedzialności za przetwarzanie błędnych danych.

Wzór 3. Klauzula do umowy powierzenia danych

PRZYKŁAD 13

Przykładem danych, które wymagają monitorowania przez podmioty przetwarzające dane pod kątem wypełniania zasady prawidłowości, są informacje o zadłużeniu klienta banku w rejestrach kredytowych (np. w Biurze Informacji Kredytowej S.A.). Dane w rejestrze służą ocenie zdolności i wiarygodności kredytowej, a wystąpienie błędów, sprzeczności, może spowodować znaczne szkody.

6.5. Ograniczenie przechowywania danych (zasada retencji/czasowości)

Zasada retencji danych nakłada na administratora obowiązek przechowywania danych osobowych przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których dane te mogą być przetwarzane zgodnie z prawem.

Wyrażona w art. 5 ust. 1 lit. e RODO zasada ograniczenia przechowywania wskazuje, że dane nie mogą być przetwarzane przez bliżej nieokreśloną przyszłość. W każdym przypadku podmiot powinien ocenić, jak długo przetwarzanie danych jest mu niezbędne w kontekście realizacji konkretnych celów.

Administrator powinien w wewnętrznych politykach czy procedurach określić zasady i okresy usuwania danych osobowych, które odpowiednio powinny wynikać z przepisów prawa lub celów administratora. Przykładem może być prowadzenie przez podmiot rejestru retencji przetwarzania danych, który obejmować będzie informacje w zakresie czasu i sposobu przechowywania danych zebranych przez podmiot.

Realizacja tej zasady wynika z nałożonego na administratora obowiązku poinformowania osoby, której dane dotyczą, o czasie przechowywania danych. Prowadząc rejestr, administrator będzie w stanie wykazać, jakie dane gromadzi oraz przez jaki czas. Zasada ta zobowiązuje także administratora do stałego monitorowania realizacji celów, dla jakich pozyskuje dane osobowe.

Zgodnie z zasadą retencji administrator musi podejmować odpowiednie czynności (na przykład usuwać, archiwizować dane) w momencie stwierdzenia ustania celu przetwarzania czy jego zmiany.

Usunięcie danych może się wiązać z:

a) zakończeniem okresu przydatności danych wynikającego z przepisów prawa,

b) wygaśnięciem celu, dla którego były przetwarzane.

Tabela 2. Przykładowa tabela retencji danych

6.6. Bezpieczeństwo danych (zasada integralności i poufności)

Zasada integralności i poufności danych nakłada na administratora obowiązek przetwarzania danych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zasada ta jest szczegółowo opisana w art. 32 RODO:

§

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2 Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. [...]

Ogólne rozporządzenie o ochronie danych nie zawiera wytycznych w tym zakresie. Nie precyzuje, jakie środki techniczne i organizacyjne ma bowiem przyjąć administrator, aby w pełni zabezpieczyć dane osobowe przed naruszeniem ich poufności i integralności.

RODO daje dużą swobodę w tym zakresie. Zatem organizacje zobowiązane są zapewnić bezpieczeństwo danych osobowych i stosować metody ich przetwarzania adekwatne do swoich faktycznych potrzeb i możliwości (celów, dla których dane osobowe są przetwarzane).

Takie rozwiązanie jest korzystne, gdyż procedury dopasowane do organizacji i jej pracowników zawsze są skuteczniejsze i efektywniejsze. Niemniej jednak administratorzy sami będą musieli ocenić, jakie zabezpieczenia spełniają warunki adekwatności do istniejącego poziomu zagrożeń.

Podkreślić należy, że w tym zakresie nadal pozostaje aktualne rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

PRZYKŁAD 14

Zdolność do zapewnienia poufności i integralności może zostać osiągnięta za pomocą szeregu narzędzi programistycznych w postaci: logowania do systemu za pomocą hasła lub innej metody uwierzytelniającej (kod PIN, linie papilarne), bezpiecznego połączenia typu VPN czy stosowania odpowiednich procedur organizacyjnych w postaci zobowiązania pracowników do zachowania poufności danych osobowych. Przykładowy katalog środków technicznych i organizacyjnych, których wdrożenie ma na celu zachowanie poufności i integralności danych osobowych, został wskazany w rozdziale 11.7.

6.7. Udokumentowanie wdrożenia zasad i zabezpieczenia danych (zasada rozliczalności)

Zasada rozliczalności oznacza, że administrator danych powinien móc wykazać, iż postępuje zgodnie z wszystkimi pozostałymi zasadami dotyczącymi przetwarzania danych osobowych oraz że podjął skuteczne kroki służące wdrożeniu tych zasad i zabezpieczeniu danych.

Administrator powinien w sposób okresowy dokonywać monitorowania i oceny środowiska, w którym dochodzi do przetwarzania danych, pod kątem zagrożeń związanych z przetwarzaniem danych osobowych.

Zasada rozliczalności nakłada na administratora obowiązek aktywnego działania, wykazywania inicjatywy, bez oczekiwania na skargi klientów czy rekomendacje organów nadzorczych.

PRZYKŁAD 15

Przykładem działań wykazujących przestrzeganie zasady rozliczalności jest prowadzenie przez administratora dokumentacji opisującej wdrożone gwarancje zgodności przetwarzania danych z prawem, procedury określające działania administratora w zakresie ochrony danych osobowych, zastosowanie odpowiednich środków ochrony fizycznej i infrastruktury informatycznej, przeprowadzenie analizy ryzyka, sporządzenie i aktualizowanie rejestrów kategorii przetwarzania danych. Przykładowy katalog środków technicznych i organizacyjnych, których wdrożenie ma na celu wykazanie przestrzegania zasady rozliczalności, został wskazany w rozdziale 11.7.

6.8. Przejrzystość danych (zasada przejrzystości)

Zasada przejrzystości wymaga, by wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania. Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich pozyskiwania.

PRZYKŁAD 16

Zła praktyka formułowania celów wg Grupy Roboczej Artykułu 29

Poniższe sformułowania nie są wystarczająco jasne dla celów przetwarzania:

● "Możemy wykorzystywać Twoje dane osobowe do rozwoju nowych usług" (nie jest jasne, jakie są to "usługi" albo w jaki sposób te dane pomogą w ich rozwijaniu);

● "Możemy wykorzystywać Twoje dane osobowe do celów badawczych (jako że nie jest jasne, o jakich "badaniach" jest mowa);

● "Możemy wykorzystywać Twoje dane osobowe do oferowania usług spersonalizowanych" (jako że nie jest jasne, co pociąga za sobą taka "personalizacja").

Przejrzystość jest nadrzędnym obowiązkiem wskazanym przez RODO, mającym zastosowanie do trzech głównych obszarów:

a) zapewnienia osobom informacji związanych z rzetelnym przetwarzaniem,

b) sposobu komunikowania się administratorów danych z osobami, których dane dotyczą,

c) sposobu umożliwienia przez administratorów danych korzystania przez osoby, których dane dotyczą, z ich praw.

Zasada przejrzystości jest przede wszystkim związana z wypełnianiem obowiązków informacyjnych, jakie RODO nakłada na administratorów danych (szerzej w rozdziale 8. Obowiązek informacyjny - na kim spoczywa i jak go wypełnić).

6.9. Ochrona danych w fazie projektowania oraz domyślna ochrona danych

Zasada ochrony w fazie projektowania (privacy by design) wynika z art. 25 ust. 1 RODO:

§

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Zasada ta obliguje administratora, aby ten od samego początku, od chwili podejmowania różnorodnych działań operacyjnych w firmie, jak tych związanych z procesami rekrutacyjnymi, wysyłką newslettera, pozyskiwaniem klientów, rozważył konieczność zapewnienia ochrony danym osobowym, a przede wszystkim wdrożył mechanizmy pozyskiwania podstaw prawnych przetwarzania tych danych. Administrator powinien stworzyć "legalny" system przetwarzania danych. Powinien też zapewnić w odniesieniu do danych gwarancje przestrzegania zasad oraz stosować odpowiednie środki techniczne i organizacyjne, które zapewnią ochronę danych poszczególnym grupom (klientów, kontrahentów).

Przepisy nakładają na administratora obowiązek przeanalizowania adekwatności stosowanych zabezpieczeń do istniejących zagrożeń, zakresu przetwarzania danych, kategorii danych, które są przetwarzane, z uwzględnieniem specyfiki jednostki oraz jej warunków techniczno-organizacyjnych, w ramach których dochodzi do przetwarzania danych osobowych. To wszystko ma przyczynić się do podejmowania decyzji w zakresie przeciwdziałania ryzyku, a także do świadomego zarządzania ryzykiem w jednostce, tj. do ograniczania, unikania, transferu lub akceptacji ryzyka.

Zasada domyślnej ochrony danych (privacy by default) przewiduje ochronę danych osobowych jako domyślne ustawienie każdego programu, aplikacji czy portalu. Każda usługa, aplikacja itp. powinny mieć automatycznie ustawioną domyślną ochronę prywatności, tak aby użytkownik mógł jak najlepiej chronić i kontrolować informacje o sobie. Każdy administrator powinien zapewnić możliwość zmiany takiego ustawienia na żądanie użytkownika, który chce zrezygnować z ochrony swojej prywatności, jednak domyślnie ochrona ta ma działać w sposób jak najszerszy.

Uszczegółowienie powyższych zasad odnajdujemy w motywie 78 preambuły RODO. Ustawodawca unijny wskazuje, że stosowane środki techniczne i organizacyjne mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, należy zachęcać ich wytwórców, by podczas opracowywania i projektowania takich produktów, usług i aplikacji wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.

Wyrazem realizacji zasad ochrony w fazie projektowania i domyślnej ochrony danych jest także periodyczne dokonywanie przez administratora identyfikacji zasobów danych osobowych oraz sposobów wykorzystania danych, w tym:

● przeprowadzanie analizy przetwarzania danych zwykłych i danych szczególnych kategorii,

● zapewnienie, identyfikacja i weryfikacja podstaw prawnych przetwarzania danych,

● weryfikacja przypadków przetwarzania danych niezidentyfikowanych,

● weryfikacja przypadków przetwarzania danych dzieci,

● weryfikacja przypadków profilowania,

● weryfikacja przypadków współadministrowania danymi.

Ponadto administrator, wypełniając obowiązki względem osób, których dane przetwarza, oraz zapewniając realizację ich praw, odnosząc się do otrzymanych w tym zakresie żądań, w szczególności:

a) przekazuje osobom wymagane prawem informacje przy zbieraniu danych oraz stosuje odpowiednie środki mające zapewnić udokumentowanie realizacji tych obowiązków,

b) weryfikuje i zapewnia możliwość wykonania każdego typu żądania przez siebie i osoby upoważnione do przetwarzania danych,

c) zapewnia odpowiednie procedury, aby żądania osób były realizowane w terminach i w sposób wymagany przez RODO,

d) zapewnia dokumentowanie zgłoszonych żądań oraz ustosunkowanie się do nich przez administratora,

e) zapewnia i stosuje procedury pozwalające na powiadomienie osób dotkniętych zidentyfikowanym naruszeniem ochrony danych.

7. Na jakiej podstawie można przetwarzać dane osobowe

Przetwarzanie danych osobowych oznacza każdą operację lub ich zestaw wykonywany na danych osobowych. Może to być na przykład ich zbieranie, porządkowanie, pobieranie, przechowywanie, niszczenie.

Dane osobowe można przetwarzać wyłącznie w określonych przypadkach i z uwzględnieniem zasad wynikających z przepisów prawa. Legalność przetwarzania danych osobowych uzależniona jest więc od spełnienia przez ich administratora jednej z przesłanek. Wskazane one są w przepisie art. 6 ust. 1 RODO - jeśli chodzi o dane osobowe zwykłe oraz dane osobowe dotyczące wyroków skazujących i czynów zabronionych, a także w przepisie art. 9 ust. 2 RODO - jeśli chodzi o dane osobowe szczególnych kategorii. Jednak każdorazowo w sposób indywidualny należy oceniać dopuszczalność przetwarzania danych osobowych, biorąc pod uwagę dane okoliczności oraz cele przetwarzania.

W związku z rozpoczęciem stosowania przepisów RODO każdy administrator w celu ich wdrożenia w swoim przedsiębiorstwie powinien określić procesy przetwarzania danych osobowych i ustalić do poszczególnych procesów odpowiednie podstawy prawne.

UWAGA

Przetwarzanie danych osobowych bez należytej podstawy prawnej oznacza przetwarzanie niezgodne z RODO.

7.1. Przetwarzanie danych osobowych zwykłych

RODO wskazuje na podstawy prawne przetwarzania danych osobowych zwykłych oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych. Przedmiotowe podstawy stanowią zamknięty katalog (art. 6 RODO).

Administrator wypełni zasadę legalności, jeżeli oprze proces przetwarzania danych osobowych na jednej z podstaw wskazanych w przepisie art. 6 ust. 1 RODO. Zatem dane można przetwarzać na podstawie zgód, ale nie tylko. Zgody nie trzeba posiadać wtedy, gdy:

1) przetwarzanie danych jest niezbędne do wykonania umowy,

2) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,

3) przetwarzanie jest niezbędne do ochrony żywotnych interesów,

4) przetwarzanie danych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

5) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

7.1.1. Zgoda na przetwarzanie danych osobowych

Jedną z podstaw przetwarzania danych osobowych jest zgoda (art. 6 ust. 1 lit. a RODO). Zgoda jako przesłanka legalizacyjna przetwarzania danych osobowych miała zastosowanie również przed rozpoczęciem obowiązywania RODO.

Administrator może kontynuować przetwarzanie danych osobowych po dacie rozpoczęcia stosowania RODO na podstawie uprzednio zebranych zgód, o ile pierwotny sposób wyrażenia zgody odpowiada wymogom RODO.

UWAGA

Każdy administrator, który chce korzystać ze zgód zebranych na podstawie uprzednio obowiązującej ustawy (OchrDanychU), musi przeprowadzić audyt ich zgodności z przepisami RODO.

RODO (art. 4) określa szereg wymogów dla zgody jako podstawy prawnej przetwarzania danych osobowych, między innymi zawartych w samej definicji zgody:

§

(...) zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Każdy administrator powinien zatem zapewnić, aby zebrana zgoda była wyrażona:

1) dobrowolnie (swobodny wybór wyrażenia zgody, niewymuszona zgoda),

2) konkretnie (precyzyjne określenie celu przetwarzania danych oraz zakresu danych),

3) świadomie (zapewnienie niezbędnych informacji, stosowanie prostego i jasnego języka, w sposób pozwalający wyraźnie odróżnić zgodę od pozostałych kwestii, umożliwienie podejmowania świadomej decyzji i zrozumienia, na co jest wyrażana zgoda, wyraźne działanie potwierdzające oparte na systemie opt-in, wymagającym określonej aktywności osoby, której dane dotyczą, niedopuszczalne stosowanie systemu opt-out, opierającego się na milczeniu, domyślnie zaznaczonym okienku zgody),

4) jednoznacznie (jednoznaczne okazanie w formie oświadczenia albo wyraźnego działania),

oraz każdy administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (art. 7 ust. 1 RODO).

Ważne jest również, aby osoba, której dane dotyczą, miała prawo w dowolnym momencie wycofać zgodę, co powinno być równie łatwe jak wyrażenie zgody.

Wycofanie zgody nie może wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, powinna być o tym poinformowana, zanim wyrazi zgodę na przetwarzanie danych (art. 7 ust. 3 RODO).

Oświadczenie osoby, której dane dotyczą, w przedmiocie wycofania zgody na przetwarzanie danych osobowych nie ma zatem mocy wstecznej. Jest skuteczne dopiero od momentu złożenia takiego oświadczenia administratorowi. Administrator w okresie od wyrażenia zgody na przetwarzanie danych osobowych do momentu jej wycofania przetwarzał dane zgodnie z prawem w oparciu o podstawę przetwarzania, jaką jest zgoda.

Jeśli po przeprowadzonym audycie administrator stwierdził, że uprzednio zebrane zgody spełniały warunki wyrażania zgód określone w RODO, to mógł kontynuować przetwarzanie danych. Jeżeli natomiast ustalił, że zgody nie były zgodne z przepisami RODO, to 25 maja 2018 r. utracił podstawę do przetwarzania danych objętych zgodą. Od tego dnia administrator nie mógł przetwarzać tych danych. Do 25 maja 2018 r. każdy administrator mógł naprawić swoje błędy i dostosować zbieranie zgód do treści RODO.

Warto podkreślić dla zobrazowania kwestii pozyskiwania zgód od klientów, że administratorzy częstokroć zbierają je, mimo iż przetwarzanie danych osobowych oparte jest na innej podstawie niż zgoda. Może to wywoływać mylne przekonanie podmiotu danych (tu: klienta) o swobodzie w zakresie podania danych i skuteczności uprawnienia do cofnięcia zgody. Może mylnie wydawać się, że RODO nakazuje, aby do każdej operacji przetwarzania danych osobowych pozyskiwać zgody. Każdy administrator jednak powinien upewniać się, czy w danej sytuacji w ogóle jest potrzebna zgoda. Wyżej przytoczony przepis art. 6 RODO precyzuje podstawy przetwarzania danych osobowych, a zgoda jest tylko jedną z nich.

PRZYKŁAD 17

Biorąc po uwagę wytyczne RODO, przy prowadzeniu sklepu internetowego z reguły nie trzeba zamieszczać zgody na przetwarzania danych osobowych w celu realizacji zamówienia, gdyż sama akceptacja przez klienta regulaminu sklepu internetowego i złożenie przez niego zamówienia jest wystarczającą podstawą do przetwarzania danych osobowych w celu zrealizowania złożonego zamówienia (przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy - art. 6 ust. 1 lit. b RODO).

Zatem by nie zakłócić elementu dobrowolności, co do zasady, nie jest prawidłowe dodatkowe wykorzystywanie podstawy przetwarzania w postaci zgody, w przypadku gdy administrator posiada inną odpowiednią przesłankę przetwarzania danych. Nie sposób sobie wyobrazić przecież, że możliwe jest zawarcie umowy i jednoczesne niewyrażenie zgody na przetwarzanie danych osobowych koniecznych do wykonania umowy.

Wzór 4. Zgoda na przetwarzanie danych osobowych (po wdrożeniu RODO)

Jeżeli administrator przetwarza dane na podstawie zgody, to nie zwalnia go to z obowiązku przestrzegania zasad dotyczących przetwarzania danych osobowych, w tym między innymi dotyczących rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości.

Zgoda osoby, której dane dotyczą, nie może stanowić przesłanki nieodpowiedniego, przesadnego w stosunku do celu zbierania danych.

7.1.2. Zgoda dziecka a usługi społeczeństwa informacyjnego

Ustawodawca unijny dostrzegł, że w dobie społeczeństwa informacyjnego powszechne stały się usługi świadczone na rzecz dzieci. Zatem położył nacisk na ochronę dzieci, określając zasady przetwarzania danych osobowych tej szczególnej kategorii osób.

Przyczyny zwiększonej ochrony określono w motywie 38 preambuły RODO. Wskazano tam, że dzieci mogą być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych:

Motyw 38 preambuły RODO:

§

Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich. Zgoda osoby sprawującej władzę rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku.

Mimo że prawodawca europejski wyszczególnił ochronę dzieci przede wszystkim w odniesieniu do działań marketingowych czy tworzenia profili osobowościowych, ochrona ta obejmuje także inne cele, dla których "zbierane" są dane osobowe.

Regulacja dotycząca warunków wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego została wpisana w art. 8 RODO. Zgodnie z nią usługi społeczeństwa informacyjnego mogą być oferowane dziecku pod warunkiem ukończenia przez nie 16 lat i tylko wówczas, gdy wyraziło na to zgodę. Każde państwo członkowskie może określić dolną granicę wieku, która nie może być jednak niższa niż 13 lat. Nadto, chroniąc dane osobowe najmłodszej grupy użytkowników, administrator, uwzględniając dostępną technologię, jest zobowiązany podjąć rozsądne starania, by zweryfikować wiek osoby udzielającej zgody, a także czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

Grupa Robocza Artykułu 29 w opinii 2/2009 w sprawie ochrony danych osobowych dzieci starała się zamieścić wskazówki co do stosowania ogólnych przepisów w zakresie ochrony danych osobowych z uwzględnieniem odbiorców usług, jakim są dzieci. Grupa zwróciła ponadto uwagę na fakt, że bez względu na stopień rozwoju dziecka zawsze priorytetowe znaczenie należy przypisywać interesowi dziecka.

Usługi społeczeństwa informacyjnego

Aby określić, co należy rozumieć przez pojęcie "usługi społeczeństwa informacyjnego", RODO w art. 4 pkt 25 odwołuje się do definicji określonej w dyrektywie Parlamentu Europejskiego i Rady z 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (art. 1 ust. 1 lit. b).

Przez ten rodzaj usługi należy rozumieć usługę świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Do celów niniejszej definicji wyjaśniono, że:

a) "na odległość" oznacza, iż usługa jest świadczona bez równoczesnej obecności stron,

b) "drogą elektroniczną" oznacza, iż usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, a także jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych,

c) "na indywidualne żądanie odbiorcy usług" oznacza, że usługa jest świadczona poprzez przesyłanie danych na indywidualne żądanie.

Pojęcie usługi społeczeństwa informacyjnego obejmuje zatem szeroki katalog usług świadczonych on-line. W pojęcie usług społeczeństwa informacyjnego będą wpisywały się choćby portale sprzedażowe książek, sprzętu informatycznego czy portale społecznościowe.

RODO nakłada obowiązek, aby przy każdej usłudze społeczeństwa informacyjnego, skierowanej bezpośrednio do dziecka, administrator dokonywał weryfikacji wieku użytkownika. Weryfikacja wieku nie powinna prowadzić jednak do nadmiernego przetwarzania danych. RODO nie podaje skutecznych sposobów tej weryfikacji. Przyjąć należy, że może tu chodzić o mechanizmy zbliżone do obecnej kontroli dostępu do treści nieprzeznaczonych osobom nieletnim czy stosowanie oprogramowania do weryfikacji wieku.

Jak wyjaśnia Grupa Robocza Artykułu 29:

§

Świadcząc usługi społeczeństwa informacyjnego dla dzieci na podstawie zgody, od administratorów oczekuje się podjęcia racjonalnych działań w celu sprawdzenia, czy użytkownik jest w wieku uprawniającym do udzielenia zgody online, a działania te powinny być proporcjonalne do charakteru i ryzyka związanego z przetwarzaniem.

