RODO dla samorządu i administracji

Rozdział I. Kluczowe zmiany wprowadzane przez RODO

1. Jednolite zasady ochrony danych w całej UE

Od 25 maja 2018 r. mają zastosowanie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO lub Rozporządzenie).

Przepisy RODO stają się spójnym narzędziem do stosowania we wszystkich państwach członkowskich. Oznacza to, że tym jednym aktem zostanie zastąpionych 28 porządków prawnych w zakresie ochrony danych osobowych, obowiązujących w całej Unii Europejskiej. W efekcie wszystkie podmioty przetwarzające dane w każdym z państw członkowskich mają obowiązek stosowania tych samych zasad.

Zgodnie z motywem 10 preambuły RODO, aby zapewnić wysoki i spójny poziom ochrony osób fizycznych, a także by usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.

Przyjęcie w Polsce RODO to zaledwie początek zmian w przepisach. Dzisiaj zasady przetwarzania danych osobowych uregulowane są w kilkuset aktach prawnych - nie tylko w ustawie o ochronie danych osobowych. Wszystkie te przepisy w najbliższym czasie muszą zostać dostosowane do postanowień RODO.

RODO wymusza też uchwalenie wielu nowych aktów prawnych. Warto śledzić wszystkie te zmiany, aby wiedzieć, jak się do nich przygotować i jak je prawidłowo wdrożyć w jednostce. Należy też analizować sukcesywnie pojawiające się interpretacje i objaśnienia dotyczące RODO - np. opinie i wytyczne przygotowane przez Grupę Robocza? Art. 29 czy też przez Europejską Radę Ochrony Danych, która docelowo ma zastąpić Grupę Roboczą.

WAŻNE!

Do 25 maja 2018 r. wszystkie instytucje administracji publicznej powinny przestrzegać obecnie obowiązujących przepisów o ochronie danych osobowych.

2. Silniejsze egzekwowanie zasad bezpieczeństwa

Za niestosowanie lub naruszenie zasad przewidzianych w RODO instytucje będą karane bardzo wysokimi grzywnami. W przypadku urzędów i instytucji publicznych mogą one wynosić nawet do 20 mln euro. W przypadku przedsiębiorstwa komunalnego - nawet do 4 jego tzw. całkowitego światowego obrotu z poprzedniego roku. Niższe kary - do 10 mln euro lub do 2 jego światowego obrotu - przewidziane są w sprawach mniejszej wagi.

Przykład

Przykłady zaniedbań podlegających grzywnie:

● administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw osób, których dane dotyczą,

● administrator nie uwzględnił ochrony danych w fazie projektowania (na etapie projektowania systemu informatycznego),

● administrator nie zgłosił incydentu w ciągu 72 h po stwierdzeniu naruszenia organowi nadzorczemu, a incydent ten skutkował naruszeniem praw lub wolności osób fizycznych.

Organ nadzorczy może uwzględniać wszelkie okoliczności obciążające lub łagodzące. Jeśli działanie było celowe, nie zdarzyło się pierwszy raz, a winny nie będzie chciał z GIODO współpracować - można zakładać wyższe kary. Trzeba pamiętać, że "jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekroczy wysokości kary za najpoważniejsze naruszenie" (art. 83 ust. 3 RODO).

Do tej pory w przypadku naruszenia bezpieczeństwa danych winowajca miał czas na uszczelnienie luk w ich ochronie. Przekroczenie wyznaczonego terminu lub niedopełnienie wymogów prawnych skutkowało natomiast karą administracyjną. Po wejściu w życie RODO kara administracyjna będzie mogła być wymierzana z automatu - bez możliwości odwołania się.

W projekcie nowej ustawy o ochronie danych osobowych ustawodawca ograniczył krąg podmiotów publicznych, wobec których możliwe jest nakładanie administracyjnych kar pieniężnych za naruszenia przepisów o ochronie danych osobowych. A tam, gdzie one pozostały, maksymalna granica możliwej do nałożenia kary wynosi 100 tys. zł. Co ciekawe - w projekcie ustawy pojawiają się kary dla niesolidnych świadków i biegłych. Niestawienie się bez podania przyczyny lub odmówienie zeznania może prowadzić do grzywny do 500 zł.