Problematyka udzielenia zgody, jak i mechanizmy weryfikacyjne jej udzielenia to ponowny przejaw swobody, jaką unijny ustawodawca przyznaje administratorom. Przepisy ogólnego rozporządzenia o ochronie danych nie wskazują na mechanizmy wymuszające uzyskanie odpowiednich danych od użytkownika w celu weryfikacji. Nie podają wytycznych, w jaki sposób weryfikować zgodność z prawem wyrażonej zgody dziecka. Definiując cel, drogę do jego osiągnięcia RODO pozostawia do indywidualnej oceny każdego administratora. Administratorzy świadczący usługi społeczeństwa informacyjnego muszą być nadto świadomi różnic w poszczególnych porządkach krajowych, tak by oferować usługi uwzględniające docelową grupę odbiorców i dostosowywać do nich odpowiednie procedury weryfikacyjne. Jednocześnie wymaga zaznaczenia, że przepisy dotyczące wymogów udzielania zgody przez osoby sprawujące władzę rodzicielską lub opiekę nie powinny wpływać na ogólne przepisy prawa umów poszczególnych państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka. Należy bowiem odróżnić zgodę na przetwarzanie danych osobowych od zgody na zawarcie umowy.

W zakresie sposobów pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę wydaje się właściwe przyjęcie podejścia obejmującego swoim zakresem realizację zasady adekwatności i racjonalności. Administrator powinien zbierać tylko te dane, które są mu niezbędne do realizacji celu, mając na uwadze minimalizację zbieranych danych.

PRZYKŁAD 18

Logowanie się do serwisu internetowego przeznaczonego dla osób powyżej 16 roku życia

Przy zakładaniu konta platforma wymaga wskazania wieku użytkownika. Oświadczenie użytkownika, który nie osiągnął wymaganego prawem wieku do osobistego wyrażenia zgody, powoduje, że platforma wymaga wpisania adresu e-mailowego lub telefonu osoby sprawującej władzę rodzicielską albo opiekę w celu wysłania jej informacji o działaniach małoletniego i wyrażenia przez nią zgody. Rodzic otrzymuje wiadomość o konieczności wyrażenia przez niego zgody na korzystanie z platformy przez małoletniego.

Co istotne, zgoda na przetwarzanie danych osobowych musi zostać wyrażona w taki sposób, aby użytkownik - dziecko - był świadom, na jakie cele przetwarzania danych osobowych wyrażono zgodę. Administrator jest zobowiązany informować użytkowników w sposób jasny, zrozumiały i przejrzysty, z zachowaniem wszystkich pozostałych zasad określonych w rozdziałach poprzedzających.

Jak już wspomniano w rozdziale 5.3, daną osobową można uczynić także wizerunek, który może być rozpowszechniony w ściśle określonych celach. Tak jak w przypadku osób pełnoletnich, tak w przypadku dzieci administrator zobowiązany jest uprzednio uzyskać zgodę na rozpowszechnianie wizerunku. W przypadku dzieci zgodę będzie musiał wyrazić opiekun prawny małoletniego.

Wzór 5. Zgoda opiekuna prawnego na rozpowszechnianie wizerunku

7.1.3. Przetwarzanie niezbędne do wykonania umowy lub podjęcia działań przed zawarciem umowy

Zgoda na przetwarzanie danych jest jedną z podstaw prawnych przetwarzania danych - ale nie jedyną.

Inną podstawą przetwarzania jest przepis art. 6 ust. 1 lit. b RODO, który pozwala na przetwarzanie w sytuacji, gdy jest to niezbędne do wykonania umowy (np. sklep internetowy sprzedaje wysyłkowo odzież; nie musi w takim wypadku prosić o zgodę na przetwarzanie danych; przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy sprzedaży).

Ten sam przepis (art. 6 ust. 1 lit. b RODO) pozwala także na przetwarzanie danych osobowych, gdy jest to niezbędne do podjęcia działań jeszcze przed zawarciem umowy.

Skutkiem wyrażenia woli na zawarcie umowy lub podjęcie działań poprzedzających zawarcie umowy jest możliwość przetwarzania danych osobowych.

Aby przetwarzać dane osobowe w związku z zawartą umową, konieczne jest zaistnienie następujących elementów:

1) umowa,

2) strona umowy - osoba, której dane dotyczą,

3) konieczność skorzystania z danych osobowych w celu wykonania umowy.

Zatem zgodne z prawem jest przetwarzanie danych osobowych osoby, której dane dotyczą, przez drugą stronę umowy w sposób i w zakresie niezbędnych do wywiązania się z umowy.

Aby przetwarzać dane osobowe w związku z koniecznością podjęcia działań przed zawarciem umowy, potrzebne jest zaistnienie następujących elementów, tj.:

1) działań zmierzających do zawarcia umowy,

2) podjętych na żądanie osoby, której dane dotyczą,

3) konieczność przetwarzania danych osobowych do podjęcia działań przed zawarciem umowy. Nie ma natomiast znaczenia, czy do zawarcia umowy ostatecznie dojdzie. Zatem zgodne z prawem jest przetwarzanie danych osobowych na żądanie osoby, której dane dotyczą, przez potencjalną drugą stronę umowy w sposób i w zakresie niezbędnych do podjęcia działań przed zawarciem umowy.

PRZYKŁAD 19

Osoba zainteresowana ofertą produktów danego przedsiębiorcy kontaktuje się z nim z prośbą o przedstawienie oferty i pozostawia swoje dane kontaktowe. Osoba może skontaktować się z przedsiębiorcą w wybrany sposób, na przykład telefonicznie, przez wiadomość elektroniczną (e-mail) lub poprzez formularz kontaktowy udostępniony na stronie internetowej. W takiej sytuacji, zgodnie z art. 6 ust. 1 lit. b RODO, przedsiębiorca jest uprawniony do udzielenia odpowiedzi takiej osobie i tym samym przetwarzania podanych przez nią danych osobowych w celu przedstawienia oferty.

7.1.4. Przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze

Kolejną podstawą przetwarzania danych osobowych jest niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze. Dopuszczalne jest zatem przetwarzanie danych, gdy jest ono konieczne do wykonania obowiązku prawnego przez administratora. W tym przypadku również nie ma konieczności posiadania zgody na przetwarzanie danych.

Oparcie przetwarzania na podstawie przepisu art. 6 ust. 1 lit. c RODO wymaga zatem podstawy prawnej w prawie unijnym lub prawie krajowym³ (art. 6 ust. 3 RODO).

UWAGA

Przepis art. 6 ust. 1 lit. c RODO nie może stanowić samodzielnej podstawy prawnej przetwarzania danych osobowych. Jako podstawa prawna przetwarzania musi występować on w połączeniu z przepisem prawa unijnego lub prawa krajowego, z którego wynika obowiązek prawny administratora, do wykonania którego konieczne jest przetwarzanie danych osobowych.

Przykładem przetwarzania w oparciu o obowiązek prawny jest przetwarzanie danych osobowych pracownika przez pracodawcę. Pracodawca ma obowiązek gromadzenia dokumentacji dotyczącej pracownika, z którym nawiązał stosunek pracy. Co więcej, pracodawca podlega odpowiedzialności za nieprowadzenie lub niewłaściwe prowadzenie dokumentacji związanej ze stosunkiem pracy oraz akt osobowych pracownika. Dokumentacja ta powinna być prowadzona zgodnie z rozporządzeniem Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Dodać należy, że przywołane rozporządzenie określa niezbędny zakres przetwarzania. Ewentualne dane poza tym zakresem nie wynikają z obowiązku prawnego pracodawcy, a zatem nie mogą być przetwarzane w oparciu o przepis art. 6 ust. 1 lit. c RODO.

Innym przykładem może być przetwarzanie danych osobowych klientów przedsiębiorcy z uwagi na obowiązki rachunkowo-podatkowe czy danych zwycięzcy konkursu z uwagi na konieczność odprowadzenia podatku od nagród.

Wyjaśnić należy, że w przypadku konkursu to z reguły podmiot, który wydaje nagrodę zwycięzcy, jest płatnikiem podatku od nagród, dlatego powinien pobrać podatek i przekazać go do urzędu skarbowego. W związku z tym powinien wypełnić odpowiednią deklarację podatkową poprzez podanie danych zwycięzcy konkursu.

Dodać można, że zgodnie z przepisem art. 17 ust. 3 lit. b RODO uprawnienie podmiotu danych do bycia zapomnianym (prawo do usunięcia danych) jest wyłączone w zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych osobowych.

7.1.5. Przetwarzanie niezbędne do ochrony żywotnych interesów

Zgodnie z motywem 46 RODO oraz przepisem art. 6 ust. 1 lit. d RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej.

Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej.

UWAGA

Nie można zapomnieć, że na podstawie przepisu art. 6 ust. 1 lit. d RODO można przetwarzać dane zwykłe lub dane dotyczące wyroków skazujących i czynów zabronionych. Nie można natomiast przetwarzać danych szczególnych kategorii, do których zalicza się między innymi dane dotyczące zdrowia.

Przykładami żywotnych interesów są między innymi: cele humanitarne, monitorowanie epidemii i ich rozprzestrzeniania się, nadzwyczajne sytuacje humanitarne, a w szczególności klęski żywiołowe i katastrofy spowodowane przez człowieka.

7.1.6. Przetwarzanie niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi

Kolejną podstawą przetwarzania danych osobowych jest niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO).

Jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo unijne lub prawo krajowe.

RODO nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczające jest uregulowanie prawne, które stanowi podstawę, że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Co więcej, zgodnie z motywem 45 RODO prawo unijne lub prawo krajowe powinno określać także, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu bądź prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej.

Przykładami przetwarzania danych osobowych w oparciu o zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej administratorowi są między innymi zadania dotyczące przetwarzania danych w ramach realizacji zadań wynikających z przepisów oświatowych, przepisów dotyczących samorządów gminnych, opieki zdrowotnej, czy też zadania w ramach realizacji zapewnienia bezpieczeństwa publicznego i walki z przestępczością.

Dodać można, że zgodnie z przepisem art. 17 ust. 3 lit. b RODO uprawnienie podmiotu danych do bycia zapomnianym (prawo do usunięcia danych) jest wyłączone w zakresie, w jakim przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

7.1.7. Przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią

Zgodnie z przepisem art. 6 ust. 1 lit. f RODO przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Wyjątkiem są sytuacje, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Na prawnie uzasadniony interes jako na podstawę przetwarzania danych osobowych nie mogą powołać się organy publiczne w ramach realizacji swoich zadań.

Aby przetwarzać dane osobowe na podstawie niezbędności do wykonania umowy, konieczne jest zaistnienie następujących elementów:

1) istnienie prawnie uzasadnionego interesu,

2) realizacja celu wynikającego z interesu,

3) niewystępowanie interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej.

W motywie 47 RODO zostało wyjaśnione, że taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.

UWAGA

W celu sprawdzenia, czy istnieje prawnie uzasadniony interes, należy przeprowadzić ocenę, czy osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie jej danych osobowych na podstawie uzasadnionego interesu.

Jeżeli chodzi o przykłady prawnie uzasadnionych interesów administratora lub strony trzeciej, to w motywie 47 RODO zostało wskazane: przetwarzanie danych osobowych niezbędne do zapobiegania oszustwom oraz przetwarzanie danych osobowych do celów marketingu bezpośredniego.

W motywie 48 RODO zostało natomiast ujęte, że administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników.

Następnie w motywie 49 zasygnalizowano, że przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji (tj. zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych) oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu "odmowa usługi", a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej.

PRZYKŁAD 20

Spotykanym usprawiedliwionym interesem administratora jest wspomniany wcześniej marketing bezpośredni. Jeżeli klient sklepu internetowego zamówi towar, to powinien spodziewać się, że po realizacji zamówienia otrzyma od sprzedawcy propozycję zamówienia kolejnych towarów. Zatem sprzedawca jako administrator danych osobowych na podstawie przepisu art. 6 ust. 1 lit. f RODO może wykonywać marketing bezpośredni wobec swoich klientów.

PRZYKŁAD 21

Innym spotykanym przykładem usprawiedliwionego interesu administratora może być również stosowanie monitoringu w celu ochrony mienia. Ważne jest, aby poprzez stosowanie monitoringu nie naruszyć podstawowych praw i wolności, które wymagają ochrony danych osobowych, między innymi poprzez umieszczenie kamer w toaletach, przebieralniach. Umieszczanie kamer w takich miejscach nie jest konieczne dla realizacji celu w postaci ochrony mienia.

7.1.8. Konkurs a podstawa przetwarzania danych osobowych

Wskazane w RODO podstawy przetwarzania danych osobowych sprawiają, że nie ma wątpliwości, jaką podstawę prawną przetwarzania danych osobowych zastosować w danym przypadku. Istnieją jednak sytuacje przy wdrażaniu RODO, w których administrator ma obiekcje co do zastosowania konkretnej podstawy przetwarzania. Przykładem takiej sytuacji może być przeprowadzenie konkursu.

Przypomnieć można przepis art. 6 ust. 1 lit. b RODO, który znajduje zastosowanie w przypadku umów i wydawałoby się, że może być właściwą podstawą w przypadku konkursu. Zgłoszenie do konkursu i akceptacja jego regulaminu mogą być przecież poczytywane jako czynności podobne do zawarcia umowy. Konkurs jest jednak przyrzeczeniem publicznym i tym samym stanowi jednostronną czynność prawną. Przyrzeczeniem publicznym jest bowiem jednostronne oświadczenie dłużnika, w ramach którego zobowiązuje się on do dotrzymania danego przyrzeczenia, czyli wydania nagrody za najlepsze dzieło lub za najlepszą czynność. Ustalenie przecież, że w przypadku organizacji konkursu właściwą podstawą przetwarzania danych osobowych jest przepis art. 6 ust. 1 lit. b, sugerowałoby posługiwanie się rozszerzoną interpretacją tego przepisu i objęcie nim, obok umów, również jednostronnych czynności prawnych.

Wydaje się jednak, że nie ma konieczności stosowania interpretacji rozszerzającej. W sytuacji gdy przetwarzanie danych osobowych jest niezbędne do wykonania zobowiązania, ale wynikającego z jednostronnej czynności prawnej, bardziej adekwatne wydaje się zastosowanie podstawy przetwarzania wynikającej z przepisu art. 6 ust. 1 lit. a RODO - zgoda na przetwarzanie danych osobowych, lub z przepisu art. 6 ust. 1 lit. f RODO - uzasadniony interes administratora danych.

Przy różnego rodzaju konkursach adresowanych do nieograniczonego grona osób zazwyczaj to zgoda osoby, której dane dotyczą, będzie podstawą do przetwarzania danych osobowych. Z kolei w przypadku konkursów adresowanych przez przedsiębiorców do klientów lub przez pracodawców do pracowników można rozważyć (w zależności od konkretnej sytuacji) oparcie przetwarzania danych osobowych na podstawie usprawiedliwionego interesu administratora.

UWAGA

Do jednostronnych czynności prawnych nie powinien mieć zastosowania przepis art. 6 ust. 1 lit. b RODO.

7.2. Przetwarzanie danych osobowych szczególnych kategorii

W przepisie art. 9 ust. 2 RODO zostały wskazane podstawy prawne przetwarzania danych osobowych szczególnych kategorii.

Każdy administrator, jeżeli przetwarza dane osobowe szczególnych kategorii, w tym chociażby je posiada lub ma do nich dostęp, powinien sprawdzić, czy przetwarza te dane legalnie i tym samym dysponuje odpowiednią podstawą prawną.

Przedmiotowe podstawy stanowią zamknięty katalog.

Podstawy uprawniające do przetwarzania danych szczególnych kategorii dotyczą następujących sytuacji:

1) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo unijne lub prawo krajowe przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania danych osobowych;

2) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

3) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

4) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;

5) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

6) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

7) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

8) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej albo zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego bądź zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, to jest: jeżeli dane osobowe są przetwarzane przez - lub na odpowiedzialność - pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa unijnego lub prawa krajowego albo przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa unijnego albo prawa krajowego lub przepisów ustanowionych przez właściwe organy krajowe;

9) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;

10) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa unijnego lub prawa krajowego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

7.2.1. Zgoda na przetwarzanie danych szczególnych kategorii

Ustawodawca unijny we wspomnianym wyżej art. 9 ust. 2 RODO przewidział dziesięć podstaw legalizujących przetwarzanie danych osobowych szczególnych kategorii. Jedną z najczęściej spotykanych jest zgoda osoby, której dane dotyczą. Jednak należy pamiętać, że prawo unijne lub prawo krajowe może przewidywać, iż nawet udzielenie zgody przez osobę, której dane dotyczą, nie uchyla zakazu przetwarzania danych szczególnych kategorii. Wskazana regulacja może odnosić się na przykład do danych osobowych szczególnej kategorii pracowników.

Naczelny Sąd Administracyjny w wyroku z 1 grudnia 2009 r. (I OSK 249/09) stwierdził, że:

NSA

(...) wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. (...) Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22¹ Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika.

Wydaje się, że podstawą legalizującą gromadzenie odcisków linii papilarnych może być przepis obowiązującego prawa. Nie ma natomiast przepisu uprawniającego pracodawców do żądania od pracowników ich danych biometrycznych (linii papilarnych, obrazu tęczówki oka, kodu DNA). Dlatego ich gromadzenie jest zabronione nawet w oparciu o zgodę pracownika, tym bardziej w celu tylko rejestracji godzin ich przyjścia i wyjścia z zakładu pracy.

UWAGA

Nie można przyjąć, że wykorzystywanie danych biometrycznych pracowników do kontroli ich czasu pracy jest adekwatne do celu przetwarzania. Czas pracy można kontrolować przy użyciu innych środków, mniej ingerujących w prywatność pracowników.

Wzór 6. Zgoda na przetwarzanie danych osobowych szczególnych kategorii

7.2.2. Przetwarzanie do ochrony żywotnych interesów

Zakaz przetwarzania szczególnych kategorii danych nie ma także zastosowania, jeśli przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody (patrz również rozdział 7.1.5. Przetwarzanie niezbędne do ochrony żywotnych interesów).

Podobnie jak w przypadku danych zwykłych należy przypomnieć treść motywu 46 RODO. Zgodnie z nim żywotny interes innej osoby fizycznej powinien być podstawą przetwarzania danych osobowych zasadniczo wyłącznie wówczas, gdy przetwarzania ewidentnie nie da się oprzeć na innej podstawie prawnej. Nie można również pominąć zaistnienia warunku wprost wskazanego w przepisie art. 9 ust. 2 lit. c RODO w postaci niezdolności wyrażenia zgody na przetwarzanie danych przez osobę, której dane dotyczą.

PRZYKŁAD 22

Przykładami żywotnych interesów są między innymi interesy dotyczące życia, zdrowia, bezpieczeństwa. Aby jednak administrator mógł oprzeć przetwarzanie danych osobowych na przedmiotowej podstawie, musi zaistnieć niezdolność wyrażenia zgody przez osobę, której dane dotyczą. Niezdolność taka wystąpi między innymi w przypadku złego stanu zdrowia (na przykład osoba jest nieprzytomna) lub w przypadku gdy dana osoba jest ubezwłasnowolniona i nie ma zdolności do czynności prawnych.

7.2.3. Przetwarzanie do celów politycznych, światopoglądowych, religijnych lub związkowych

Zgodnie z przepisem art. 9 ust. 2 lit. d RODO przetwarzanie danych szczególnych kategorii jest dopuszczalne, jeśli odbywa się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych. Możliwe jest to jednak pod warunkiem, że dotyczy ono wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami.

Podkreślić jednak należy, że przedmiotowe organizacje nie mogą ujawnić danych osobom trzecim bez zgody podmiotu danych.

Natomiast w motywie 56 RODO zostało wskazane, że jeżeli w ramach działań związanych z wyborami funkcjonowanie systemu demokratycznego w państwie członkowskim wymaga zbierania przez partie polityczne danych osobowych dotyczących poglądów politycznych obywateli, można zezwolić na przetwarzanie tych danych z uwagi na względy interesu publicznego pod warunkiem ustanowienia odpowiednich zabezpieczeń.

PRZYKŁAD 23

Stowarzyszenie prowadzące działalność niezarobkową dotyczącą celu religijnego jest uprawnione do przetwarzania danych osobowych szczególnych kategorii dotyczących poglądów religijnych jego członków lub byłych członków albo osób utrzymujących z nim stałe kontakty w związku z jego celem religijnym. Natomiast partie polityczne mogą przetwarzać dane osobowe szczególnych kategorii dotyczące poglądów politycznych jej członków.

7.2.4. Pozostałe podstawy legalizujące przetwarzanie szczególnych kategorii danych

W motywie 52 RODO wyjaśniono, że zakaz przetwarzania szczególnych kategorii danych można uchylić, jeżeli uzasadnia to interes publiczny. W szczególności chodzi tu o przetwarzanie danych osobowych w dziedzinie prawa pracy, prawa zabezpieczenia społecznego, w tym emerytur, oraz do celów bezpieczeństwa, monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowotnym.

Zostało wskazane również, że taki wyjątek może być przewidziany ze względu na cele zdrowotne, w tym związane ze zdrowiem publicznym oraz zarządzaniem usługami opieki zdrowotnej, w szczególności zapewnianiem jakości i ekonomiczności procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych, lub ze względu na cele archiwalne w interesie publicznym, cele badań naukowych lub historycznych albo cele statystyczne (art. 9 ust. 2 lit. b RODO).

Przykładem może być przetwarzanie przez pracodawcę danych dotyczących chorób zawodowych pracownika.

Należy również wskazać na wyjątek pozwalający przetwarzać dane osobowe szczególnych kategorii, jeżeli chodzi o przetwarzanie danych w sposób oczywisty upublicznionych (art. 9 ust. 2 lit. e RODO), a także jeżeli przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń w postępowaniu sądowym, administracyjnym lub innym postępowaniu pozasądowym (art. 9 ust. 2 lit. f RODO).

PRZYKŁAD 24

Przykład przetwarzania opartego na art. 9 ust. 2 lit. e RODO może dotyczyć ujawnienia przez daną osobę w wywiadzie informacji o swoim stanie zdrowia, przebytej chorobie. Natomiast przykładem przetwarzania w oparciu o art. 9 ust. 2 lit. f RODO może być przetwarzanie danych osobowych szczególnych kategorii dotyczących danych genetycznych w sprawie o ustalenie ojcostwa.

Regulacja przepisu art. 9 ust. 2 lit. g RODO przewiduje możliwość przetwarzania danych szczególnych kategorii, gdy przemawiają za tym względy związane z ważnym interesem publicznym na podstawie prawa unijnego lub krajowego. Jest to możliwe, jeśli względy te są proporcjonalne do wyznaczonego celu i nie naruszają istoty prawa do ochrony danych osobowych oraz przewidziane są odpowiednie i konkretne środki ochrony praw podstawowych i interesów podmiotu danych.

Przykładem może być przetwarzanie danych szczególnych kategorii dotyczących zdrowia dzieci przez szkołę lub inną placówkę oświatową z uwagi na względy związane z opieką w szkołach.

Kolejna podstawa legalizująca przetwarzanie danych osobowych szczególnych kategorii dotyczy przetwarzania do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa unijnego albo prawa krajowego lub zgodnie z umową z pracownikiem służby zdrowia (przykładem może tu być przetwarzanie danych osobowych szczególnych kategorii pracownika w związku z wypadkiem przy pracy).

Ze względu na szczególnych charakter wskazanych danych mają być one przetwarzane przez pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej (lub na jego odpowiedzialność) lub inną osobę podlegającą obowiązkowi zachowania tajemnicy zawodowej.

W motywie 53 zostało wyjaśnione, że prawo unijne lub prawo krajowe powinno przewidywać konkretne, odpowiednie środki chroniące prawa podstawowe i dane osobowe osób fizycznych. Państwa członkowskie powinny móc zachować lub wprowadzić dalsze warunki, w tym ograniczenia, przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Ponadto motyw 54 RODO zawiera wytłumaczenie przetwarzania ze względu na interes publiczny w dziedzinie zdrowia publicznego, które może odbywać się bez zgody osoby, której dane dotyczą, co ma związek z regulacją przepisu art. 9 ust. 1 lit. i RODO.

Przetwarzanie takie powinno podlegać odpowiednim środkom chroniącym prawa i wolności osób fizycznych. Zdrowie publiczne powinno być interpretowane jako wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów przez strony trzecie, na przykład pracodawców czy zakłady ubezpieczeń i banki.

PRZYKŁAD 25

Przetwarzanie danych osobowych szczególnych kategorii w celu zapewnienia odpowiedniej jakości i wysokiego bezpieczeństwa produktów leczniczych lub wyrobów medycznych (nadzór farmaceutyczny).

Natomiast przepis art. 9 ust. 2 lit. j RODO przewiduje możliwość przetwarzania danych szczególnych kategorii do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie prawa unijnego lub prawa krajowego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą. Zabezpieczenia te powinny zapewniać poszanowanie zasady minimalizacji danych. Środki te mogą też obejmować na przykład pseudonimizację danych.

7.3. Ochrona danych osobowych a przepisy postępowania administracyjnego

Bezsporne jest, że każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego. Może to zrobić w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza RODO.

Tym samym każdej osobie, której dane dotyczą, przysługują na gruncie RODO, odrębne od uprawnień wynikających z Kodeksu postępowania administracyjnego, uprawnienia związane z przetwarzaniem danych osobowych. W związku z tym uznać należy za nadmiarowe i niecelowe przywoływanie, wyszukiwanie lub choćby oczekiwanie regulacji z poziomu przepisów sektorowych, zawierających materialne podstawy dla prowadzenia postępowań, które upoważniają organ prowadzący postępowanie do przetwarzania danych osobowych w toku takiego postępowania.

Zwrócić przy tym należy uwagę także na fakt, że organy bardzo często zasłaniały się przepisami sektorowymi lub ogólnie pojętą podstawą wejścia w życie RODO i odmawiały stronom postępowania informacji na temat innych uczestników. Stanowiło to z jednej strony przejaw personalnego asekuranctwa, a z drugiej urzędniczego obstrukcjonizmu, co mogło prowadzić do tak niebezpiecznych sytuacji, jak choćby ta wspomniana we wstępie do niniejszego Poradnika.

Aktualność zachowuje i będzie zachowywał wyrok Naczelnego Sądu Administracyjnego z 13 grudnia 2011 r. (I OSK 521/11), w którym wskazano, że:

NSA

(...) mimo braku w przepisach kodeksu postępowania administracyjnego upoważnienia do przetwarzania danych osobowych, noszącego cechy upoważnienia o charakterze generalnym, należy przyjąć, że przetwarzanie danych osobowych przez organ administracji dla celów prowadzonego postępowania jest niezbędne dla wykonania uprawnień i obowiązków przyznanych organowi w przepisach kodeksu postępowania administracyjnego. Tym samym takie przetwarzanie danych jest niezbędne dla wykonania uprawnień organu administracji publicznej w znaczeniu, jakie temu pojęciu nadaje przepis art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych i jako takie jest działaniem dopuszczalnym.

Obecnie taka podstawa znajduje się w art. 6 ust. 1 lit. c RODO.

Skutkiem powyższego wyroku będzie to, że organ nie musi żądać od strony postępowania administracyjnego udzielenia zgody na przetwarzanie danych osobowych w toku postępowania. Zbędne pozostaje również wyszukiwanie przez organ szczególnych podstaw prawnych w ustawach pozwalających na przetwarzanie danych w toku postępowań administracyjnych.

Tym samym, w przypadku gdy oprócz art. 63 Kodeksu postępowania administracyjnego (przepis regulujący warunki formalne wniosku o wszczęcie postępowania administracyjnego) przepisy innych ustaw zawierają dodatkowy katalog danych, który ma być dołączony do wniosku, zbędne będzie dodatkowe uzasadnianie zgodnego z prawem przetwarzania poprzez wskazywanie przepisu, że organ, rozpatrując ten wniosek, przetwarza dane osobowe, które zawarte są we wniosku.

Zatem nie ma konieczności wykazywania przez organ podstawy do przetwarzania danych osobowych na innej podstawie niż wynikająca z art. 6 ust. 1 lit. c RODO.

Logicznym i funkcjonalnym skutkiem powyższych założeń będzie też przyjęcie, że organ administracji publicznej z uwagi na przetwarzanie danych na podstawie art. 6 ust. 1 lit. c RODO nie będzie zobowiązany do informowania stron postępowania o prawie do wniesienia sprzeciwu, o prawie do przenoszenia danych, o prawie do zapomnienia, a także o prawie do cofnięcia zgody na przetwarzanie danych osobowych.

Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny albo podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii albo prawem państwa członkowskiego, któremu podlega ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia.

Przekazywanie informacji, o których mowa w art. 13 ust. 1 i 2 RODO, tj. informacji dotyczących administratora danych osobowych (szerzej o obowiązku informacyjnym w rozdziale 8), odbywa się niezależnie od obowiązków organów administracji publicznej przewidzianych w Kodeksie postępowania administracyjnego i nie wpływa na przebieg i wynik postępowań.

8. Obowiązek informacyjny - na kim spoczywa i jak go wypełnić

Obowiązek informacyjny w sposób rewolucyjny zmienia podejście w sprawie postępowania z danymi osobowymi. W preambule do RODO zawarto postulaty, by osobom fizycznym uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem ich danych osobowych. A to wszystko poprzez rozszerzenie obowiązku informacyjnego, jaki musi wypełnić administrator danych, by móc legalnie przetwarzać dane osobowe. W skrócie obowiązek ten sprowadza się do poinformowania o tym, kto, na jakiej podstawie i w jakim celu zbiera dane osobowe.

Na podstawie OchrDanychU obowiązek informacyjny przewidywał podanie takich danych, jak nazwa administratora, jego dane kontaktowe, cele przetwarzania danych, informacje o odbiorcach danych osobowych, informacje o prawach podmiotu. Na gruncie RODO katalog obowiązków podmiotu przetwarzającego został rozbudowany i stanowi urzeczywistnienie zasad przetwarzania danych, w tym przede wszystkim zasady przejrzystości.

Z obowiązku informacyjnego wynika, że wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, mają być zwięzłe, łatwo dostępne i zrozumiałe. Ponadto gdy przetwarzanie dotyczy dziecka, wszelkie informacje i komunikaty powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.

Administrator zobowiązany jest wypełnić obowiązek informacyjny, gdy zachodzi jedna z trzech sytuacji:

1) gdy dane, które przetwarza, pochodzą od osoby, której dotyczą,

2) gdy dane, które przetwarza, nie pochodzą od osoby, której dotyczą,

3) gdy zmienia cel przetwarzania danych.

Treść przekazywanych informacji powinna być czytelna, a w stosownych przypadkach dodatkowo wizualizowana.

Informacje o przetwarzaniu danych osobowych osoby, której dane dotyczą, należy przekazywać w momencie ich zbierania. Przekazanie informacji może następować zarówno w formie papierowej, jak i w formie elektronicznej, na przykład za pomocą strony internetowej, wówczas gdy informacje są kierowane do szerszej grupy odbiorców. W szczególności dotyczy to sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu. W praktyce najczęściej informacje te przekazywane są w polityce prywatności, regulaminie sklepu internetowego, regulaminie newslettera.

W zależności od tego, czy dane będą zbierane bezpośrednio od osoby, której dotyczą, czy też nie, obowiązek informacyjny będzie kształtował się nieco odmiennie.

Wypełnienie obowiązku informacyjnego spoczywa na podmiocie, który pozyskuje dane bezpośrednio od osoby, której dane dotyczą, jak również gdy dane zostały przez niego pozyskane z innego źródła niż bezpośrednio od osoby. Wówczas administrator będzie musiał wypełnić wtórny obowiązek informacyjny, nie później niż w ciągu miesiąca po uzyskaniu danych (art. 13 i 14 RODO).

Analizując konieczność spełnienia odpowiednio obowiązku informacyjnego "bezpośredniego" bądź "pośredniego", wskazać należy, że zakres pozyskania informacji jest w zasadzie taki sam. Jednak przy pozyskiwaniu danych pośrednio wtórny obowiązek informacyjny dodatkowo obejmuje wskazanie źródła, z którego administrator pozyskał dane, oraz kategorii przetwarzanych danych.

Jednocześnie obowiązki informacyjne mają zastosowanie do wszystkich administratorów, niezależnie od sektorowych, przemysłowych lub regulacyjnych specyfikacji właściwych dla każdego administratora danych.

Wzór 7. Informacja dla pracownika o przetwarzaniu danych osobowych

Administrator zwolniony jest jednak z udzielania informacji, które wynikają z wypełnienia wtórnego obowiązku informacyjnego (art. 14 RODO) w sytuacjach, gdy:

1) osoba, od której zbiera dane, już nimi dysponuje,

2) udzielenie takich informacji jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku,

3) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem państwa członkowskiego,

4) konieczne jest zachowanie tajemnicy zawodowej.

9. Prawa osób, których dane dotyczą

Osobom, których dane są przetwarzane, przysługują prawa przewidziane w przepisach art. 15-22 RODO. Odpowiedzialnym za realizację tych praw jest administrator.

Ustawodawca unijny zwraca uwagę na prawa osób, których dane są przetwarzane. W związku z tym zadbano, aby osoby te miały większy dostęp do informacji o swoich danych i działaniach administratora. RODO zatem czyni administratora odpowiedzialnym za realizację praw osób, których dane dotyczą, a każdy administrator powinien wziąć to pod uwagę w trakcie wdrażania RODO.

Prawa osób, których dane dotyczą, są następujące:

1) prawo dostępu do danych,

2) prawo do sprostowania danych,

3) prawo do żądania usunięcia danych, do bycia zapomnianym,

4) prawo do ograniczenia przetwarzania danych,

5) prawo do przenoszenia danych,

6) prawo do sprzeciwu,

7) prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu.

Powyższe prawa są realizowane na podstawie żądania, z którym może wystąpić osoba, której dane dotyczą.

Należy przypomnieć, że jedną z zasad przetwarzania danych osobowych jest zasada rozliczalności. Dotyczy ona zdolności administratora do wykazania, że przestrzega przepisów RODO, w tym między innymi realizuje prawa podmiotu danych. Zasadne jest więc stworzenie przez administratora stosownych procedur, zgodnie z którymi będzie postępował w razie zgłoszenia żądania (odnośnie danego prawa) przez podmiot danych.

Jedną z wdrożonych procedur powinna być procedura dotycząca nakazu potwierdzania tożsamości wnioskodawcy w przypadku istnienia wątpliwości w tym zakresie.

Podkreślić należy, że jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie wykonania danego prawa, to może zażądać od niej dodatkowych informacji niezbędnych do potwierdzenia tożsamości.

W wyniku zgłoszonego żądania przez osobę nieuprawnioną mogłoby dojść do udostępnienia danych lub wprowadzenia innego ryzyka dla bezpieczeństwa danych. Administrator powinien zatem wdrożyć rozwiązania mające na celu przeciwdziałanie ujawnieniu danych w wyniku złożenia żądania przez osobę nieuprawnioną właśnie na przykład poprzez stosowanie odpowiedniej procedury.

W interesie administratora powinno być również należyte dokumentowanie wpływających żądań i prowadzonej w związku z tym korespondencji. Takie dokumentowanie umożliwi administratorowi udowodnienie realizacji praw podmiotów danych w przypadku ewentualnej kontroli organu nadzorczego oraz zapewni dowody w przypadku ewentualnych sporów prowadzonych z podmiotami danych.

UWAGA

Administrator, wdrażając RODO, powinien pamiętać o obowiązku realizacji praw osób, których dane dotyczą.

Zgodnie z przepisem art. 12 ust. 2 RODO administrator powinien ułatwiać osobie, której dane dotyczą, wykonanie praw jej przysługujących.

Co do zasady administrator nie odmawia podjęcia działań na żądanie osoby, której dane dotyczą, pragnącej wykonać prawa jej przysługujące, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą. Co więcej, zgodnie z przepisem art. 12 ust. 3 i 4 RODO administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - powinien udzielić takiej osobie informacji o działaniach podjętych w związku z jej żądaniem. W razie potrzeby termin ten administrator może przedłużyć o kolejne 2 miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator jednak powinien poinformować osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, to w miarę możliwości informacje te także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie - najpóźniej w terminie miesiąca od otrzymania żądania - powinien poinformować osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Podkreślić należy, że przekazanie przez administratora podmiotowi danych niezbędnych informacji na mocy art. 15-22 RODO powinno być bezpłatne. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań, albo odmówić podjęcia działań w związku z żądaniem. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

Taka regulacja ma na celu zapobieżenie nadużywaniu praw osób, których dane dotyczą, a nie ich ograniczeniu. Przede wszystkim w sytuacji, gdy żądanie osoby, której dane dotyczą, będzie oczywiście niezasadne i nadmierne, a także nastąpi po raz kolejny, administrator może rozważyć pobranie rozsądnej opłaty albo odmowę podjęcia działań w zakresie żądania.

W świetle powyższego administrator, wdrażając RODO, powinien pamiętać o obowiązku realizacji praw osób, których dane dotyczą. Przede wszystkim powinien wdrożyć procedury, zgodnie z którymi będzie postępował w razie zgłoszenia żądania przez podmiot danych, oraz powinien należycie dokumentować wpływające żądania i prowadzoną w wyniku tych żądań korespondencję.

Należy pamiętać, że prawa osób, których dane dotyczą, nie mają charakteru bezwzględnego i nie w każdym przypadku ich realizacja zgodnie z żądaniem podmiotu danych będzie prawidłowym i zgodnym z prawem działaniem.

9.1. Dostęp do danych

Zgodnie z przepisem art. 15 RODO osoba, której dane są przetwarzane, jest uprawniona do uzyskania od administratora potwierdzenia, czy jej dane są przetwarzane. Jeżeli są, to osoba taka jest uprawniona do uzyskania dostępu do swoich danych oraz informacji o:

1) celach przetwarzania, np.: realizacja zamówienia, marketing produktów własnych, wypełnienie obowiązków prawnych ciążących na administratorze, wynikających z przepisów rachunkowo-podatkowych;

2) kategoriach danych osobowych, np. dane osobowe klienta;

3) odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych, na przykład: dane są przekazywane przewoźnikom, operatorom pocztowym, podmiotowi obsługującemu księgowość, partnerom świadczącym usługi techniczne związane z rozwijaniem i utrzymywaniem systemów informatycznych oraz serwisów internetowych, firmom windykacyjnym. Odbiorcą danych osobowych jest również amerykańska spółka XYZ LLC (dane przekazywane są na podstawie decyzji Komisji Europejskiej nr 2016/1250 z 12 lipca 2016 r. - tzw. Program Tarcza Prywatności UE-USA - stwierdzającej odpowiedni stopień ochrony danych osobowych);

4) planowanym okresie przechowywania danych osobowych (w miarę możliwości), a gdy nie jest to możliwe, kryteriach ustalania tego okresu, np.: przetwarzanie danych przez okres obowiązywania umowy, a po jego upływie przez okres niezbędny do obsługi reklamacji, zabezpieczenia lub dochodzenia roszczeń, wypełnienia obowiązku prawnego administratora wynikającego z przepisów rachunkowo-podatkowych oraz przetwarzanie danych w celu marketingu produktów własnych do czasu zgłoszenia sprzeciwu;

5) prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

6) prawie wniesienia skargi do organu nadzorczego;

7) źródle informacji - jeżeli dane osobowe nie zostały zebrane od osoby, której one dotyczą, np. od podmiotu z grupy kapitałowej;

8) zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą:

9) odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO związanych z przekazaniem danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

W przypadku żądania osoby, której dane dotyczą, administrator dostarcza jej kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

Osoba, której dane dotyczą, korzystając z prawa dostępu do danych, może wedle swego uznania, choć w ramach katalogu zamkniętego określonego w przepisie art. 15 RODO, kształtować zakres żądanych informacji. Może więc żądać przekazania wszystkich informacji, kopii czy wglądu jedynie do wybranych informacji.

UWAGA

Prawo dostępu nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji (motyw 63 RODO).

Uprawnienia przysługujące osobie, której dane dotyczą, na podstawie komentowanego art. 15 RODO nie mogą być przedmiotem zrzeczenia się ani zbycia, nie mogą zostać ograniczone ani wyłączone na mocy postanowień umownych.

9.2. Sprostowanie danych

Na podstawie przepisu art. 16 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba taka ma także prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Ustawodawca unijny przewidział zatem dwa rodzaje sprostowań: poprawienie nieprawidłowych danych oraz uzupełnienie niekompletnych danych.

UWAGA

Uzupełnienie danych osobowych nie może dotyczyć danych, które są nadmierne pod względem celu ich przetwarzania.

Prawo do sprostowania danych nie ma charakteru bezwzględnego i chociaż sam przepis nie wskazuje na wyłączenia, jednak należy mieć na uwadze, że administrator może w określonych przypadkach odmówić realizacji żądania podmiotu danych. Odmowa sprostowania danych wydaje się zasadna, jeżeli realizacja tego prawa naruszałaby przepis art. 5 RODO, czyli zasady przetwarzania danych.

PRZYKŁAD 26

Jan Kowalski jest użytkownikiem sklepu internetowego ze sprzętem komputerowym i żąda uzupełnienia danych osobowych o dane dotyczące wykształcenia i zdrowia. Administrator może odmówić mu uzupełnienia danych osobowych o takie dane, gdyż są one nadmierne względem celu przetwarzania.

9.3. Usunięcie danych, prawo do bycia zapomnianym

Zgodnie z przepisem art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki dane te usunąć. Jest to konieczne, jeżeli zachodzi jedna z następujących okoliczności:

1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetworzone;

2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;

3) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne, prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania;

4) dane osobowe były przetwarzane niezgodnie z prawem;

5) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

6) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

Jeżeli administrator upublicznił dane osobowe, a ma obowiązek ich usunięcia, to - biorąc pod uwagę dostępną technologię i koszt realizacji - podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

W świetle powyższego podstawowym uprawnieniem wynikającym z przepisu art. 17 RODO jest żądanie usunięcia danych. To uprawnienie jest skorelowane z prawem do bycia zapomnianym. W sytuacji gdy podmiot danych skorzystał z prawa do żądania usunięcia danych, a dane zostały upublicznione, administrator ma obowiązek poinformować innych administratorów przetwarzających te dane, że podmiot danych żąda usunięcia danych osobowych (w tym ich kopii).

Powyżej w punktach 1-6 zostały również określone przypadki, w ramach których można żądać usunięcia danych. Jest to katalog zamknięty, zatem w przypadkach niemieszczących się w przedmiotowym katalogu administrator może odmówić usunięcia danych osobowych.

Szczególną uwagę zwraca przepis art. 17 ust. 3 RODO, który przewiduje, że prawo do żądania usunięcia danych osobowych nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne:

1) do korzystania z prawa do wolności wypowiedzi i informacji;

2) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

3) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h oraz lit. i RODO, a także art. 9 ust. 3 RODO;

4) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania, lub

5) do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do żądania usunięcia danych osobowych (a w konsekwencji w danych przypadkach do bycia zapomnianym) nie ma charakteru bezwzględnego i już sam przepis wskazuje na wyłączenia. Administrator może w określonych przypadkach odmówić realizacji żądania podmiotu danych.

Na przykład administrator może odmówić zwycięzcy konkursu usunięcia danych, których przetwarzanie jest niezbędne do wywiązania się przez administratora z obowiązków wynikających z przepisów podatkowych. Administrator bowiem jako płatnik podatku od nagród, na wypadek ewentualnej kontroli skarbowej, jest zobowiązany do przechowywania dokumentacji podatkowej przez okres 5 lat. Przypomnieć należy, że administrator powinien udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem. Jeżeli odmówił realizacji żądania, powinien uzasadnić taką odmowę. Uzasadniając więc odpowiedź, powinien wskazać, że jest zobowiązany do przechowywania dokumentacji podatkowej.

9.4. Ograniczenie przetwarzania danych

Ustawodawca unijny w przepisie art. 18 RODO unormował uprawnienie do ograniczenia przetwarzania danych. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia ich przetwarzania w następujących przypadkach:

1) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

2) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

3) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

4) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Administrator zatem nie zawsze uwzględni żądanie ograniczenia przetwarzania danych. Administrator odmówi ograniczenia przetwarzania na przykład, jeśli okaże się, że wbrew stanowisku osoby, której dane dotyczą, jej dane są prawidłowe albo jeżeli osoba, której dane dotyczą, nie dowiedzie, że są one jej potrzebne do ustalenia, dochodzenia lub obrony roszczeń.