Zgodnie z przepisami RODO: "państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania".

RADA

Instytucje publiczne muszą zastanowić się nad zwiększeniem budżetów na zabezpieczenie informacji. W szczególności na rozwiązania informatyczne, takie jak m.in.:

● systemy monitorowania zdarzeń w systemach informatycznych (SIEM - Security Information and Event Management),

● systemy zapobiegania wyciekom informacji (tzw. DLP - Data Lost Prevention),

● rozwiązania wykrywające i blokujące ataki sieciowe (IDS/IPS - Intrusion Detection/Prevention Systems),

● mechanizmy wspierające zarządzanie dostępami do informacji (IdM - Identity Management).

W większych instytucjach konieczne może okazać się rozbudowanie zespołów bezpieczeństwa informacji i zarządzania incydentami. Szczególnie w świetle obowiązku prowadzenia rejestru incydentów oraz raportowania tych poważniejszych do organu nadzorczego (UODO). Konieczne będzie wdrożenie i przetestowanie procedur postępowania w sytuacjach kryzysowych (np. w przypadku wycieku danych). Jest to o tyle ważne, że przy ustalaniu wysokości kary organ nadzorczy będzie brał pod uwagę wiele czynników - m.in. sposób, w jaki dane były zabezpieczone na poziomie technicznym lub organizacyjnym oraz jakie działania podjęte zostały, aby zminimalizować szkody.

W uzasadnieniu do projektu ustawy o ochronie danych osobowych podkreślano, że ogromne znaczenie organ nadzorczy powinien przywiązywać do zebrania w toku postępowania dowodów przemawiających nie tylko za wymierzeniem administracyjnej kary pieniężnej, ale również wymierzeniem kary o takiej, a nie innej wysokości. Wydane rozstrzygnięcia mają też być wyczerpująco uzasadniane. Na tej podstawie powstanie z pewnością istotna baza wiedzy dla wszystkich zainteresowanych.

3. Jasny i zrozumiały język

Tekst rozporządzenia RODO napisany jest bardzo przystępnym językiem. W preambule, stanowiącej wstęp, wyjaśnione zostały ogólne założenia i powody zmiany przepisów. Zawarta jest tam także częściowa ich interpretacja.

Preambuła RODO składa się ze 173 motywów. Stanowi swego rodzaju "wprowadzenie" do tego aktu prawnego. Znajomość preambuły pozwala zrozumieć sens i cel stosowania wielu wymagań. Dlatego też nie należy stosować przepisów RODO, nie zapoznawszy się wcześniej z tekstem preambuły. Po preambule znajduje się właściwa treść rozporządzenia - podzielona na 11 rozdziałów.

Również same zapisy RODO wymagają od administratora danych, aby osobom, których dane przetwarza, przedstawiał informacje (zapytanie o zgodę, informowanie o prawach czy zawiadomienie o naruszeniu bezpieczeństwa informacji) "jasnym i prostym" językiem. Pracownicy administracji publicznej, którzy do tej pory używali bardzo formalnego, a niekiedy nawet prawniczego języka, będą musieli zastanowić się, jak przekazywać te informacje.

Mimo że zarówno samo rozporządzenie, jak i jego polskie tłumaczenie napisane zostało przystępnym językiem, dokładna interpretacja jego zapisów, a także umiejętność ich zastosowania w praktyce mogą nastręczać pewnych problemów. Wynika to z faktu, że są to nowe przepisy i nie ma jeszcze doświadczeń w ich stosowaniu. Co więcej - w najbliższym czasie pojawi się dużo zmian w przepisach krajowych.

RADA

Warto rozważyć zatrudnienie przez jednostkę specjalisty (najlepiej z wykształceniem prawniczym i doświadczeniem w zakresie ochrony danych osobowych), który pomoże administratorowi danych właściwie zinterpretować przepisy i określić kierunki działania.