Jeżeli natomiast przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie:

1) za zgodą osoby, której dane dotyczą,

2) w celu ustalenia, dochodzenia lub obrony roszczeń,

3) w celu ochrony praw innej osoby fizycznej lub prawnej,

4) z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Mając to na uwadze, należy stwierdzić, że podstawowymi elementami ograniczenia przetwarzania jest nakaz przechowywania przez administratora danych oraz niemożność dokonywania na nich innych operacji niż właśnie ich przechowywanie.

Zgodnie z motywem 67 RODO wśród metod pozwalających ograniczyć przetwarzanie danych osobowych mogą się znaleźć między innymi:

1) czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania,

2) uniemożliwienie użytkownikom dostępu do wybranych danych,

3) czasowe usunięcie opublikowanych danych ze strony internetowej.

W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie.

9.5. Przenoszenie danych

Zgodnie z art. 20 RODO osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:

1) przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a RODO lub art. 9 ust. 2 lit. a RODO albo na podstawie umowy w myśl art. 6 ust. 1 lit. b RODO,

oraz

2) przetwarzanie odbywa się w sposób zautomatyzowany.

Ponadto osoba, której dane dotyczą, ma prawo żądać, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

Można zaobserwować, że celem przedmiotowego uprawnienia jest ułatwienie zmiany dostawcy usługi, jeżeli jest ona związana z przetwarzaniem danych osobowych. Uprawnienie to ułatwia na przykład zmianę banku, zmianę ubezpieczyciela albo przesłanie danych między internetowymi platformami zakupowymi.

Należy pamiętać, że prawo do przenoszenia danych ma zastosowanie w przypadkach, gdy osoba, której dane dotyczą, dostarczyła je za własną zgodą lub gdy przetwarzanie jest niezbędne do wykonania umowy. Prawo to nie powinno mieć zastosowania, jeżeli przetwarzanie opiera się na innej podstawie prawnej niż zgoda lub umowa i dlatego administrator w takim przypadku nie ma obowiązku sprostania żądaniu.

Można wywnioskować również, że prawo do przenoszenia danych nie dotyczy danych wytworzonych przez administratora, gdyż dotyczy jedynie danych dostarczonych przez podmiot danych. Przykładem danych nieobjętych analizowanym uprawnieniem mogą być dane pozyskane w ramach profilowania.

9.6. Sprzeciw wobec przetwarzania danych

Na podstawie przepisu art. 21 ust. 1 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na:

1) art. 6 ust. 1 lit. e RODO - przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

lub

2) art. 6 ust. 1 lit. f RODO - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Po wniesieniu sprzeciwu administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia bądź obrony roszczeń.

Co więcej, jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo na podstawie przepisu art. 21 ust. 2 RODO w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

UWAGA

Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.

Osoba, której dane dotyczą, ma prawo na podstawie przepisu art. 21 ust. 6 RODO do wniesienia sprzeciwu również, jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

Każdy administrator, w przypadkach gdy podmiotowi danych przysługuje uprawnienie do wniesienia sprzeciwu na podstawie przepisu art. 21 ust. 1 lub ust. 2 RODO, ma obowiązek poinformować podmiot o tym prawie w sposób wyraźny najpóźniej przy okazji pierwszej komunikacji z nim oraz przedstawić dotyczące go informacje jasno i odrębnie od wszelkich innych informacji.

9.7. Prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu

Zgodnie z przepisem art. 22 RODO osoba, której dane dotyczą, ma uprawnienie, aby nie podlegać decyzji opartej wyłącznie na automatycznym przetwarzaniu, w tym również profilowaniu, jeżeli decyzja ta wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Więcej o automatycznym podejmowaniu decyzji, w tym profilowaniu, w rozdziale 10.

Jednak uprawnienie do niepodlegania decyzjom opartym na automatycznym przetwarzaniu nie będzie miało zastosowania, jeżeli decyzja:

1) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,

2) jest dozwolona prawem unijnym lub prawem krajowym, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, lub

3) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Co więcej, decyzje, do których nie ma zastosowania powyższe uprawnienie, nie mogą opierać się na szczególnych kategoriach danych osobowych, chyba że zastosowanie ma przepis art. 9 ust. 2 lit. a lub g oraz istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

Podkreślić należy, że uprawnienie do niepodlegania decyzji opartej na automatycznym przetwarzaniu nie znajdzie zastosowania w sytuacji, gdy decyzję podejmuje dana osoba. Taka osoba podejmująca decyzję może brać pod uwagę informacje uzyskane w sposób zautomatyzowany, jednak powinna brać też pod uwagę inne elementy.

W motywie 71 RODO zostały podane przypadki, w których osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji opartej wyłącznie na przetwarzaniu zautomatyzowanym, takie jak: automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej, czy też profilowanie związane między innymi z analizą sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności albo zachowania, lokalizacji bądź przemieszczania się osoby, której dane dotyczą - o ile taka decyzja wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa.

10. Wykorzystanie danych osobowych do zautomatyzowanego podejmowania decyzji, w tym profilowania

Profilowanie i zautomatyzowane podejmowanie decyzji stały się często stosowaną praktyką w wielu sektorach rynku, zarówno publicznego, jak i prywatnego.

Działania opierające się na zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu, odnajdujemy w sektorze bankowym i finansowym, opieki zdrowotnej oraz marketingowym. Postęp technologiczny, dostępność wielu narzędzi analitycznych ułatwiły tworzenie profili i podejmowanie zautomatyzowanych decyzji mogących znacząco wpłynąć na prawa i wolności osób fizycznych.

RODO nie zakazuje profilowania jako jednej z operacji, jakie można przeprowadzać na danych. Ale wymaga od podmiotów stosujących profilowanie więcej przejrzystości, odpowiedzialności i rozliczalności. Nie zezwala natomiast, by na podstawie profilowania podejmować działania wywołujące skutki prawne lub istotnie wpływające na osobę, gdy brakuje innych niż zgoda przesłanek legalizujących tego typu działanie.

Wskazać należy, że profilowanie przyczynia się do wzrostu podejmowanych przez użytkowników Internetu decyzji niejednokrotnie skutkujących nabyciem określonego towaru czy usługi.

Powszechna dostępność danych osobowych w Internecie, określonych narzędzi analitycznych, a także umiejętność znajdowania korelacji i tworzenia powiązań między nimi, umożliwia ocenę preferencji w dokonywaniu wyboru, podejmowaniu decyzji czy zaspokajaniu potrzeb, nie wyłączając z tego zakresu wiedzy na temat lokalizacji lub przemieszczania się danej osoby.

Działania polegające na automatycznym podejmowaniu decyzji przyczyniają się bowiem do zwiększenia efektywności organizacji przy jednoczesnej minimalizacji z jej strony kosztów, co de facto może skutkować niższymi cenami dla kupujących. Automatyczne podejmowanie decyzji, w tym profilowanie, pozwala przedsiębiorcom na dotarcie do szerokiej grupy odbiorców z działaniami marketingowymi.

Wejście w życie RODO wprowadziło przepisy mające na celu przeciwdziałanie zagrożeniom wynikającym z profilowania i automatycznego podejmowania decyzji. Administrator danych, realizując zasadę przejrzystości podczas zbierania danych, jest bowiem zobowiązany do poinformowania o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1, art. 4 pkt 4 oraz motywie 71 RODO, a także o zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Podkreślenia wymaga, że RODO nie koncentruje się wyłącznie na działaniach podjętych w wyniku automatycznego przetwarzania lub profilowania. Dotyczy także gromadzenia danych do tworzenia profili osobowościowych. Szczegółowe wytyczne w tym zakresie zawiera opinia Grupy Roboczej Artykułu 29 (Wytyczne dotyczące zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania na potrzeby rozporządzenia (UE) 2016679 (WP 251)).

Unijny ustawodawca wprowadza kompromis polegający na tym, że profilowanie i automatyczny indywidualny proces decyzyjny (niezależnie od tego, czy obejmuje to profilowanie) nie są wykorzystywane w sposób, który ma nieuzasadniony wpływ na prawa jednostek.

Profilowanie składa się z trzech elementów:

● musi to być zautomatyzowana forma przetwarzania,

● musi być przeprowadzana na danych osobowych,

● celem profilowania musi być ocena osobistych aspektów dotyczących osoby fizycznej.

Profilowanie wiąże się z pewną formą oceny dotyczącej osoby. Jest to swego rodzaju mechanizm kategoryzacji. Prosta klasyfikacja osób w oparciu o znane cechy, takie jak wiek, płeć i wzrost, nie zawsze prowadzi do profilowania. Wszystko zależy od celu, dla jakiego ta klasyfikacja została stworzona. Praktyka pokazuje, że dzięki reklamom opartym na profilowaniu klienci mają większą szansę na kupienie produktu bardziej dopasowanego do swoich potrzeb. Reklamy mogą być ściśle dobrane pod kątem wieku i płci, polubień (lajków) i kliknięć (np. w portalach społecznościowych), oglądanych produktów (w sklepach internetowych), wyszukiwanych słów (w wyszukiwarkach).

Firma, która chce sklasyfikować swoich klientów według ich wieku lub płci do celów statystycznych oraz uzyskać zbiorczy przegląd swoich klientów bez przeprowadzania prognoz, analiz na temat danej osoby, nie dokonuje profilowania. Celem nie jest bowiem ocena indywidualnych cech danej osoby, lecz ogólny pogląd danej grupy ludzi.

PRZYKŁAD 27

Profilowanie

Broker informacji zajmujący się pozyskiwaniem, oceną, analizą informacji zbiera dane osobowe zarówno w imieniu swoich klientów, jak i do własnych celów. Następnie opracowuje te dane w celu stworzenia profili osób. Sprzedaje te informacje firmom, które chcą poprawić sprzedaż swoich towarów i usług. Broker informacji przeprowadza profilowanie, umieszczając osobę w określonej kategorii zgodnie z jej zainteresowaniami.

PRZYKŁAD 28

Profilowanie

Niektóre aplikacje mobilne zapewniają usługi lokalizacyjne, pozwalając użytkownikowi na znalezienie pobliskich restauracji, klubów sportowych itp. oferujących na przykład zniżki. Zebrane dane są również wykorzystywane do budowania profilu osoby, której dane dotyczą, w celach marketingowych - w celu określenia preferencji żywieniowych, stylu życia, zainteresowań sportowych.

PRZYKŁAD 29

Automatyczne podejmowanie decyzji

Nakładanie mandatów za przekroczenie prędkości wyłącznie na podstawie danych pochodzących z fotoradarów jest automatycznym procesem decyzyjnym. Jest to proces, który niekoniecznie wiąże się z profilowaniem. O decyzji opartej na profilowaniu byłaby mowa wówczas, gdyby nawyki kierowców były monitorowane w czasie, a kwota nałożonej grzywny była wynikiem oceny obejmującej inne czynniki, jak na przykład nagminność popełniania wykroczeń drogowych, liczba zebranych punktów karnych itp.

Aby mówić o profilowaniu, musi dojść do gromadzenia informacji o osobie, a następnie do oceny cech, wzorców zachowań danej osoby, umieszczenia tej osoby w określonej kategorii lub grupie, w celu analizy umiejętności wykonania przez tę osobę zadania, zainteresowania, wystąpienia określonego zachowania na przyszłość. Przykładowo możemy wskazać na sytuacje, w których dochodzi do automatycznego podejmowania decyzji, tj. podczas prowadzenia elektronicznej rekrutacji, weryfikacji zdolności kredytowej czy oceniając ryzyko ubezpieczeniowe podczas ubiegania się o objęcie określonym rodzajem ubezpieczenia.

Największą zmianą wprowadzoną przez RODO, która jest przykładem wypełnienia wcześniej wspomnianej zasady przejrzystości, realizowanej przez spełnienie przez podmiot przetwarzający obowiązku informacyjnego, jest obowiązek podmiotu do zakomunikowania użytkownikom, że ich dane są gromadzone w celu profilowania.

Informacja ta powinna także uwzględniać sposób wykonania tego działania i, jak już wcześniej podkreślano, musi mieć charakter jasny, prosty i zrozumiały.

Ponadto podmiot, który podlega profilowaniu, powinien otrzymać informację o możliwości rezygnacji z profilowania jego danych. W zakresie informacji zbieranych za pomocą plików cookie przykładem jest możliwość zmiany ustawień przeglądarki internetowej w taki sposób, aby zarządzać retencją przechowywania plików cookie lub ich wyczyszczeniem.

Uprawnienie do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, nie znajdzie zastosowania, gdy decyzja oparta wyłącznie na automatycznym przetwarzaniu:

a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,

b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, lub

c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

W pewnych sytuacjach podmiot danych będzie mógł sprzeciwić się profilowaniu. Osoba, której szczególna sytuacja to uzasadnia, może wnieść sprzeciw wobec przetwarzania, w tym profilowania, prowadzonego w oparciu o uzasadniony interes publiczny, interes administratora lub interes osoby trzeciej.

Ponadto osoba fizyczna może w każdej chwili i bez podania przyczyn sprzeciwić się przetwarzaniu jej danych na potrzeby marketingu bezpośredniego.

10.1. Pliki cookies jako narzędzie do profilowania użytkowników

Niejednokrotnie identyfikacja przeglądarki, urządzenia końcowego użytkownika, jest niezbędna, by strony ładowały się poprawnie. Służą temu pliki cookie (tzw. ciasteczka), czyli niewielkie pliki tekstowe, które serwis internetowy przechowuje w przeglądarce internetowej na komputerze lub urządzeniu przenośnym (urządzeniu końcowym użytkownika).

Motyw 30 RODO:

§

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe - takie jak adresy IP, identyfikatory plików cookie - generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Cookies stanowią dane informatyczne i służą ułatwieniu zapamiętywania danego urządzenia lub danych zapisanych w danym serwisie w związku z korzystaniem z niego.

Często jednak pliki cookie uruchamiające się w momencie, kiedy ładujemy stronę internetową, mają za zadanie monitorowanie zachowania użytkownika, tworząc na tej podstawie jego profil, który jest wykorzystywany do wyświetlania dostosowanych do jego zainteresowań reklam online.

Wejście w życie RODO spowodowało, że zaczęto zadawać pytania, czy takie działanie (korzystanie przez serwisy internetowe z plików cookie) na gruncie RODO wymaga zgody użytkownika, czy należy je traktować jako uzasadniony interes administratora, czy może jest ono niezbędne do wykonania usługi świadczonej przez administratora. Czy strony internetowe mogą domyślnie gromadzić informacje o korzystających z nich użytkownikach, czy też mogą to robić dopiero po uzyskaniu ich zgody?

Zależy to od tego, jak mocno cookies będą ingerowały w prywatność jednostki korzystającej z danego serwisu internetowego, czy będą to wyłącznie pliki cookie, których istnienie zapewnia poprawne działanie strony, czy te, na podstawie których dochodzi do monitorowania zachowań użytkowników sieci.

Mając na uwadze stanowisko Grupy Roboczej Artykułu 29 należy stwierdzić, iż stosowanie przez serwisy internetowe plików cookie i innych narzędzi śledzących można oprzeć na trzech podstawach prawnych opisanych w art. 6 ust. 1 RODO, w zależności od tego, z jakimi plikami cookie będziemy mieć do czynienia, tj.:

a) niezbędność do zrealizowania usługi - co oznacza, że stosowanie plików cookie umożliwia poprawne korzystanie z usług dostępnych w ramach serwisu, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach serwisu, takie działanie można uzasadniać niezbędnością,

b) uzasadniony interes administratora danych, który może polegać na monitorowaniu, jak "klikają" się konkretne treści. Warunkiem jednak powołania się na tę podstawę prawną jest to, aby śledzenie nie ingerowało nadmiernie w prywatność użytkowników,

c) świadoma, konkretna, dobrowolna zgoda użytkownika - wymagana wtedy, gdy dochodzi do ingerencji w prywatność użytkowników lub przekazywanie danych podmiotom trzecim (innym portalom, agencjom interaktywnym tzw. third - party cookies).

Analiza plików cookie została przeprowadzona i streszczona w opinii Grupy Roboczej Artykułu 29 (Opinia nr 04/2012 w sprawie wyłączenia zapisywania plików cookie spod zasady pozyskiwania zgody). Pozwoliło to na wyszczególnienie takich cookies, które mogą zostać wyłączone spod zasady pozyskania świadomej zgody pod określonymi warunkami, o ile nie są wykorzystywane do dodatkowych celów. Te pliki to:

1) pliki cookie z danymi wprowadzanymi przez użytkownika (identyfikator sesji) na czas trwania sesji lub trwałe pliki cookie ograniczone w niektórych przypadkach do kilku godzin;

2) uwierzytelniające pliki cookie wykorzystywane do usług wymagających uwierzytelniania na czas trwania sesji,

3) pliki cookie zorientowane na bezpieczeństwo użytkownika, wykorzystywane do wykrywania nadużyć dotyczących uwierzytelniania na dłuższy, lecz ograniczony czas,

4) sesyjne pliki cookie odtwarzaczy multimedialnych, takie jak pliki cookie odtwarzacza "flash", na czas trwania sesji,

5) sesyjne pliki cookie do równoważenia obciążenia, na czas trwania sesji,

6) trwałe pliki cookie do personalizacji interfejsu użytkownika na czas trwania sesji (lub nieco dłużej),

7) pliki cookie osób trzecich dla wtyczek portali społecznościowych pozwalających na wymianę treści dla zalogowanych członków sieci społecznej.

Biorąc pod uwagę, że żyjemy w świecie społeczeństwa informacyjnego oraz tworzone są sieci społeczne, Grupa Robocza Artykułu 29 odnotowuje, że wykorzystanie plików cookie osób trzecich dla wtyczek portali społecznościowych do celów innych niż zapewnienie funkcji wyraźnie zażądanej przez członków tych sieci wymaga pozyskania zgody, zwłaszcza jeśli cele te obejmują śledzenie użytkowników na różnych stronach internetowych.

Ponadto Grupa przypomina, że reklamowe pliki cookie osób trzecich również nie mogą podlegać wyłączeniu spod zasady pozyskania zgody, i wyjaśnia, że pozyskanie zgody jest w tym przypadku również wymagane, w szczególności gdy pliki cookie wykorzystywane są do celów operacyjnych dotyczących reklamy osób trzecich, takich jak ograniczenie częstotliwości wyświetlania reklam, dokumentacja odsłon reklam, afiliacja reklam, wykrywanie tzw. nieuczciwych kliknięć, badania i analizy rynku, udoskonalanie produktów i usuwanie błędów.

Niezależnie od rekomendacji wskazanych przez Grupę Roboczą Artykułu 29, po stronie administratora konieczne jest zapewnienie użytkownikom możliwości dokonania w każdym czasie zmiany ustawień dotyczących plików cookies, w szczególności w taki sposób, aby blokować automatyczną obsługę tych plików w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu. W odniesieniu do zgody zaś, najważniejsze, aby użytkownicy mogli wycofać się z decyzji o akceptacji tych plików.

Ostatecznie Grupa Robocza Artykułu 29 wskazała, że aby zdecydować, czy plik cookie podlega wyłączeniu spod zasady pozyskania świadomej zgody, ważne jest staranne zweryfikowanie, czy spełnia on jedno z dwóch kryteriów wyłączenia, tj.:

● kryterium A - plik cookie jest wykorzystywany "jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej",

● kryterium B - plik cookie jest "ściśle niezbędny w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika".

Jedynie na marginesie zaznaczenia wymaga kwestia udzielenia zgody, która pojawia się także na gruncie ustawy - Prawo telekomunikacyjne. Prawo telekomunikacyjne również reguluje zasady używania plików cookie i pozwala na tzw. zgodę dorozumianą (stosowaną obecnie), czyli taką, w której samo poinformowanie użytkownika o ich używaniu jest wystarczające, co prowadzi do stwierdzenia, iż zgoda, o której mowa w art. 173 Prawa telekomunikacyjnego, nie jest tożsama z tą w rozumieniu RODO.

Warto również zauważyć, że zasady zawarte w RODO zostały rozwinięte i uszczegółowione pod kątem specyfiki komunikacji elektronicznej i usług internetowych w projekcie rozporządzenia w sprawie prywatności i łączności elektronicznej (tzw. e-Privacy Regulation) opracowanym przez Komisję Europejską. Zarówno RODO, jak i wspomniany projekt mają tworzyć zharmonizowany system w zakresie przetwarzania danych osobowych, prywatności w świecie elektronicznym i świadczonych w nim usług.

Rozporządzenie ma dostosować przepisy w zakresie ochrony prywatności i danych w komunikacji elektronicznej do obecnych realiów rynkowych i postępu technologicznego.

Celem rozporządzenia jest wzmocnienie ochrony użytkowników tzw. urządzeń końcowych, czyli w szczególności komputerów, telefonów, smartfonów czy tabletów, przed nadmierną ingerencją w sferę ich prywatności. W projekcie wskazano między innymi na to, aby:

a) każdy administrator danych (strona internetowa, aplikacja mobilna) miał aktywny obowiązek dbania o przejrzystość przetwarzanych danych i informowania o tym użytkowników w przystępny sposób,

b) zgoda na przetwarzanie danych mogła zostać wyrażona za pomocą odpowiednich ustawień przeglądarki lub innej aplikacji,

c) przeglądarki i podobne platformy zapewniły przyjazne dla użytkownika ustawienia już w wersji domyślnej, by wzmocnić jego kontrolę nad danymi wypływającymi z jego komputera.

Powyższe reguły oznaczają, że usługodawcy internetowi nie będą mogli w dowolny sposób pozyskiwać i przetwarzać danych generowanych przez rozmaite urządzenia podłączone do sieci. Za każdym razem będą musieli wykazać podstawę prawną takiej operacji.

Podsumowując - odpowiadając na pytanie zamieszczone na wstępie podnieść należy, że z braku innej podstawy prawnej należy przetwarzać dane dopiero po uzyskaniu zgody.

Szczegółową podstawę prawną oraz ramy, z jakich można korzystać z plików cookie, ma zapewnić dopiero wspomniane rozporządzenie o prywatności i łączności elektronicznej (e-privacy).

11. Zarządzanie danymi osobowymi

Prawidłowe wykonywanie obowiązków wynikających z RODO wymaga poznania i zrozumienia najważniejszych definicji związanych z przetwarzaniem danych osobowych. W niniejszym rozdziale zostaną przedstawione kolejne pojęcia pozwalające na samodzielne opracowanie metod postępowania z danymi osobowymi i prawidłowe zarządzanie danymi. Zrozumienie definicji dotyczących przetwarzania danych osobowych umożliwi wdrożenie odpowiednich procedur postępowania z danymi osobowymi w przedsiębiorstwie.

11.1. Współadministratorzy

RODO w art. 26 przewiduje możliwość przetwarzania danych przez co najmniej dwóch administratorów, którzy wspólnie ustalają cele i sposoby przetwarzania. Takich administratorów nazywa się współadministratorami.

Współadministratorzy są zobowiązani, w drodze wspólnych uzgodnień, w przejrzysty sposób określić zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.

Uzgodnienia powinny obejmować:

● wypełnianie obowiązku informacyjnego wynikającego z przepisu art. 13 i 14 RODO,

● realizację praw osób, których dane dotyczą,

● relacje między współadministratorami oraz

● pozostałe zakresy obowiązków.

Ustawodawca unijny rekomenduje również zawarcie w uzgodnieniach punktu kontaktowego dla osób, których dane są przetwarzane.

Współadministratorzy są zobowiązani udostępnić osobom, których dane dotyczą, zasadniczą treść uzgodnień (klauzula informacyjna).

Mimo uzgodnień osoba, której dane dotyczą, może wykonywać przysługujące jej prawa na gruncie RODO wobec każdego współadministratora.

Dla lepszego zrozumienia tematu warto przytoczyć przykłady wskazane przez Grupę Roboczą Artykułu 29 w opinii 1/2010 w sprawie pojęć "administrator danych" i "przetwarzający".

PRZYKŁAD 30

Właściciel budynku zawiera umowę z firmą ochroniarską w celu instalacji kamer. W takim przypadku cele nadzoru poprzez monitoring oraz sposób gromadzenia i przechowywania obrazów są wyłącznie określone przez właściciela budynku, zatem on jest jedynym administratorem. Nie dochodzi do współadministrowania danymi.

PRZYKŁAD 31

Przedsiębiorstwo rekrutacyjne pomaga w rekrutacji nowych pracowników danej spółce. Umowa zakłada, że przedsiębiorstwo rekrutacyjne działa w imieniu spółki i że przy przetwarzaniu danych osobowych działa jako przetwarzający. Ta sytuacja nie jest aż tak jednoznaczna, gdyż przedsiębiorstwo rekrutacyjne jest administratorem danych w stosunku do osób poszukujących pracy, z kolei zakłada też, że staje się przetwarzającym, gdy działa dla administratorów. Przedsiębiorstwo rekrutacyjne szuka zatem kandydatów dla danej spółki wśród aplikacji zgłoszonych przez kandydatów bezpośrednio dla danej spółki, jak i wśród posiadanej swojej bazy kandydatów. Mając to na uwadze można przyjąć, jak wskazuje Grupa Robocza Artykułu 29, że mimo przypisanej w umowie roli podmiotu przetwarzającego przedsiębiorstwo rekrutacyjne należy uznać za współadministratora danych, który administruje wspólnie z daną spółką danymi osobowych, przynajmniej w zakresie rekrutacji dla danej spółki.

Innymi przykładami wskazanymi przez Grupę Roboczą Artykułu 29 we wspomnianej opinii są relacje między podmiotami współpracującymi przy organizacji wycieczek. Pierwszy przypadek przyjmuje, że biuro podróży przesyła dane swoich klientów do linii lotniczych i hoteli w celu dokonania rezerwacji biletów i miejsc noclegowych. Drugi natomiast przyjmuje, że biuro podróży, linie lotnicze i hotele zakładają wspólną platformę internetową w celu obsługi klienta. W pierwszym przypadku każdy z podmiotów działa na własną odpowiedzialność i jest odrębnym administratorem. Drugi przypadek dotyczy współadministrowania danymi w ramach platformy internetowej.

Warto też zwrócić uwagę na zarządzanie danymi w ramach grupy kapitałowej, które również może przybierać formę współadministrowania.

Jeżeli w ramach danej grupy kapitałowej jedna ze spółek obsługuje klientów hurtowych, inna klientów detalicznych, trzecia z kolei nie używa danych dwóch pierwszych, wówczas spółki te nie powinny być współadministratorami.

Natomiast konkretne spółki w ramach grupy kapitałowej mogą być współadministratorami, w sytuacji gdy wspólnie zarządzają procesem rekrutacji (na przykład zatrudnienie tego samego pracownika w ramach grupy spółek), wspólnie zarządzają marketingiem, jak również posiadają wspólną bazę CRM, wspólną administrację oraz łańcuch realizacji dostaw.

Wzór 8. Klauzula informacyjna współadministratorów

11.2. Powierzenie a udostępnienie danych osobowych

Powierzenie przetwarzania danych osobowych dotyczy sytuacji, gdy administrator zleca wybranemu podmiotowi dokonanie określonych działań, w imieniu i na rzecz administratora.

W większości przypadków, gdy administrator nie jest przygotowany do realizacji danych działań, decyduje się na powierzenie przetwarzania danych osobowych profesjonaliście.

Jeżeli administrator zdecyduje się na powierzenie przetwarzania danych osobowych, to nadal jest decydentem celu i sposobu przetwarzania danych i w dalszym ciągu ponosi odpowiedzialność za przetwarzanie zgodne z przepisami obowiązującego prawa. Podmiot przetwarzający natomiast jest zobowiązany do podejmowania zleconych działań i prawidłowego zabezpieczenia przetwarzania danych osobowych.

Zgodnie z przepisem art. 28 RODO administrator ma obowiązek korzystać wyłącznie z usług tych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Przetwarzanie przez podmiot przetwarzający powinno odbywać się na podstawie umowy określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa stron.

Umowa powierzenia przetwarzania danych osobowych powinna być sporządzona w formie pisemnej, w tym w formie elektronicznej. Umowa zatem może zostać zawarta po prostu w tradycyjnej formie pisemnej, ale też może zostać zawarta poprzez sporządzenie dokumentu w postaci elektronicznej, np. przy użyciu poczty elektronicznej.

Na podstawie umowy powierzenia podmiot przetwarzający powinien zostać zobowiązany do:

1) przetwarzania danych wyłącznie na polecenia administratora;

2) zapewnienia, aby osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy;

3) podjęcia środków zapewniających bezpieczeństwo danych osobowych, zgodnie z art. 32 RODO;

4) pomagania administratorowi w wywiązaniu się z obowiązków dotyczących bezpieczeństwa danych osobowych (art. 32-36 RODO);

5) pomagania administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw, między innymi prawa dostępu do danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, przenoszenia danych, sprzeciwu;

6) usunięcia lub zwrócenia administratorowi wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba że prawo unijne lub krajowe nakazują przechowywanie danych osobowych;

7) udostępnienia administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków nałożonych na podmiot przetwarzający oraz umożliwienia administratorowi przeprowadzanie audytów, w tym inspekcji, i przyczyniania się do nich.

Jeżeli w celu wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego (podprocesora), to dochodzi do podpowierzenia.

Podmiot przetwarzający, aby podpowierzyć przetwarzanie danych osobowych, musi uzyskać uprzednią szczegółową lub ogólną pisemną zgodę administratora. Co więcej, podmiot przetwarzający jest zobowiązany do nałożenia w umowie na podprocesora takich samych obowiązków ochrony danych, jakie są nałożone na podmiot przetwarzający w umowie z administratorem. Zgodnie z przepisem art. 28 ust. 4 RODO, jeżeli podprocesor nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków podprocesora spoczywa na podmiocie przetwarzającym.

Przykładem powierzenia przetwarzania danych osobowych jest korzystanie przez administratora z usług internetowych typu hosting. Dochodzi wówczas przede wszystkim do przetwarzania danych osobowych publikowanych przez użytkowników na stronie internetowej. Innym przykładem może być również korzystanie przez administratora z usług księgowych.

Należy zwrócić uwagę, że nie każde przekazanie danych osobowych innemu podmiotowi będzie stanowiło powierzenie przetwarzania danych osobowych. Od powierzenia przetwarzania należy odróżnić przede wszystkim udostępnienie danych osobowych. O ile dane powierza się do przetwarzania innemu podmiotowi w określonym zakresie i celu, o tyle dane udostępnia się innemu podmiotowi będącemu administratorem tych danych.

PRZYKŁAD 32

Przykładem udostępnienia danych osobowych jest przekazanie ich adwokatowi. Adwokat reprezentuje klienta i dlatego przetwarza dane osobowe związane ze sprawą danego klienta. Otrzymane dane adwokat przetwarza jako administrator w związku z wykonywaniem zawodu. Istota zawodu adwokata polega na świadczeniu pomocy prawnej i zakłada przetwarzanie zarówno danych osobowych klientów, jak i danych osobowych osób trzecich, przekazanych przez klienta oraz zebranych z innych źródeł na potrzeby wykonania usługi. Adwokaci mają zatem swoją własną podstawę prawną przetwarzania i nie są podmiotami przetwarzającymi w sytuacji reprezentowania klienta.

Każdy administrator powinien wziąć również pod uwagę przypadki, gdy osoby trzecie mogą mieć dostęp do danych osobowych. Szum wokół RODO spowodował, że administratorzy w niektórych przypadkach niewłaściwie i nieadekwatnie do sytuacji stosują umowę powierzenia przetwarzania danych. Za taki przypadek można uznać zawieranie umów powierzenia przetwarzania danych osobowych z podmiotem świadczącym usługi sprzątania. Z obowiązków podmiotów świadczących usługi sprzątania nie może wynikać dostęp do dokumentów zawierających dane osobowe. Administrator powinien zapewnić bezpieczeństwo danych osobowych, w tym także powinien uniemożliwić osobom nieuprawnionym dostęp do danych osobowych.

UWAGA

Zarówno administrator, jak i podmiot przetwarzający mogą ponosić odpowiedzialność za niewłaściwe przetwarzanie danych osobowych.

Zgodnie z przepisem art. 82 ust. 2 RODO administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy RODO. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie wtedy, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Jeżeli natomiast w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający albo uczestniczy w nim zarówno administrator, jak i podmiot przetwarzający i odpowiadają oni za szkodę spowodowaną przetwarzaniem, ponoszą wówczas odpowiedzialność solidarną za całą szkodę.

Wzór 9. Umowa powierzenia

11.3. Upoważnienie do przetwarzania danych osobowych

Upoważnienie do przetwarzania danych jest czasem mylone z powierzeniem przetwarzania danych osobowych. Tak jak zostało już omówione w poprzednim rozdziale (11.2), powierzenie to sytuacja, gdy administrator zleca przetwarzanie innemu podmiotowi w danym zakresie.

Natomiast gdy administrator wewnątrz swojej struktury dopuszcza określone osoby (na przykład pracowników) do przetwarzania danych, wówczas należy mówić o upoważnieniu do przetwarzania danych osobowych.

Zasadą jest, że do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione. Administrator powinien zatem upoważnić każdą osobę fizyczną, którą dopuszcza do przetwarzania danych osobowych, w tym przede wszystkim powinien upoważnić osoby zatrudnione na umowę o pracę albo umowę cywilnoprawną (zlecenia, o dzieło), stażystów, jeżeli zakres ich obowiązków służbowych wymaga określonego dostępu do danych osobowych.

Z uwagi na to, że administrator powinien się kierować zasadą rozliczalności przy przetwarzaniu danych osobowych i przede wszystkim być zdolny do wykazania, że przestrzega przepisów RODO, rekomendowane jest prowadzenie przez każdego z administratorów ewidencji upoważnień. Ewidencja taka pozwoli na ustalenie, kto jest obecnie upoważniony do przetwarzania danych i w jakim zakresie.

Z przepisu art. 29 RODO wynika, że osoby upoważnione przez administratora mogą przetwarzać dane wyłącznie na podstawie polecenia administratora. Wskazany przepis dotyczy zatem obowiązku przetwarzania danych osobowych przez osoby upoważnione zgodnie z poleceniami administratora. Osoby takie nie powinny przetwarzać danych w zakresie wykraczającym poza polecenie administratora.

Wzór 10. Upoważnienie do przetwarzania danych osobowych

11.4. Dokumentacja administratora danych osobowych

Zgodnie z art. 24 RODO każdy administrator jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, które będą zapewniać przetwarzanie zgodne z RODO. Odnosi się to w szczególności do realizacji zasad przez administratora: zasady zgodności z prawem, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności, poufności i rozliczalności.

Przepis ten odnosi się zatem również do wdrożenia odpowiednich polityk ochrony danych.

Z brzmienia przepisu art. 24 ust. 2 RODO wynika, że wdrożenie polityk ochrony danych osobowych jest fakultatywne i zależne od stosowanej oceny administratora. Jednak należy mieć na uwadze, że wdrożenie takiej dokumentacji usystematyzuje przetwarzanie danych i ułatwi administratorowi chociażby wywiązanie się z obowiązku przetwarzania zgodnego z RODO.

Zgodnie natomiast z motywem 78 RODO, aby administrator mógł wykazać przestrzeganie RODO, powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Jak zostało wskazane, takie środki mogą polegać przede wszystkim na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Przykładowe polityki ochrony danych osobowych mogą zawierać:

1) omówienie zasad przetwarzania danych osobowych, podstaw przetwarzania danych przez administratora;

2) instrukcje w zakresie dotyczącym realizacji praw osób, których dane dotyczą;

3) informacje dotyczące stosowanych środków zabezpieczających;

4) wykaz budynków, pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe;

5) instrukcje dotyczące powierzenia przetwarzania danych osobowych;

6) wytyczne w zakresie upoważnienia do przetwarzania danych osobowych;

7) procedurę postępowania w przypadku naruszenia danych osobowych;

8) informacje o powołaniu inspektora ochrony danych osobowych albo braku obowiązku jego powołania;

9) informacje o odbiorcach danych osobowych;

10) wytyczne w zakresie przeprowadzania szkoleń z zakresu ochrony danych osobowych;

11) wytyczne w zakresie nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym;

12) wytyczne co do stosowania haseł do systemu informatycznego;

13) procedury rozpoczęcia, zawieszenia, zakończenia pracy użytkowników systemu informatycznego;

14) procedury tworzenia kopii zapasowych;

15) informacje dotyczące sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe;

16) wytyczne dotyczące przeglądów i konserwacji systemu;

17) informacje o zabezpieczeniach systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;

18) informacje o odnotowywaniu informacji o odbiorcach danych, którym dane zostały udostępnione, a także o dacie i zakresie udostępnienia;

19) procedurę usuwania danych;

20) politykę czystego biurka i ekranu;

21) politykę korzystania z sieci Internet;

22) politykę korzystania z poczty elektronicznej.

Abstrahując od polityk ochrony danych osobowych, należy wskazać, że z przepisów RODO wynika również stosowanie innej dokumentacji przy przetwarzaniu danych osobowych, w szczególności rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania (art. 30 RODO), rejestru naruszeń ochrony danych osobowych (art. 33 ust. 5 RODO), raportów dokumentujących wyniki przeprowadzonych ocen skutków dla ochrony danych osobowych (art. 35 ust. 7 RODO).

11.5. Rejestr czynności przetwarzania

Każdy administrator powinien prowadzić rejestr czynności przetwarzania danych osobowych, za który odpowiada. Ze względu na to, że administrator ustala cele i sposoby przetwarzania danych, a także ponosi odpowiedzialność za przetwarzanie danych, ustawodawca unijny zobowiązał go do prowadzenia rejestru czynności przetwarzania. W rejestrze tym zamieszcza się wszystkie następujące informacje (patrz wzór 11):

1) imię i nazwisko lub nazwę oraz dane kontaktowe administratora i wszelkich współadministratorów, a także - gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;

2) cele przetwarzania;

3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich albo w organizacjach międzynarodowych;

5) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;

6) planowane terminy usunięcia poszczególnych kategorii danych - jeżeli jest to możliwe;

7) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO - jeżeli jest to możliwe.

Powyższe informacje nie stanowią katalogu zamkniętego. Katalog ten podaje minimalne informacje, jakie ma posiadać prowadzony rejestr. Rejestr powinien mieć formę pisemną, w tym formę elektroniczną. Administrator powinien ująć w rejestrze co najmniej procesy przetwarzania danych i każdy proces uzupełnić o podane informacje.

Obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych albo dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Wzór 11. Rejestr czynności przetwarzania⁴

11.6. Rejestr kategorii czynności przetwarzania

Każdy podmiot przetwarzający powinien prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Przypomnieć można, że podmiot przetwarzający dokonuje przetwarzania w imieniu administratora. W rejestrze kategorii czynności przetwarzania zamieszcza się następujące informacje:

1) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego albo podmiotów przetwarzających, a także każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

3) o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń - gdy ma to zastosowanie;

4) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO - jeżeli jest to możliwe.

Powyższe informacje stanowią minimalny zakres, jaki ma posiadać prowadzony rejestr. Rejestr powinien mieć formę pisemną, w tym formę elektroniczną.

Obowiązek prowadzenia rejestru kategorii czynności przetwarzania przez podmiot przetwarzający nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych (patrz wzór 12).

Wzór 12. Rejestr kategorii czynności przetwarzania⁵

11.7. Ochrona danych w fazie projektu i domyślna ochrona danych

Ogólne rozporządzenie o ochronie danych wprowadza obowiązek uwzględniania ochrony danych osobowych w fazie projektowania oraz ustawienia domyślnej ochrony danych. Zagadnienia te są następstwem realizacji zasad przetwarzania danych osobowych, jakie nakłada na administratora ogólne rozporządzenie o ochronie danych bliżej opisanych w rozdziale 6. Tytułem przypomnienia warto wskazać, że faza projektowania jest to ten moment, w którym administrator musi ustalić "plan działania na danych", tj. harmonogram działania z danymi, zanim jeszcze zacznie przetwarzać dane osobowe. Przykładem uwzględnienia tej zasady jest wstępna analiza, jakie dane osobowe są niezbędne do przetwarzania danych osobowych, jak pozyskiwać je zgodnie z prawem, jak prowadzić procesy wdrożeniowe zastosowania odpowiednich środków organizacyjnych i fizycznych, jakie zastosować systemy informatyczne, aby móc wykazać, że zastosowane mechanizmy ochrony są wystarczające. Przykładem tego jest dokonywanie przez podmiot wstępnej analizy ryzyka, o której dalej.

Przeprowadzając proces rekrutacji kandydatów na określone stanowisko, administrator musi uwzględnić m.in., jakie dane są mu niezbędne podczas tego procesu, czy dotychczas pozyskane dane mogą zostać ponownie wykorzystane, czy zakres zbieranych danych jest adekwatny do celu, jak długo przewiduje przechowywać dane, na jakiej podstawie i czy posiadana przez niego podstawa przetwarzania danych jest legalna.

Administrator, biorąc pod uwagę stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, takich jak choćby pseudonimizacja, minimalizacja danych, oraz nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

Administrator wdraża środki, które mają zapewnić poufność, integralność, dostępność i odporność systemów i usług przetwarzania, oraz środki pozwalające przywrócić dostępność danych osobowych w razie incydentu fizycznego lub technicznego.

PRZYKŁAD 33

Tworzenie kopii zapasowych jest przykładem środka pozwalającego przywrócić dostępność danych w razie ich utraty.

Obowiązek wdrożenia właściwych środków organizacyjnych i technicznych ma zapewnić, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Wdrożenie określonych środków bardzo często jest uzależnione od możliwości finansowych danej organizacji. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewnić mają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

UWAGA

Każdy administrator musi samodzielnie dokonać weryfikacji posiadanych zasobów.

W praktyce ochronę danych w fazie projektowania odzwierciedlają przeprowadzane przez administratorów audyty zgodności przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych. Na podstawie audytu posiadanych zasobów, dokonanej analizy ryzyka administrator ustala i przyjmuje określone wewnętrzne polityki (jak na przykład politykę czystego biurka, korzystania z urządzeń mobilnych, szyfrowania dysku), a także wdraża odpowiednie środki, które adekwatne do zagrożenia przyczynią się do jego zminimalizowania lub zupełnego wyeliminowania.

Zabezpieczenie danych osobowych pozostających w dyspozycji organizacji jest kolejnym krokiem w procesie zbudowania całościowego i zgodnego z prawem systemu ich ochrony. Przyjmuje się, że największym zagrożeniem dla bezpieczeństwa jakichkolwiek zasobów informacyjnych jest człowiek. Zatem wdrażanie jakichkolwiek procedur należy zacząć właśnie od niego. Procedury zaś powinny prowadzić do ograniczenia wystąpienia błędu ludzkiego lub minimalizacji jego skutków.

W tym zakresie zarówno OchrDanychU2018, jak i RODO wymagają od administratora danych, aby przed dopuszczeniem pracownika do przetwarzania danych nadał mu upoważnienie do przetwarzania danych (szerzej w rozdziale 11.3) oraz zobowiązał do zachowania poufności.

Choć RODO nie nakazuje wprost przeprowadzania szkoleń pracowników, zaznajomienie ich z podstawowymi zasadami obowiązującymi w obszarze danych osobowych może się przyczynić do zwiększenia ich bezpieczeństwa oraz poprawnego reagowania w przypadku powstania incydentu.

W zakresie zabezpieczeń fizycznych podstawowym środkiem bezpieczeństwa decydującym o skuteczności ochrony przetwarzanych danych osobowych przed dostępem do nich osób nieuprawnionych jest wyznaczenie miejsc podlegających obowiązkowemu nadzorowi. Chodzi tutaj zarówno o pomieszczenia biurowe, jak i techniczne, w których są przetwarzane dane osobowe. To miejsca w danej organizacji, w których wykonuje się bieżące operacje na danych osobowych, jak na przykład stanowiska pracy biurowej, ale także te miejsca, gdzie są przechowywane nośniki danych osobowych na przykład szafy dokumentacji papierowej, serwerownie. Obszary te powinny być objęte systemem kontroli dostępu.