4. Nowa nazwa i kompetencje organu ochrony danych osobowych

Projekt ustawy o ochronie danych osobowych przewiduje, że dotychczasowy organ - Generalny Inspektor Ochrony Danych Osobowych (GIODO) - otrzyma nową nazwę: Prezes Urzędu Ochrony Danych Osobowych (PUODO). Zmiana ta wynika z tego, że same przepisy RODO wprowadzają instytucję inspektora ochrony danych osobowych. Mogło to więc prowadzić do niejasności, jaka jest relacja między "zwykłym" inspektorem a inspektorem "generalnym". Ponadto zaproponowano, by dawnych inspektorów GIODO nazwać "kontrolującymi", W ten sposób nie będzie się ich mylić z inspektorami ochrony danych, o których mowa w RODO.

RODO przewiduje, że krajowe organy nadzorcze, których odpowiednikiem w Polsce jest dotychczas GIODO, będą musiały być wyposażone w odpowiednie zasoby techniczne, kadrowe i finansowe. Nie ma zatem wątpliwości, że biuro generalnego inspektora (Prezesa Urzędu) zostanie znacząco rozbudowane.

Uprawnienia Urzędu Ochrony Danych Osobowych (UODO) nie będą różnić się znacząco od obecnych. Pojawią się jednak pewne nowe obowiązki, które nie występowały w dotychczasowych przepisach. Przykładowo Prezes Urzędu będzie udzielać zaleceń dotyczących szczególnych operacji przetwarzania (art. 57 ust. 1 Rozporządzenia).

Nowe przepisy dotyczące organów nadzorczych mówią o:

● prowadzeniu rejestru naruszeń,

● obowiązku wzajemnej pomocy,

● współpracy z innymi organami nadzorczymi.

Motyw 127 RODO stanowi, że każde państwo członkowskie będzie musiało zapewnić organowi nadzorującemu warunki i możliwości operowania odpowiednimi zasobami ludzkimi. Każdy organ nadzorczy powinien zostać wyposażony w zasoby finansowe i kadrowe, pomieszczenia i infrastrukturę, niezbędne do skutecznego wykonywania zadań - w tym zadań związanych z wzajemną pomocą i współpracą z innymi organami nadzorczymi z całej Unii. Ponadto każdy organ nadzorczy powinien dysponować odrębnym, publicznym budżetem rocznym, który może być częścią ogólnego budżetu krajowego lub państwowego. Takie szczególne wymogi dotyczące warunków pracy UODO przewiduje też art. 52 ust. 4, 5 i 6 Rozporządzenia.

RODO przewiduje też, że skargę do UODO będzie można złożyć bezpłatnie. Odbiorcą takiej skargi będzie mógł też zostać dowolny organ nadzorczy w UE. W takim przypadku będzie on (w pewnym uproszczeniu) brał udział w sprawie jako tzw. organ nadzorczy, którego sprawa dotyczy. Osoby będą mogły skarżyć się bezpośrednio do sądu, z pominięciem UODO (art. 79 Rozporządzenia). Dotychczas ograniczone zasoby kadrowe GIODO sprawiały, że skargi rozpatrywane były bardzo wolno. To z pewnością się zmieni.

Z kolei przepisy projektowanej ustawy o ochronie danych osobowych umożliwiają Prezesowi UODO tymczasowe zobowiązanie administratora do ograniczenia przetwarzania danych osobowych jeszcze w toku postępowania. Będzie to możliwe, jeśli zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki.

Kolejnym ważnym zagadnieniem jest "uprawnienie organizacji społecznej do wystąpienia z żądaniem wszczęcia postępowania (bądź udziału w postępowaniu) nie tylko w przypadku, gdy przemawia za tym interes społeczny (o czym stanowi art. 31 § 1 ustawy z 14 czerwca 1960 r. - Kodeks postępowania administracyjnego), ale również gdy przemawia za tym interes osoby, której prawa zostały naruszone". W praktyce może to skutkować powstaniem wielu organizacji, które będą wyszukiwać wszelakich potknięć w przetwarzaniu danych przez instytucje publiczne i wykorzystywać ten fakt przeciwko nim. Podobna sytuacja miała już miejsce po wejściu w życie ustawy o świadczeniu usług drogą elektroniczną.