Informatyzacja dotyka także procesów przetwarzania danych osobowych. Zatem i w tym obszarze przedsiębiorcy powinni podjąć określone działania w celu zabezpieczenia danych znajdujących się w infrastrukturze informatycznej. Dostęp do systemu informatycznego, w którym będzie istniała możliwość przetwarzania danych, musi zostać między innymi zabezpieczony procesem uwierzytelniania użytkownika.

Tabela 3. Przykładowy wykaz środków technicznych i organizacyjnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

11.8. Analiza ryzyka i zagrożeń

W obliczu nowych przepisów organizacje powinny przeprowadzać analizę skutków przetwarzania danych osobowych oraz uwzględniać je w fazie projektowania rozwiązań informatycznych.

Jeśli w wyniku analizy zostanie ujawnione, że zamierzone przetwarzanie danych powodowałoby wysokie ryzyko naruszenia, którego administrator nie może zminimalizować, konieczne będą obowiązkowe konsultacje z organem nadzorczym, którym jest Prezes UODO.

Czynności podejmowane w ramach szacowania ryzyka sprowadzają się do przeanalizowania adekwatności stosowanych przez administratorów zabezpieczeń do istniejących zagrożeń, zakresu przetwarzania danych, kategorii danych, które są przetwarzane, z uwzględnieniem specyfiki jednostki oraz jej warunków techniczno-organizacyjnych, w ramach których dochodzi do przetwarzania danych osobowych. Mają one przyczynić się do podejmowania decyzji w zakresie przeciwdziałania ryzyku, a także do świadomego zarządzania ryzykiem w jednostce, tj. do ograniczania, wyeliminowania, transferu lub akceptacji ryzyka.

To, co istotne, każdy podmiot musi samodzielnie ocenić ryzyko, jakie przetwarzanie danych osobowych niesie ze sobą dla praw i wolności osób, których te dane dotyczą. RODO już po raz kolejny nie narzuca, w jaki sposób dokonać szacowania ryzyka, ani nie wskazuje, które z zastosowanych sposobów są lepsze czy gorsze. To podmiot przetwarzający ma bowiem wykazać, że zastosowane przez niego rozwiązanie spełnia warunki i realnie wpływa na zabezpieczenie przetwarzanych danych. To podmiot przetwarzający ma ustalić, jakie są potencjalne zagrożenia związane z przetwarzaniem danych osobowych oraz jakie rozwiązania będą najbardziej odpowiednie dla danej organizacji.

Wymóg prowadzenia takiego procesu został wskazany w motywie 83 RODO:

§

W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki - takie jak szyfrowanie - minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

W kontekście analizowanego zagadnienia warto sprecyzować, czym jest ryzyko. Posiłkując się definicją ryzyka zaproponowaną przez IIA (The Institute of Internal Auditors) należy stwierdzić, że jest to "możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia".

Nieocenioną pomocą w celu identyfikacji ryzyka są motywy 75 i 76 preambuły RODO.

Tabela 4. Identyfikacja ryzyka na podstawie motywów 75 i 76 preambuły RODO

W praktyce proces analizy ryzyka pozwala na:

a) zidentyfikowanie zagrożeń, z którymi spotyka się lub spotkać się może organizacja,

b) zidentyfikowanie aktywów, które mogą zostać zagrożone,

c) określenie prawdopodobieństwa wystąpienia ryzyka,

d) ustalenie, gdzie w ramach przetwarzania danych osobowych należy wprowadzić działania zaradcze (postępowanie z ryzykiem).

Zagrożeniem są wszystkie niekorzystne czynniki mogące przyczynić się do wystąpienia incydentu mogącego mieć wpływ na dane osobowe, prowadząc do ich m.in. usunięcia, zmiany czy ujawnienia.

Przez aktywa należy rozumieć wszystkie te zasoby organizacji, które z punktu widzenia biznesowego, finansowego i każdego innego mają znaczenie dla prawidłowego działania danej organizacji. To każdy element, który ma dla organizacji wartość. Mogą to być zasoby kadrowe, informatyczne czy know-how.

Aktywami możemy uczynić także procesy, w ramach których dochodzi do przetwarzania danych, a wobec których istnienie zagrożenia i realne ryzyko jego ziszczenia będzie się wiązać ze stratą dla danej organizacji, np. proces zarządzania sprzedażą, proces komunikacji w social media, proces monitoringu wizyjnego, proces przyznawania benefitów pracownikom.

Przy określaniu ryzyka konieczna jest analiza wszystkich źródeł ryzyka - tych płynących zarówno z zewnątrz organizacji, jak i z wnętrza, związanych z samym jej funkcjonowaniem.

Przy określaniu prawdopodobieństwa wystąpienia negatywnego zdarzenia, inaczej też skutku, pomagają metody szacowania ryzyka oparte na podejściu jakościowym bądź ilościowym. W praktyce zaleca się stosowanie metod łączących oba ww. podejścia.

Przykładowe skutki zostały określone w motywie 85 preambuły RODO:

§

Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

Tabela 5. Przykładowa tabela analizy ryzyka

 

* I, D, P - integralność, dostępność i poufność

Zupełnie nowym mechanizmem zapewnienia adekwatnego poziomu bezpieczeństwa nałożonym przez RODO jest konieczność dokonywania przez administratora oceny skutków przetwarzania danych osobowych. Czynność ta jest obowiązkowa przy realizacji procesów, które mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Do oceny skutków zobowiązani są administratorzy, którzy w sposób zautomatyzowany, systematyczny i kompleksowy oceniają czynniki osobowe podmiotów danych podczas tworzenia spersonalizowanych ofert czy programów lojalnościowych lub dokonują profilowania, a także gdy na dużą skalę monitorują przestrzeń publiczną oraz przetwarzają szczególne kategorie danych lub danych o wyrokach skazujących i naruszeniach prawa (o czym mowa w art. 35 RODO).

Ogólne rozporządzenie o ochronie danych, pod groźbą grzywny w wysokości do 10 000 000 euro lub 2 całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, nakłada obowiązek konsultacji z organem nadzoru przed rozpoczęciem przetwarzania, gdy przeprowadzona ocena wykaże, że przetwarzanie powodowałoby wysokie ryzyko naruszenia praw i wolności osób fizycznych.

11.9. Inspektor ochrony danych osobowych

W przepisach ogólnego rozporządzenia o ochronie danych pojawia się nowy podmiot, którego zadaniem ma być stanie na straży przestrzegania przepisów o ochronie danych osobowych oraz wdrożenie w organizacji tych procedur, które w jak najpełniejszy sposób będą chronić dane osobowe.

Dotychczas podobną funkcję pełnił Administrator Bezpieczeństwa Informacji (ABI). Niemniej jednak poprzednio obowiązująca OchrDanychU nie nakładała ogólnego obowiązku posiadania ABI.

Podobnie dzieje się w przypadku inspektora, z różnicą w trzech poniżej wskazanych przypadkach, kiedy to powołanie inspektora jest obligatoryjne.

Grupa Robocza Artykułu 29 w swoich wytycznych dotyczących wyznaczenia inspektora ochrony danych osobowych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych przesłanek istnienia konieczności lub jej braku w powołaniu inspektora ochrony danych osobowych (IOD).

Obowiązek wyznaczenia IOD dotyczy zarówno administratora danych (współadministratora), jak i podmiotu przetwarzającego (procesora), w odniesieniu do podmiotów ze sfery publicznej oraz sektora prywatnego.

IOD powinien zostać wyznaczony przez administratora danych lub podmiot przetwarzający na podstawie kwalifikacji zawodowych. Posiadanie bowiem wiedzy z zakresu danych osobowych i praktyki w tym zakresie jest warunkiem należytego wypełniania zadań wskazanych w RODO, uwzględniających ryzyko związane z operacjami przetwarzania. Bo właśnie jednym z podstawowych zadań, jakie inspektor ma wykonywać, jest przeprowadzanie audytów jednostki pod kątem przestrzegania procedur ochrony danych osobowych.

Artykuł 37 ust. 6 RODO:

§

Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

Można zaobserwować, że przedsiębiorstwa korzystają z usług IOD w ramach outsourcingu.

Ze względu na wiele zadań, jakie musi wypełniać IOD, takie działanie należy uznać za właściwe. Wykonywanie tej funkcji przez pracownika organizacji, jednocześnie przy realizacji obowiązków na podstawowym stanowisku pracy, wydaje się dalece utrudnione, a na pewno niegwarantujące rzetelnego wykonywania zleconych ustawą działań, z uwagi na niedysponowanie odpowiednią ilością czasu na ich wykonywanie.

Ogólne rozporządzenie o ochronie danych w art. 37 ust. 1 RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.

PRZYKŁAD 34

Przetwarzanie na dużą skalę

Grupa Robocza Artykułu 29 wskazała następujące przykłady przetwarzania danych, będących główną działalnością podmiotu, dokonywanych na dużą skalę:

● przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności,

● przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich),

● przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych,

● przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,

● przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki,

● przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Ponadto inspektora będzie musiał wyznaczyć każdy podmiot publiczny.

Do zadań inspektora należy przede wszystkim:

a) informowanie podmiotów, które przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im;

b) monitorowanie przestrzegania przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków;

c) podejmowanie działań zwiększających świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

d) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;

e) współpraca z organem nadzorczym;

f) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

O wyborze IOD należy poinformować Prezesa UODO. Prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu jest zawiadomienie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP (art. 10 ust. 6 OchrDanychU2018).

Zawiadomienie należy przesłać, korzystając:

1) z usług znajdujących się na stronie portalu biznes.gov.pl dotyczących odpowiednich zawiadomień o wyznaczeniu IOD, tj.:

● zawiadomienie o wyznaczeniu nowego inspektora ochrony danych (ta usługa jest również właściwa dla podmiotów posiadających ABI przed 25 maja 2018 r.),

● zawiadomienie o odwołaniu dotychczasowego inspektora ochrony danych i wyznaczeniu nowego inspektora ochrony danych;

Skutecznie dostarczone do Prezesa UODO zawiadomienia są potwierdzane Urzędowym Poświadczeniem Przedłożenia (generowanym przez biznes.gov.pl w postaci pliku UPP.xml) oraz informacją potwierdzającą wysyłaną automatycznie na adres e-mail podany przy zakładaniu konta.

2) z platformy ePUAP, postępując zgodnie z instrukcją "Jak wysłać zawiadomienie o wyznaczeniu inspektora ochrony danych przez ePUAP2", którą można znaleźć pod linkiem https://www.uodo.gov.pl/pl/121/193 (zamieszczona w formie pliku). Skutecznie dostarczone do UODO zawiadomienia są potwierdzane Urzędowym Poświadczeniem Przedłożenia (generowanym przez epuap.gov.pl w postaci pliku UPP.xml).

Administrator lub podmiot przetwarzający w ciągu 14 dni od wyznaczenia IOD zawiadamia o tym Prezesa UODO (art. 10 ust. 1 OchrDanychU2018).

Powołanie IOD jest przejawem dążenia ustawodawstwa unijnego do zwiększania świadomości podmiotów przetwarzających w zakresie ochrony danych osobowych.

11.10. Certyfikacja i kodeksy postępowania

Administrator w celu potwierdzenia wywiązywania się z nałożonych na niego obowiązków określonych w RODO może wprowadzać mechanizmy certyfikacji w zakresie ochrony danych osobowych oraz stosować zatwierdzone kodeksy postępowania.

Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja Europejska zachęcają do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające.

Takie działanie stwarza przede wszystkim domniemanie, że podmioty przetwarzające dane odpowiednio wdrożyły procedury ochrony danych osobowych. Sam certyfikat ma pomóc zidentyfikować klientom podmioty, które są godne zaufania i rzetelnie dbają o udostępnione lub powierzone im dane osobowe.

Ponadto korzyścią z posiadania certyfikatu będzie jego wpływ na wysokość administracyjnej kary pieniężnej w sytuacji naruszenia przez administratora przepisów. Zgodnie bowiem z art. 83 RODO krajowy organ nadzorczy (tu: PUODO), decydując się na nałożenie kary pieniężnej, przy ustalaniu jej wysokości będzie musiał wziąć pod uwagę okoliczność, czy podmiot dopuszczający się naruszeń stosował zatwierdzone mechanizmy certyfikacji.

UWAGA

Jednostka posiadająca certyfikat będzie mogła liczyć na niższy wymiar nałożonej grzywny.

Proces certyfikacji jest dobrowolny i każdy podmiot przetwarzający dane ma możliwość wystąpienia o certyfikat.

Stosownie do treści art. 15 ust. 1 OchrDanychU2018 certyfikacji dokonuje Prezes Urzędu lub podmiot certyfikujący na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek. Kryteria certyfikacji Prezes Urzędu udostępnia na swojej stronie internetowej w Biuletynie Informacji Publicznej. Zgodnie zaś z art. 17 tejże ustawy wniosek o certyfikację powinien zawierać co najmniej:

a) nazwę podmiotu ubiegającego się o certyfikację albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania,

b) informacje potwierdzające spełnianie kryteriów certyfikacji,

c) wskazanie zakresu wnioskowanej certyfikacji.

Do wniosku podmiot ubiegający się o certyfikację obowiązany jest dołączyć dokumenty potwierdzające spełnianie kryteriów certyfikacji albo ich kopie oraz, w przypadku certyfikacji dokonywanej przez Prezesa Urzędu, dowód wniesienia opłaty.

Wniosek może być złożony pisemnie w postaci papierowej opatrzonej własnoręcznym podpisem albo w postaci elektronicznej opatrzonej kwalifikowanym podpisem elektronicznym. Wniosek składany do Prezesa Urzędu w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

Proces uzyskania certyfikatu musi być przeprowadzony w sposób jasny i przejrzysty.

Wniosek o certyfikację rozpatrywany jest w terminie nie dłuższym niż 3 miesiące od dnia złożenia wniosku po zbadaniu przez PUODO spełniania kryteriów certyfikacji, który następnie zawiadamia wnioskodawcę o dokonaniu albo odmowie dokonania certyfikacji.

W przypadku niespełniania przez podmiot ubiegający się o certyfikację kryteriów certyfikacji Prezes Urzędu albo podmiot certyfikujący odmawia jej dokonania w drodze decyzji.

Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat, z możliwością jej przedłużenia na tych samych warunkach, o ile nadal spełnione są stosowne kryteria. W przypadku gdy istnieje ryzyko naruszania przez podmiot przetwarzający danych osobowych, certyfikacja może zostać cofnięta.

Kodeksy postępowania można sprowadzić do unormowań uregulowanych w ustawie z 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym, gdzie można odnaleźć definicję Kodeksu dobrych praktyk. Przez Kodeks dobrych praktyk rozumie się zbiór zasad postępowania, w szczególności norm etycznych i zawodowych, przedsiębiorców, którzy zobowiązali się do ich przestrzegania w odniesieniu do jednej lub większej liczby praktyk rynkowych. W skrócie kodeksy te można określić jako branżowe, w których problematyka stosowania przepisów dotyczących ochrony danych została uregulowana z uwzględnieniem specyfiki poszczególnych sektorów, w których dochodzi do przetwarzania danych osobowych.

Podmioty przyjmujące kodeks otrzymują jasne i zrozumiałe wytyczne dotyczące procesów przetwarzania danych.

Szczegółowe warunki udzielania certyfikacji oraz procedury tworzenia kodeksów postępowania zostały określone w OchrDanychU2018.

12. Incydent naruszenia ochrony danych osobowych

Incydent naruszenia ochrony danych osobowych może oznaczać pojedyncze niespodziewane zdarzenie lub ich serię, które zagrażają bezpieczeństwu danych osobowych. Naruszenie bezpieczeństwa prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Incydenty mogą dotyczyć naruszenia systemu informatycznego, ale mogą też być związane na przykład z powodzią lub pożarem, w wyniku którego zostanie uszkodzona bądź zniszczona baza danych osobowych. Jednym z bardziej powszechnych incydentów jest na przykład zaadresowanie korespondencji elektronicznej na nieprawidłowy adres e-mail czy kradzież niezaszyfrowanego laptopa.

Zgodnie z przepisem art. 32 ust. 1 lit. c RODO w razie incydentu fizycznego lub technicznego administrator powinien wdrożyć środki techniczne i organizacyjne zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich. Środki wdrażane przez administratora powinny zatem między innymi zapewnić odzyskanie sprawności systemu i odzyskanie danych, w oparciu na przykład o wykonywanie kopii bezpieczeństwa (backup) w celu odtworzenia oryginalnej zawartości.

RODO przewiduje kroki, jakie administrator powinien podjąć w przypadku naruszenia ochrony danych osobowych.

Po pierwsze, administrator bez zbędnej zwłoki - w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu (w Polsce jest to Prezes UODO), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie powinno zawierać co najmniej:

1) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;

2) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

3) opis możliwych konsekwencji naruszenia ochrony danych osobowych;

4) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Po drugie, administrator jest zobowiązany udokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Zasadne i wymagane jest więc prowadzenie rejestru naruszeń.

Po trzecie, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki powinien zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie takie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w punktach 2-4 powyżej, odnośnie do zawiadomienia organu nadzorczego.

Zawiadomienie osoby, której dane dotyczą, nie jest wymagane, gdy:

● administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

● administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

● wymagałoby ono niewspółmiernie dużego wysiłku - w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

PRZYKŁAD 35

Z samochodu został skradziony laptop należący do przedstawiciela handlowego danej spółki. Laptop posiadał liczne dane dotyczące klientów spółki. Z uwagi na jego kradzież istnieje przede wszystkim potencjalne ryzyko naruszenia poufności danych czy dostępności do danych. Zawartość laptopa jednak została zaszyfrowana, a co więcej - może być odtworzona w oparciu o tworzone kopie zapasowe. Ponieważ w laptopie zastosowano szyfrowanie przy użyciu najnowocześniejszej technologii i dostępu do danych chroni silne hasło, istnieje bardzo małe prawdopodobieństwo nieuprawnionego ujawnienia danych. Z kolei z uwagi na posiadane kopie zapasowe dane klientów nie zostały utracone i tym samym nie wystąpi brak dostępu do nich. Należy zatem przyjąć, że ze względu na bardzo małe prawdopodobieństwo, by kradzież laptopa przedstawiciela handlowego skutkowała ryzykiem naruszenia praw lub wolności osób fizycznych, administrator nie ma obowiązku zawiadomienia o naruszeniu organu nadzorczego oraz osoby, której dane dotyczą. Niemniej jednak naruszenie takie powinno zostać odnotowane w prowadzonym przez administratora rejestrze naruszeń.

Wzór 13. Zawiadomienie organu nadzorczego

Wzór 14. Zawiadomienie osoby, której dane dotyczą

13. Transfer danych za granicę

Celem RODO jest zapewnienie spójnego stopnia ochrony osób fizycznych w Unii Europejskiej oraz zapobieganie rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym.

Jedną z zasad wynikających z RODO jest swoboda wymiany danych osobowych na terenie Unii Europejskiej. Mając to na uwadze, należy stwierdzić, że przepływ danych między dwoma podmiotami gospodarczymi mającymi siedzibę w Polsce będzie podlegał RODO tak samo, jak przepływ danych między podmiotem z siedzibą w Polsce a podmiotem z siedzibą w Niemczech. Jeżeli przepływ ten będzie dotyczył stosunku powierzenia przetwarzania danych osobowych, wówczas konieczne będzie zawarcie umowy powierzenia zgodnej z przepisami RODO.

Odmienna sytuacja ma miejsce, gdy przepływ danych ma nastąpić między podmiotem gospodarczym posiadającym siedzibę w Polsce a podmiotem z siedzibą poza Europejskim Obszarem Gospodarczym. Dane osobowe mogą być przekazywane do państwa trzeciego lub organizacji międzynarodowej na podstawie decyzji Komisji Europejskiej (decyzja Komisji wydawana jest w formie aktu wykonawczego i publikowana w Dzienniku Urzędowym Unii Europejskiej). Wydając decyzję, Komisja jednocześnie stwierdza, że państwo trzecie, terytorium lub określony sektor albo określone sektory w tym państwie trzecim bądź dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie danych nie wymaga wówczas specjalnego zezwolenia właściwego organu nadzorczego (art. 45 RODO).

W przypadku braku wskazanej decyzji Komisji Europejskiej dane osobowe mogą być przekazane do państwa trzeciego lub organizacji międzynarodowej na podstawie odpowiednich zabezpieczeń (art. 46 RODO).

Odpowiednie zabezpieczenia można zapewnić - bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego - za pomocą:

● prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi,

● wiążących reguł korporacyjnych zatwierdzonych przez organ nadzorczy,

● standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO,

● standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO,

● zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą,

● zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia można także zapewnić w szczególności za pomocą:

● klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym albo odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej,

● postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

W razie braku decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń określonych w art. 46 RODO, w tym wiążących reguł korporacyjnych, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie pod warunkiem (art. 49 RODO), że:

1) osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym - ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz brak odpowiednich zabezpieczeń - może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;

2) przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;

3) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;

4) przekazanie jest niezbędne ze względu na ważny interes publiczny;

5) przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

6) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody, lub

7) przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes - ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

W razie niezaistnienia powyższych przypadków przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy:

● nie jest powtarzalne,

● dotyczy tylko ograniczonej liczby osób, których dane dotyczą,

● jest niezbędne ze względu na ważne, prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą, a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.

Administrator informuje wówczas organ nadzorczy o przekazaniu. Wypełniając obowiązek informacyjny wobec osoby, której dane dotyczą, podaje także informacje o przekazaniu i o ważnych, prawnie uzasadnionych interesach realizowanych przez niego.

PRZYKŁAD 36

Przykładem podstawy legalizującej przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej jest decyzja Komisji Europejskiej z 12 lipca 2016 r. (Program Tarcza Prywatności UE-USA), która umożliwia przekazywanie danych do przedsiębiorstw zlokalizowanych w Stanach Zjednoczonych. Tarcza Prywatności dotyczy wszelkich danych osobowych przekazywanych z podmiotu w Unii Europejskiej do Stanów Zjednoczonych, pod warunkiem że przedsiębiorstwo w Stanach Zjednoczonych będące odbiorcą dokonało samocertyfikacji. Wykaz podmiotów uczestniczących w programie Tarcza Prywatności i tym samym posiadających certyfikat dostępny jest pod adresem: www.privacyshield.gov.

Do Programu Tarcza Prywatności UE-USA dobrowolnie przystąpiły między innymi takie podmioty jak: Facebook, Inc., Google LLC oraz Microsoft Corporation. Amerykańskie podmioty zobowiązały się zatem i wdrożyły zasady wynikające z RODO, zastosowały zabezpieczenia do przetwarzanych danych osobowych. W przypadku korzystania z usług amerykańskich spółek warto zwrócić uwagę na regulamin danej usługi, na przykład przeważnie darmowe wersje chmur są przeznaczona jedynie do celów prywatnych. Wyjaśnić można, że każda spółka, która przystąpiła do Programu Tarcza Prywatności UE-USA, może być kontrolowana pod względem przestrzegania RODO, a osoby, których dane dotyczą, będące obywatelami Unii Europejskiej mogą zgłaszać skargi do organów nadzorczych na terenie państw członkowskich. Dodać również należy, że jeżeli chodzi o usługi Microsoft, to, co do zasady, usługi dla użytkowników z Unii Europejskiej są świadczone przez irlandzką spółkę Microsoft Ireland Operations Ltd. i są przechowywane na terenie Unii Europejskiej, przede wszystkim w Irlandii, dlatego może okazać się, że przy korzystaniu z niektórych usług nie dochodzi do przekazania danych osobowych poza Unię Europejską.

Zasadą jest zatem przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych w oparciu o podstawę określoną w RODO przede wszystkim odnoszącą się do gwarancji odpowiedniej ochrony danych osobowych. Odstępstwa, takie jak zgoda podmiotu danych na transfer czy przekazanie ze względu na przysługujące roszczenia, będą mogły być stosowane wyjątkowo, po wyczerpaniu możliwości zapewnienia ochrony przez odpowiednie gwarancje.

14. Skarga do organu nadzorczego

Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego (w Polsce jest to PUODO), jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy RODO. Przypomnieć należy, że każdy administrator jest zobowiązany przekazać podmiotowi danych informacje o prawie do wniesienia skargi do organu nadzorczego w ramach realizacji tak zwanego obowiązku informacyjnego (art. 13 RODO).

W motywie 141 preambuły wyjaśniono, że każda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do jednego organu nadzorczego, w szczególności w państwie członkowskim, w którym ma miejsce zwykłego pobytu. Organ nadzorczy powinien w rozsądnym terminie poinformować taką osobę o postępach i wynikach rozpatrywania skargi.

Podkreślić należy, że w związku z wniesioną skargą, organ nadzorczy z uwagi na uzyskane informacje od osoby, której dane dotyczą, może podjąć dalsze działania, na przykład w postaci przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych przez dany podmiot.

Przedmiotem skargi mogą być naruszenia przepisów dotyczących między innymi: zasad przetwarzania danych, podstaw przetwarzania danych, wymogów dotyczących obowiązków informacyjnych, praw osób, których dane dotyczą.

Wzór 15. Skarga do organu nadzorczego

15. Kontrola przestrzegania przepisów o ochronie danych osobowych

Zgodnie z art. 78 OchrDanychU2018 kontrolę przestrzegania przepisów o ochronie danych osobowych przeprowadza PUODO. Zakres przedmiotowy kontroli jest szeroki i obejmuje monitorowanie przestrzegania przepisów RODO oraz innych przepisów unijnych lub krajowych dotyczących ochrony danych osobowych.

Kontrola może być planowa, czyli przeprowadzona zgodnie z zatwierdzonym przez PUODO planem kontroli, lub może być doraźna, czyli na podstawie uzyskanych przez PUODO informacji, na przykład w wyniku skargi złożonej przez osobę, której dane dotyczą.

Wyjaśnić należy, że upoważnionym przez PUODO do przeprowadzenia kontroli może być pracownik Urzędu Ochrony Danych Osobowych oraz członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej, w przypadku dokonywania wspólnych operacji nadzorczych, o których mowa w art. 62 RODO.

PUODO może upoważnić do udziału w kontroli osobę posiadającą wiedzę specjalistyczną, jeżeli przeprowadzenie czynności kontrolnych wymaga takiej wiedzy. Zakres uprawnień takiej osoby powinien być określony w upoważnieniu. Kontrolujący oraz osoby upoważnione do udziału w kontroli są zobowiązane do zachowania poufności.

UWAGA

Każdy kontrolowany podmiot powinien upewnić się, że kontrolujący zostali prawidłowo upoważnieni do przeprowadzenia kontroli.

Kontrola jest przeprowadzana po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku kontrolującego w ramach dokonywania wspólnych operacji nadzorczych - po okazaniu imiennego upoważnienia wraz z dokumentem tożsamości.

Imienne upoważnienie do przeprowadzenia kontroli powinno zawierać:

1) wskazanie podstawy prawnej przeprowadzenia kontroli;

2) oznaczenie organu;

3) imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, a w przypadku kontrolującego w ramach dokonywania wspólnych operacji nadzorczych - imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość;

4) określenie zakresu przedmiotowego kontroli;

5) oznaczenie kontrolowanego;

6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;

7) podpis PUODO;

8) pouczenie kontrolowanego o jego prawach i obowiązkach;

9) datę i miejsce jego wystawienia.

Zaznaczyć należy, że czynności kontrolne powinny być dokonywane w obecności kontrolowanego lub osoby przez niego upoważnionej.

Kontrolowany podmiot jest zobowiązany zapewnić kontrolującym warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządzać we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach informatyczny albo teleinformatycznych służących do przetwarzania danych osobowych.

Z kolei kontrolujący są uprawnieni w szczególności do:

1) wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń;

2) wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;

3) przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

4) żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

5) przesłuchania osób zatrudnionych przez kontrolowany podmiot w charakterze świadka;

6) zlecania sporządzania ekspertyz i opinii;

Z przebiegu kontroli sporządzany jest protokół. Powinien on zawierać:

1) wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;

2) imię i nazwisko osoby reprezentującej kontrolowanego oraz nazwę organu reprezentującego kontrolowanego;

3) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer imiennego upoważnienia kontrolującego, a w przypadku kontrolującego w ramach dokonywania wspólnych operacji nadzorczych - imię i nazwisko, numer dokumentu potwierdzającego tożsamość oraz numer imiennego upoważnienia;

4) datę rozpoczęcia i zakończenia czynności kontrolnych;

5) określenie zakresu przedmiotowego kontroli;

6) opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

7) wyszczególnienie załączników;

8) omówienie dokonanych w protokole kontroli poprawek, skreśleń i uzupełnień;

9) pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu kontroli oraz o prawie odmowy podpisania protokołu kontroli;

10) datę i miejsce podpisania protokołu kontroli przez kontrolującego i kontrolowanego.

Protokół kontroli podpisuje kontrolujący i przekazuje kontrolowanemu w celu podpisania. Protokół kontroli sporządza się w postaci elektronicznej albo w postaci papierowej w dwóch egzemplarzach. Protokół kontrolujący doręcza kontrolowanemu.

Kontrolowany podmiot w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu podpisuje go oraz składa pisemne zastrzeżenia do jego treści.

W przypadku złożenia zastrzeżeń kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli. W razie nieuwzględnienia zastrzeżeń w całości albo części kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem.

Kontrola może być prowadzona nie dłużej niż 30 dni od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej albo innego dokumentu potwierdzającego tożsamość. Do terminu nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego. Terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki, o odmowie podpisania protokołu.

Co ważne, jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym PUODO uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

Pierwsze kary za nieprawidłowości w obszarze danych osobowych odnotowano podczas kontroli przez Comissão Nacional de Protecção de Dados (Narodową Komisję Ochrony Danych), w skrócie CNPD - portugalski organ nadzorczy zajmujący się ochroną danych osobowych, oraz Österreichische Datenschutzbehörde (Austriacki Organ Ochrony Danych) , w skrócie DSB - austriacki organ nadzorczy zajmujący się ochroną danych.

W czerwcu podczas przeprowadzonej przez CNPD kontroli szpitala Barreiro-Montijo wykryto przede wszystkim istnienie nieuprawnionego dostępu do danych medycznych pacjentów. Kontrola wykazała istnienie 985 aktywnych kont z dostępem do danych medycznych, w sytuacji gdy w szpitalu zatrudnionych było 296 lekarzy. Szpitalowi zarzucono w szczególności nieodpowiednie procedury podjęte przy ich przechowywaniu i niewłaściwe przydzielanie dostępów. Szpital bowiem nie posiadał wewnętrznych mechanizmów dotyczących zasad tworzenia kont ani rozdzielenia dostępu do danych medycznych dla poszczególnych grup pracowników. Nie podjęto odpowiednich środków do zapewnienia trwałego usunięcia kont lekarzy, którzy zakończyli pracę w placówce.

CNPD zidentyfikowało i nałożyło karę w trzech obszarach na łączną kwotę 400 tysięcy euro:

a) naruszenie zasady integralności i poufności - kara w wysokości 150 tysięcy euro,

b) naruszenie zasady minimalizacji danych - kara w wysokości 150 tysięcy euro,

c) niezdolność administratora danych osobowych do zapewnienia poufności i integralności danych - kara w wysokości 100 tysięcy euro.

Wyrok ten CNPD argumentuje umyślnym działaniem administratora, który był zobowiązany do zapewnienia niezbędnych technicznych i organizacyjnych środków, kluczowych do identyfikacji i uwierzytelniania użytkowników, a także do zarządzania i rozgraniczania ich dostępu do profili informacyjnych.

Kara nałożona przez DSB dotyczyła przetwarzania danych osobowych w postaci wizerunku poprzez wykorzystywanie kamer przemysłowych CCTV wskutek niewłaściwego umiejscowienia monitoringu wizyjnego. Skutkowała to nagrywaniem dużej części chodnika przy siedzibie organizacji. Organ nadzorczy uznał ten fakt za niezgodny z RODO, ponieważ monitorowanie przestrzeni publicznych na dużą skalę jest niedozwolone. Dodatkowo obecność kamer nie została wystarczająco oznaczona, co powodowało, że obowiązki informacyjne nie spełniały zasady przejrzystości dla osób, których dane dotyczą.

Organ nadzorczy dostosował wysokość kary proporcjonalnie do rocznych dochodów osiąganych przez organizację. Wysokość kary wyniosła 4800 euro.

O możliwości narzucenia przez krajowy organ nadzorczy grzywien związanych z nieprzestrzeganiem ogólnego rozporządzenia o ochronie danych oraz o ich wysokości piszemy w rozdziale 17.

16. Odpowiedzialność odszkodowawcza

Zgodnie z art. 82 RODO administrator lub podmiot przetwarzający może ponieść odpowiedzialność odszkodowawczą wobec osoby, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO. Z motywu 146 wynika, że naruszenie przepisów RODO jest równoważne z naruszeniem aktów delegowanych i wykonawczych przyjętych na mocy RODO oraz prawa państwa członkowskiego doprecyzowującego RODO.

Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy RODO. Podmiot przetwarzający natomiast odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które przepisy RODO nakładają bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

UWAGA

Administrator lub podmiot przetwarzający mogą zostać zwolnieni z odpowiedzialności odszkodowawczej, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Aby mówić o odpowiedzialności odszkodowawczej administratora lub podmiotu przetwarzającego, konieczne jest zatem łączne spełnienie następujących przesłanek:

1) poniesienia przez osobę, której dane dotyczą, szkody majątkowej lub niemajątkowej;

2) naruszenia przez administratora lub podmiot przetwarzający przepisów RODO (zdarzenie wywołujące szkodę);

3) zaistnienia związku między szkodą a naruszeniem;

4) wystąpienia winy w naruszeniu.

Wyjaśnić należy, że jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator, jak i podmiot przetwarzający i odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę. Jeśli zatem dany administrator lub podmiot przetwarzający zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu i ponoszą odpowiedzialność solidarną, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

Przepisy OchrDanychU2018 uszczegóławiają regulację dotyczącą odpowiedzialności odszkodowawczej. Zgodnie z przepisem art. 92 wspomnianej ustawy w zakresie nieregulowanym przez przepisy RODO do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych stosuje się przepisy ustawy z 23 kwietnia 1964 r. - Kodeks cywilny.

Dodać warto, że w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych właściwy jest sąd okręgowy.

17. Sankcje

Zgodnie z art. 84 RODO państwa członkowskie przyjmują przepisy oraz inne sankcje za naruszenie przepisów ogólnego rozporządzenia o ochronie danych, a także podejmują środki niezbędne do ich wykonania. RODO wskazuje, że sankcje te muszą być skuteczne, proporcjonalne i odstraszające.

Osobie fizycznej, która sądzi, że przetwarzanie jej danych osobowych nastąpiło z naruszeniem przepisów RODO, przysługuje prawo do wniesienia skargi do odpowiedniego organu nadzorczego (PUODO).

Zależnie od okoliczności konkretnej sprawy organ może sięgnąć po kary finansowe. Ich wysokość jest ściśle uzależniona od tego, jakiego rodzaju obowiązki naruszył podmiot przetwarzający dane osobowe.

Poniższa tabela obrazuje wysokość kar finansowych za naruszenie przepisów o ochronie danych.

Tabela 6. Kary finansowe za naruszenie przepisów o ochronie danych

18. Kilka słów po wdrożeniu RODO - podsumowanie

Celem wejścia w życie ogólnego rozporządzenia o ochronie danych osobowych miało być zwiększenie bezpieczeństwa danych osobowych na szczeblu międzynarodowym, poprzez ujednolicenie porządków prawnych poszczególnych państw europejskich.

Zmiana, nazywana wówczas największą zmianą w prawie polskim, dla pewnych grup przedsiębiorców stanowiła duże wyzwanie. Obawy pojawiały się jednak nie tylko u tych, którzy nie przykładali zbyt dużej wagi do ochrony danych osobowych. Pozostali, pomimo posiadania obszernej dokumentacji (wymaganej już na podstawie wcześniej obowiązującej OchrDanychU) nie byli świadomi, jak zgodnie z prawem stosować wyartykułowane w dokumentacji mechanizmy podejmowania działań ochronnych.

Przykładów zdezorientowania, jak postępować z danymi, można by mnożyć. Pytań o to, czy dane firm zamieszczone na fakturach należy traktować jako dane osobowe, było wiele.

Choć Polskę wskazywano w czołówce państw europejskich, które jeszcze przed tą datą przestrzegały procedur ochrony danych osobowych, to i tak po 25 maja Internet zalała fala wyskakujących pop-upów z informacjami o administratorach wraz z zasadami przetwarzania danych osobowych.

Gdzieś w tym czasie zagubiła się racjonalność, o której była mowa na wstępie Poradnika. Racjonalność, która powinna towarzyszyć każdemu, bez względu na rolę, jaką pełni w systemie danych osobowych.

Często wytrychem do zmian operacyjnych w przedsiębiorstwach było właśnie RODO. Jeszcze częściej w przepisach rozporządzenia upatrywano rozwiązania na wszystko, traktując RODO jako jedyną słuszną podstawę do podejmowanych działań. Przykładem tego jest zaobserwowane przetwarzanie danych w procesie realizacji marketingu bezpośredniego. Zgoda osoby, której dane dotyczą, czy też uzasadniony interes administratora stawały się wyłączną podstawą do przesyłania niezamówionych informacji handlowych. A pamiętać należy, że każde działanie kwalifikowane jako marketing bezpośredni - zarówno własnych, jak i cudzych produktów lub usług, przy wykorzystaniu środków komunikacji elektronicznej takich jak między innymi: faks, telefon, komputer, komunikatory społecznościowe, wymaga uprzedniej, wyraźnej zgody odbiorcy na przekazywanie treści marketingowej poprzez zaakceptowany przez podmiot środek porozumiewania się na odległość. Zgoda dotyczy zarówno osób fizycznych, jak i przedsiębiorców.

Ponadto wysłanie informacji handlowej na adres ogólny typu biuro@[nazwafirmy].pl będzie stanowiło naruszenie na gruncie ustawy o świadczeniu usług drogą elektroniczną. Jednocześnie na gruncie RODO taki adres poczty elektronicznej nie będzie uznany za dane osobowe, albowiem ochroną na podstawie tej ustawy objęte będą wyłącznie adresy poczty elektronicznej wskazujące na konkretną osobę lub w powiązaniu z innymi danymi osobowymi, posiadanymi przez administratora danych.

W branżach HR do dnia dzisiejszego nie ma jednolitych zasad w obszarze zbierania danych osobowych od osób ubiegających się o pracę czy już zatrudnionych. Praktyka zbierania adresu e-mailowego kandydata do pracy stała się powszechna, podczas gdy przepisy krajowe wyłączają tą daną z katalogu danych możliwych do przetwarzania.

Praktyka pokazuje, że podmioty wdrażające wytyczne wynikające z rozporządzenia, posiłkując się wykwalifikowanymi podmiotami w zakresie ochrony danych, oczekują otrzymania gotowego produktu, złotego środka, którego posiadanie ma gwarantować przestrzeganie prawa.

Przygotowanie obszernej dokumentacji obejmującej różnego rodzaju polityki od czystego biurka, po zarządzanie systemami informatycznymi czy określenie procesów zachodzących w danej organizacji nie jest wystarczające do wypełnienia wymogów RODO. Konieczna jest zmiana postrzegania danych osobowych, jako elementu mającego wpływ na prawidłowe funkcjonowanie danej organizacji.

Istotne jest zatem podejmowanie działań mających na celu zwiększanie świadomości w zakresie istnienia danych już na etapie projektowania biznesu. Tworzenie dokumentacji, przeprowadzanie szkoleń wśród pracowników, wyznaczenie osób zapewniających przestrzeganie odpowiednich procedur jest kierunkiem, w którym powinny podążać wszystkie podmioty stykające się z danymi osobowymi.

RODO pozwoliło na uporządkowanie zachodzących procesów oraz wybranie optymalnych środków ochronnych, dając w tym zakresie administratorom dużo swobody. Jednakże w dobie społeczeństwa informacyjnego trzeba mieć świadomość, że o ile zapewnienie większego bezpieczeństwa danych osobowych od strony sprzętowej czy aplikacyjnej uzależnione jest od rozwoju teleinformatycznego, o tyle respektowanie europejskich oraz krajowych przepisów o ochronie danych raczej nie uchroni użytkowników Internetu przed wszechobecną inwigilacją. Przyczynia się jedynie do zintensyfikowania działań w zakresie informowania o sposobach śledzenia w sieci.

Również prawa przysługujące podmiotom, których dane dotyczą, nie są prawami absolutnymi, jak początkowo zakładano. Na chwilę obecną nie stworzono mechanizmu realizacji prawa do bycia zapomnianym. Nawet gdyby administratorzy podejmowali rozsądne działania, nie są w stanie wyeliminować z wszystkich serwisów danych, zgodnie z prośbą o ich wykasowanie. Pliki te są bowiem multiplikowane w kolejnych miejscach.

Zapewne respektowanie wytycznych przetwarzania danych osobowych przyczyniło się do uporządkowania procesów w niejednej organizacji, które można sprowadzić do 9 prostych kroków:

1. Zweryfikowania stanu faktycznego.

2. Inwentaryzacji procesów przetwarzania (wyszczególnienie procesów, w których dochodzi do przetwarzania danych osobowych, np.: rekrutacji, sprzedaży, przyznawania benefitów pracowniczych, komunikacji w social media, monitoringu wizyjnego).

3. Przeprowadzenia analizy ryzyka dla poszczególnych zasobów danych osobowych.

4. Wyboru właściwych środków organizacyjnych, technicznych i informatycznych.

5. Zalegalizowania przypadków powierzenia oraz udostępnienia danych osobowych.

6. Przygotowania procedur (w tym reakcji na naruszenia bezpieczeństwa danych osobowych) oraz niezbędnej dokumentacji.

7. Szkoleń pracowników, współpracowników, podmiotów współpracujących.

8. Ustalenia konieczności powołania inspektora ochrony danych osobowych.

9. Monitorowania zachodzących zmian.  

19. Odpowiedzi redakcji na pytania Czytelników

RODO, mimo że obowiązuje już pół roku, nadal wzbudza duże zainteresowanie, i to zarówno wśród firm, organów administracji publicznej, jak i samych osób, których dane dotyczą. Często jest tak, że przepisy nie dają wprost odpowiedzi na pewne pytania, jakie mogą pojawić się w trakcie przetwarzania danych. Dlatego wybraliśmy dla Państwa najciekawsze pytania od naszych Czytelników wraz z odpowiedziami na nie.

19.1. Czy pracodawca może ujawniać dane służbowe pracowników bez ich wcześniejszej zgody

Pracodawca umieścił na drzwiach służbowych pomieszczeń tabliczki z imionami i nazwiskami pracowników oraz zajmowanymi przez nich stanowiskami. Jednak zatrudnione przez niego osoby domagają się usunięcia tych danych. Powołują się przy tym na ogólne rozporządzenie o ochronie danych (RODO). Czy mają rację? Czy pracodawca ma prawo bez zgody pracowników umieścić ich dane przy drzwiach pomieszczeń?

Przepisy Kodeksu pracy uprawniają pracodawcę do samodzielnego określania, np. w regulaminie wewnętrznym, w jaki sposób zorganizować kontakty ze swoimi pracownikami, by przyjęte rozwiązanie sprzyjało jak najlepszej obsłudze klientów czy petentów i efektywnej pracy zatrudnionych. W takiej sytuacji warunkiem, który uprawnia pracodawcę do przetwarzania danych pracowników, jest przesłanka prawnie uzasadnionego interesu administratora.

Żeby przetwarzanie danych osobowych można było uznać za legalne, musi być spełniona przynajmniej jedna przesłanka uprawniająca administratora do przetwarzania danych określona w ogólnym rozporządzeniu o ochronie danych (RODO). Zgoda osoby, której dane są przetwarzane, nie jest jedyną podstawą uprawniającą do przetwarzania danych osobowych. Jedną z przesłanek jest również prawnie uzasadniony interes administratora.

Na taką właśnie podstawę może się powołać pracodawca w przedstawionej sytuacji.

Warto podkreślić, że RODO nie zmieniło w istotny sposób podstawowych zasad przetwarzania danych. W związku z tym wciąż aktualny pozostaje ugruntowany od dawna pogląd, zgodnie z którym takie informacje o pracowniku, jak jego imię i nazwisko, zajmowane stanowisko, służbowy adres e-mail czy służbowy numer telefonu, są danymi, które są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Ze względu na prawnie uzasadniony interes administratora dane te mogą być wykorzystywane przez pracodawcę także bez zgody osoby, której one dotyczą. A zatem mogą widnieć na drzwiach pomieszczeń czy zostać podane np. na stronie internetowej firmy. Trudno sobie nawet wyobrazić, jakie konsekwencje dla firmy miałoby uzależnienie sposobu zarządzania danymi służbowymi wyłącznie od woli jej pracowników.

Przykładowo do kwestii tej odnosił się Sąd Najwyższy w wyroku z 19 listopada 2003 r. (I PK 590/02, OSNP 2004/20/351), którym można zobrazować istotę uzasadnionego interesu administratora. W powołanym wyroku SN stwierdził, że:

SN

(...) najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi - z kontrahentami, klientami (...). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika (...). Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzonych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne.

Podkreślenia wymaga fakt, że Kodeks pracy uprawnia pracodawcę do określenia sposobu organizacji pracy w danej instytucji. Zwykle dokonuje się tego w regulaminach pracy lub układach zbiorowych pracy. W związku z tym pracodawca może z uwagi na swój prawnie uzasadniony interes zgodnie z własnymi potrzebami wprowadzić określony sposób identyfikacji pracownika w relacjach z podmiotami zewnętrznymi (identyfikatory, legitymacje służbowe, publikacja danych kontaktowych pracowników na stronie internetowej czy umieszczenie ich imion i nazwisk oraz zajmowanych stanowisk służbowych przy/na drzwiach wejściowych do pomieszczeń itp.), tak by przyjęte rozwiązanie sprzyjało jak najlepszej obsłudze klientów i efektywnej pracy zatrudnionych. Zatem jeżeli pracodawca uzna np., że najwłaściwszym rozwiązaniem jest informowanie interesantów, do którego pokoju czy okienka należy się zgłosić w celu załatwienia danej sprawy, to ma prawo je zastosować. Wówczas na drzwiach pokoi nie muszą widnieć dane pracowników, ale jeśli pracodawca uzna, że z uwagi na jego uzasadniony interes, jakim jest zapewnienie odpowiedniego sposobu kontaktu z pracownikami, niezbędne jest ich umieszczanie tam, to ma do tego prawo.

Pracodawcy muszą jednak pamiętać, że nawet jeśli na potrzeby zapewnienia kontaktów z pracownikami niezbędne jest wykorzystywanie, w tym upublicznianie, takich danych, jak: imię, nazwisko, służbowy adres e-mail czy numer telefonu służbowego, i nie jest potrzebna do tego ich zgoda, to istotne jest zachowanie wszystkich innych zasad przetwarzania danych, wynikających z RODO. Dlatego ważne jest np., aby pracodawca, udostępniając te dane czy to na tabliczkach na drzwiach, czy na stronie internetowej w zakładce "kontakt", stosował wynikające z RODO zasady m.in. rzetelności, ograniczenia celu, minimalizacji danych czy ograniczenia ich przechowywania. Muszą one dotyczyć zatem właściwej osoby i być ograniczone tylko do realizacji prawnie uzasadnionych celów. Co się zaś tyczy zasady ograniczenia przechowywania, to stosując się do niej, należy pamiętać, że nie ma potrzeby, by dane pracownika widniały na tabliczkach, gdy ustanie jego zatrudnienie. Właściwa ochrona danych będzie w tym przypadku polegała na usunięciu nieaktualnych danych i wprowadzeniu w ich miejsce nowych, odpowiadających dokonywanym w firmie zmianom personalnym.

Gdyby pracodawca nie zastosował się do tych zasad, były pracownik, powołując się na przysługujące mu na mocy RODO prawa, mógłby wystąpić np. z wnioskiem o prawo do bycia zapomnianym albo chociażby z wnioskiem o ograniczenie przetwarzania danych osobowych.

19.2. Czy jest obowiązek podania danych osobowych przy wpłacie opłaty skarbowej

Urząd gminy pobiera opłatę skarbową. Czy w świetle przepisów o ochronie danych osobowych (RODO) wpłacający mają prawo odmówić podania swoich danych? Czy kasowy dowód wpłaty może nie zawierać danych osoby wpłacającej (imienia i nazwiska)?

Osoba, która jest zobowiązana do uiszczenia opłaty skarbowej, musi podać swoje dane osobowe. Żaden przepis obowiązującego w Polsce prawa nie daje jej możliwości odmowy podania danych osoby zobowiązanej do zapłaty tego quasi-podatku.

W przedstawionym przypadku zgoda na przetwarzanie danych nie jest potrzebna. Jak wynika z art. 6 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:

1) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

5) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

6) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W analizowanej sytuacji mamy do czynienia z przetwarzaniem danych osobowych w celu realizacji interesu publicznego przez władzę publiczną. Brak zgody na podanie danych osobowych oznacza w tym przypadku brak możliwości realizacji obowiązku urzędu gminy wobec swoich mieszkańców w zakresie indywidualnych spraw poprzez wydawanie zaświadczeń, zezwoleń. Rozstrzygnięcia indywidualne dotyczące mieszkańca gminy (w tym także osoby fizycznej) podlegają opłacie skarbowej na podstawie art. 1 ustawy z 16 listopada 2006 r. o opłacie skarbowej, zgodnie z którym opłacie skarbowej podlega:

1) w sprawach indywidualnych z zakresu administracji publicznej:

a) dokonanie czynności urzędowej na podstawie zgłoszenia lub na wniosek,

b) wydanie zaświadczenia na wniosek,

c) wydanie zezwolenia (pozwolenia, koncesji);

2) złożenie dokumentu stwierdzającego udzielenie pełnomocnictwa lub prokury albo jego odpisu, wypisu lub kopii - w sprawie z zakresu administracji publicznej lub w postępowaniu sądowym.

UWAGA

W przypadku podania danych osobowych przy wpłacie należnej opłaty skarbowej mamy do czynienia z przetwarzaniem danych osobowych w celu realizacji interesu publicznego przez władzę publiczną.

Opłacie skarbowej podlega również dokonanie czynności urzędowej, wydanie zaświadczenia oraz zezwolenia (pozwolenia) przez podmiot inny niż organ administracji rządowej i samorządowej, w związku z wykonywaniem zadań z zakresu administracji publicznej, a także złożenie w takim podmiocie dokumentu stwierdzającego udzielenie pełnomocnictwa lub prokury albo jego odpisu, wypisu lub kopii.

Trzeba pamiętać, że obowiązek zapłaty opłaty skarbowej ciąży na osobach fizycznych, osobach prawnych i jednostkach organizacyjnych niemających osobowości prawnej, jeżeli wskutek dokonanego przez nie zgłoszenia lub na ich wniosek dokonuje się czynności urzędowej, albo jeżeli na ich wniosek wydaje się zaświadczenie lub zezwolenie (pozwolenie, koncesję). Obowiązek ten ciąży solidarnie na wszystkich wskazanych osobach lub jednostkach, jeżeli w wyniku złożonego wspólnie zgłoszenia lub na ich wspólny wniosek dokonuje się czynności urzędowej lub na ich wspólny wniosek wydaje się zaświadczenie lub zezwolenie. Brak informacji o tym, kto wpłaca opłatę skarbową, uniemożliwia realizację podstawowych obowiązków organów gminy - osoba przyjmująca wpłatę w kasie urzędu nie musi przecież znać wszystkich petentów. Zatajenie danych osoby wpłacającej może także skutkować poinformowaniem przez urząd gminy urzędu skarbowego właściwego dla osoby, której wydano zaświadczenie (pozwolenie) o otrzymaniu przez tę osobę świadczenia pieniężnego nieodpłatnego w wysokości wniesionej opłaty skarbowej.

19.3. Czy główny księgowy może być inspektorem ochrony danych osobowych?

Jestem główną księgową w spółce. Po wejściu w życie RODO zaproponowano mi, bym została inspektorem danych osobowym. Czy jest to możliwe?

Nie, główny księgowy nie może być inspektorem ochrony danych osobowych. Główny księgowy prowadzi rachunkowość jednostki i jest to jego podstawowe zadanie. Natomiast zgodnie z przepisami RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych (art. 37 ust. 5), a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia następujących zadań:

● informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów UE lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,

● monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów UE lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,

● udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35,

● współpraca z organem nadzorczym,

● pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Takich kwalifikacji główni księgowi raczej nie mają, nawet jeśli by takie mieli, to zgodnie z art. 38 RODO administrator zapewnia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. A to "kłóci się" z podstawowymi obowiązkami głównych księgowych. W ust. 3 ww. artykułu wskazano, że administrator zapewnia, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań - zgodnie z prawem UE lub prawem państwa członkowskiego. I to, co najważniejsze zgodnie z ust. 6 powyższego artykułu - inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Łączenie stanowiska głównego księgowego z funkcją inspektora byłoby ewidentnym źródłem konfliktu interesów, ponieważ inspektor ma monitorować i szkolić m.in. głównego księgowego, który ponadto musi zachować pewnego rodzaju autonomię działań ze względu na status prawny inspektora. Z przywołanego przepisu wynika ponadto, że do podstawowych zadań inspektora należy ich wypełnianie zgodnie z RODO, a dodatkowo można mu powierzyć inne zadania i obowiązki. Główny księgowy nie może wykonywać w pierwszej kolejności zadań inspektora, ponieważ jego podstawowym zadaniem jest prowadzenie rachunkowości jednostki.

19.4. Czy pracownik musi wyrazić zgodę na przetwarzanie swoich danych osobowych z zaświadczenia o zarobkach

Nasi pracownicy często wnioskują o wystawienie im zaświadczeń o zatrudnieniu i zarobkach. Czy od dnia obowiązywania RODO pracownicy powinni wyrażać dodatkowe zgody na przetwarzanie swoich danych zawartych w tych zaświadczeniach?

Nie. Wydawanie pracownikom na ich prośbę zaświadczeń o zatrudnieniu lub zarobkach nie wymaga uzyskiwania od nich dodatkowej zgody na przetwarzanie danych zawartych w tych dokumentach.

Od 25 maja 2018 r. obowiązuje RODO. Przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - jest spełniony co najmniej jeden z warunków wskazanych w art. 6 i art. 9 RODO w odniesieniu do szczególnych kategorii danych osobowych, takich jak np. pochodzenie rasowe, poglądy polityczne czy przekonania religijne.

Przetwarzanie danych osobowych uznaje się za dokonywane w zgodzie z prawem m.in. wtedy, gdy:

● jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. pracodawcy) lub

● osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie w jednym lub większej liczbie określonych celów (art. 6 ust. 1 RODO).

Należy przy tym zauważyć, że wymóg wydania przez pracodawcę zaświadczenia o zatrudnieniu lub wynagrodzeniu:

● wynika niekiedy z powszechnie obowiązujących przepisów prawa (np. z art. 125a ust. 3 ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, który obliguje pracodawców do wystawiania zaświadczeń dla celów emerytalno-rentowych, np. ZUS Rp-7),

● w przypadku braku odpowiedniego (konkretnego) przepisu (np. w odniesieniu do zaświadczeń o zarobkach wystawianych w celu przedłożenia w instytucji finansowej, np. w banku) należy uzasadnić obowiązkiem pracodawcy dbałości o dobro pracownika wynikającej z zasad współżycia społecznego. Uzasadnienie tego poglądu można odnaleźć m.in. w postanowieniu Sądu Najwyższego z 16 września 1999 r. (I PKN 331/99, OSNP 2001/9/314), w którym przypomniano, że pracodawca jest zobowiązany szanować godność i inne dobra osobiste pracownika (art. 111 Kodeksu pracy) oraz wpływać na kształtowanie w zakładzie pracy zasad współżycia społecznego (art. 94 pkt 10 Kodeksu pracy).

Zatem przygotowanie zaświadczeń o zatrudnieniu lub zarobkach jest jednym z obowiązków pracodawcy mających swoje źródło w przepisach prawa pracy. Należy uznać, że wystawianie pracownikom takich zaświadczeń na ich prośbę nie wymaga wyrażania przez nich dodatkowych zgód na przetwarzanie danych wykazywanych w tych dokumentach.

Warto zaznaczyć, że w rozumieniu RODO "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Tak szeroka definicja przetwarzania danych osobowych oznacza w praktyce, że pracodawca jako administrator danych powinien upoważnić do ww. przetwarzania wszystkie osoby, które mają dostęp do przedmiotowych danych. Dotyczy to głównie osób zajmujących się u pracodawcy sprawami kadrowo-płacowymi (w tym wystawianiem zaświadczeń o zatrudnieniu lub zarobkach). Do celów dowodowych wskazane upoważnienie powinno zostać udzielone na piśmie.

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora (bądź podmiotu przetwarzającego) i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii Europejskiej lub prawo państwa członkowskiego (art. 29 RODO).

Przed 25 maja 2018 r. podstawą prawną do udzielania upoważnień do przetwarzania danych osobowych był art. 37 ustawy o ochronie danych osobowych. Wobec tego zasadne jest pytanie, czy należy sporządzać nowe upoważnienia do przetwarzania danych osobowych. Trzeba przyjąć, że jeżeli w treści poprzednio wydanego upoważnienia jako podstawę jego udzielenia podano art. 37 ww. ustawy, takie upoważnienie należy zaktualizować.

PRZYKŁAD 37

Pracownik zwrócił się 5 listopada 2018 r. do działu kadr zatrudniającej go spółki z prośbą o wystawienie zaświadczenia o zatrudnieniu i zarobkach w celu przedstawienia w banku. Dokument ten został mu wydany 2 dni później, a przygotował go specjalista ds. kadrowo-płacowych na podstawie imiennego upoważnienia do przetwarzania danych osobowych podpisanego przez prezesa zarządu. W tej sytuacji pracownik, dla którego sporządzono wspomniane zaświadczenie, nie musiał wyrażać żadnej dodatkowej zgody na przetwarzanie swoich danych zawartych w tym zaświadczeniu.

Problemem, który może się pojawić przy wystawianiu dla pracowników zaświadczeń o zatrudnieniu lub wynagrodzeniu, jest wymagane najczęściej przez banki dodatkowe telefoniczne potwierdzenie jego treści. Za zgodą pracownika wyrażoną dla celów dowodowych na piśmie pracodawca może potwierdzić jego zatrudnienie lub wynagrodzenie oraz pozostałe dane wskazane w zaświadczeniu. Należy jednak mieć na uwadze, że osoba udzielająca informacji w zakresie danych osobowych np. pracownika musi potwierdzić tożsamość swojego rozmówcy, aby z całą pewnością móc stwierdzić, że osoba telefonująca do niej w celu zweryfikowania danych jest rzeczywiście przedstawicielem określonej instytucji, w imieniu której posiada upoważnienie do uzyskania podanych informacji (stanowisko ówczesnego GIODO, które zachowuje aktualność po wejściu w życie RODO dostępne na www.giodo.gov.pl).

GIODO przytoczył ponadto pismo Narodowego Banku Polskiego do Generalnego Inspektora Nadzoru Bankowego (obecnie Komisja Nadzoru Finansowego) z 6 kwietnia 2001 r. (NB/BPN/I/214/01) adresowane do osób kierujących bankami, w którym zawarto stwierdzenie, że "przepisy ustawy - Prawo bankowe i ustawy o ochronie danych osobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji. Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tej formie".

Zatem jeżeli pracodawca ma wątpliwości dotyczące osoby, z którą rozmawia, może bez żadnych konsekwencji odmówić potwierdzenia danych z wystawionego dla pracownika zaświadczenia. Jednocześnie pracodawca nie ponosi odpowiedzialności, np. odszkodowawczej, z tytułu nieprzyznania pracownikowi kredytu czy pożyczki, w przypadku gdy warunkiem ich przyznania było telefoniczne potwierdzenie danych z zaświadczenia.

AUTORZY ROZDZIAŁÓW 1-18:

Kamila Kozera

Radca prawny w Kancelarii Prawnej ANSWER Ostafi i Partnerzy. Absolwentka Wydziału Prawa na Uniwersytecie im. Adama Mickiewicza w Poznaniu. Specjalizuje się w prawie gospodarczym, prawie spółek handlowych oraz prawie cywilnym. Prowadzi bieżącą obsługę korporacyjną spółek, w tym przeprowadza procedury przekształceń własnościowych, połączeń, podziałów i akwizycji przedsiębiorstw oraz postępowania w zakresie nieuczciwej konkurencji. Doradza podmiotom działającym w branży internetowej, ze szczególnym naciskiem na ochronę praw własności przemysłowej (znaki towarowe, prawo autorskie, domeny internetowe), problematykę konsumencką, ochronę danych osobowych oraz odpowiedzialność podmiotów prowadzących handel elektroniczny.

Katarzyna Pośpiech-Białas

Radca prawny w Kancelarii Prawnej ANSWER Ostafi i Partnerzy. Absolwentka Wydziału Prawa i Administracji oraz Dziennikarstwa i Komunikacji Społecznej Uniwersytetu Łódzkiego, a także studium Prawnej Obsługi Przedsiębiorców. Specjalizuje się w prawie gospodarczym i cywilnym, z uwzględnieniem problematyki ochrony danych osobowych, dóbr osobistych oraz e-commerce. Świadczy pomoc prawną na rzecz podmiotów działających w branży internetowej. Reprezentuje klientów w procesach sądowych, a także w toku zawierania kontraktów handlowych oraz negocjacji biznesowych.

Piotr Ostafi

Adwokat. Absolwent Wydziału Prawa na Uniwersytecie im. Adama Mickiewicza w Poznaniu, partner w Kancelarii Prawnej ANSWER Ostafi i Partnerzy. Specjalista w zakresie procedur sądowych. Sędzia Sądu Arbitrażowego przy Wielkopolskiej Izbie Budownictwa w Poznaniu. Aktywnie działający na rzecz zwiększania świadomości prawnej i korzystania z praw podmiotowych. Jego talenty oratorskie wykorzystali producenci serialu dokumentalno-fabularnego "Sąd Rodzinny" emitowanego w TVN, zwiększającego świadomość prawną poprzez przybliżenie problematyki sporów sądowych, w którym występował jako adwokat. Jako wyzwanie traktuje wszelkie spory sądowe, które jednak traktuje jako ostateczność, kładąc nacisk na efektywne prowadzenia negocjacji oraz rozwiązania arbitrażowe.

Bartosz Wojciechowski

Radca prawny. Absolwent Wydziału Prawa na Uniwersytecie im. Adama Mickiewicza w Poznaniu, partner w Kancelarii Prawnej ANSWER Ostafi i Partnerzy. Jego pasją jest łączenie prawa i nowoczesnych technologii. Przez ponad 10 lat działał jako Dyrektor Działu Prawnego Grupy Allegro, budował dział prawny Allegro w Polsce i w krajach Europy Środkowo-Wschodniej. Wpływał na kształtowanie polityki prawnej popularnych serwisów internetowych, m.in. Allegro, Otomoto, Otodom, Ceneo, Citeam, BuyVip/Markafoni, Agito, Tablica/OLX, Stendi, CoKupic, Oferia. Założyciel i CLO Autenti sp. z o.o., General Counsel Grupy Apart.

W rozdziale 19 wykorzystano materiały opublikowane w Grupie Wydawniczej Infor PL S.A.

PODSTAWA PRAWNA

● art. 3-7, 9-10, 12-18, 20-22, 24-26, 28-37, 45-46, 49, 62, 82, 84 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, unijne rozporządzenie o ochronie danych) - Dz.Urz. UE L Nr 119, str. 1

● art. 8-11, 78-90 i 92 ustawy z 10 maja 2018 r. o ochronie danych osobowych - Dz.U. poz. 1000; ost.zm. Dz.U. z 2018 r. poz. 1669

● art. 22¹, 22² i 22³ ustawy z 26 czerwca 1974 r. - Kodeks pracy - j.t. Dz.U. z 2018 r. poz. 917; ost.zm. Dz.U. z 2018 r. poz. 1629

● art. 63 ustawy z 14 czerwca 1960 r. - Kodeks postępowania administracyjnego - j.t. Dz.U. z 2017 r. poz. 1257; ost.zm. Dz.U. z 2018 r. poz. 1629

● art. 173 ustawy z 16 lipca 2004 r. - Prawo telekomunikacyjne - j.t. Dz.U. z 2018 r. poz. 1954

● art. 2 pkt 5 ustawy z 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym - j.t. Dz.U. z 2017 r. poz. 2070

● § 3-8 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - Dz.U. Nr 100, poz. 1024

● Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej, ePrivacy Regulation) (projekt)

● Monitorowanie sieci a ochrona prywatności (Working Paper on Web Tracking and Privacy: Respect for context, transparency and control remains essential 53 rd meeting, 15-16 April 2013, Prague (Czech Republic) (Dokument roboczy)

● Opinie Grupy Roboczej Artykułu 29:

● Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679

● Opinia 1/2010 w sprawie pojęć "administrator danych" i "przetwarzający", przyjęta 10 lutego 2010 r., WP 169

● Opinia 4/2007 w sprawie pojęcia danych osobowych

● Opinia 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE

● Opinia 2/2017 w sprawie przetwarzania danych w pracy

● Wytyczne dotyczące zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania na potrzeby rozporządzenia (UE) 2016679 (WP 251)

● Opinia nr 04/2012 w sprawie wyłączenia zapisywania plików cookie spod zasady pozyskiwania zgody

● Opinia 2/2009 w sprawie ochrony danych osobowych dzieci (Ogólne wytyczne i szczególny przypadek szkół)

● Dyrektywa Parlamentu Europejskiego i Rady z 9 września 2015 r. ustanawiająca procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego

¹ RODO jest aktem bardzo obszernym, zawiera bowiem 173 motywy oraz 99 artykułów. Dla prawidłowej wykładni RODO artykuły powinny być czytane łącznie z odpowiednimi motywami.

² Grupa Robocza została powołana na mocy art. 29 dyrektywy 95/46/WE. Jest niezależnym europejskim organem doradczym w zakresie ochrony danych i prywatności. Zadania Grupy określa art. 30 dyrektywy 95/46/WE i art. 15 dyrektywy 2002/58/WE.

³ Chodzi tu o przepisy krajowe, na podstawie których administrator wypełnia obowiązek prawny wymagający przetwarzania danych osobowych, np. obowiązki wynikające z przepisów rachunkowo-podatkowych czy przepisów prawa pracy (prowadzenie akt pracownika). Konkretny przepis prawa określa niezbędny zakres przetwarzania.

⁴ Źródło: www.uodo.gov.pl

⁵ Źródło: www.uodo.gov.pl