Zgodnie z przepisami RODO organ nadzoru ma wykonywać zadania na rzecz osób, których dane dotyczą (a jeżeli istnieje - również na rzecz inspektora ochrony danych) w sposób wolny od opłat. Opłaty za wniesienie skargi przewidziane są tylko w sytuacji, gdy wnioski skarżącego są ewidentnie nieuzasadnione lub nadmierne.

WAŻNE!

To na organie nadzorczym będzie spoczywać ciężar udowodnienia, że wnioski skarżącego są ewidentnie nieuzasadnione lub nadmierne i w związku z tym powinny podlegać opłacie.

Bardzo istotne jest, aby przygotowując instytucję publiczną do nowych przepisów, przeanalizować dotychczasowy sposób reagowania na skargi klientów. Szczególnie na te związane z przetwarzaniem danych osobowych. Większość kontroli następuje w efekcie postępowania skargowego. Można zatem przypuszczać, że po wejściu w życie nowych przepisów liczba i prawdopodobieństwo kontroli znacząco wzrosną.

RADA

Dobrym rozwiązaniem dla instytucji publicznej będzie prowadzenie rejestru wszelkich skarg na przetwarzanie danych osobowych, aby móc poznać skalę potencjalnego problemu. Szczególnie że w przyszłości w procesie obsługi takich skarg będzie brał udział inspektor ochrony danych. Nowa ustawa o ochronie danych osobowych przewiduje, że w toku kontroli UODO, kontrolujący może korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji, a organy kontroli państwowej lub Policja wykonują czynności na polecenie kontrolującego.

WAŻNE!

Prezes Urzędu będzie uprawniony do przeprowadzania kontroli bez uprzedniego zawiadomienia o tym fakcie kontrolowanego.

5. Nowe zadania instytucji publicznych administrujących danymi

RODO wprowadza wiele istotnych obowiązków i ograniczeń dla procesora.

Procesor - podmiot przetwarzający dane w imieniu instytucji publicznej.

Niedopuszczalne będzie powierzanie dalszego przetwarzania danych osobowych bez zgody administratora. Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej, szczegółowej lub ogólnej, pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody instytucja powinna informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

WAŻNE!

Administrator musi wyrażać zgodę na dalsze powierzanie przetwarzania.

Dotychczas umowa z podmiotem przetwarzającym dane osobowe w imieniu administratora (procesorem) również musiała być zawarta na piśmie. Rozporządzenie uzupełnia tę zasadę - umowa może też zostać uregulowana innym instrumentem prawnym.

W myśl art. 33 ust. 2 RODO, podmiot przetwarzający dane w imieniu instytucji publicznej, w razie stwierdzenia naruszenia ochrony danych osobowych, ma obowiązek zgłosić ten fakt administratorowi. Nie musi natomiast zgłaszać tego do UODO.

Obowiązkiem podmiotu przetwarzającego będzie prowadzenie rejestru wszelkich kategorii czynności przetwarzania, dokonywanych w imieniu instytucji. Procesor będzie miał również obowiązek udostępnić taki rejestr na żądanie UODO, a także powołać inspektora ochrony danych osobowych, jeśli zaistnieje przynajmniej jeden z czynników, o których stanowi art. 37 ust. 1 Rozporządzenia.

Działający w imieniu instytucji publicznej procesor będzie bezpośrednio odpowiedzialny za nałożone na niego obowiązki z zakresu ochrony danych osobowych. Będzie m.in. zobowiązany:

● wdrażać stosowne środki techniczne i organizacyjne,

● prowadzić rejestr czynności przetwarzania,

● w konkretnych okolicznościach powołać inspektora ochrony danych (IOD),

● spełnić te same wymagania przekazywania danych do państw trzecich, jak administrator,

● notyfikować administratora o incydentach.

WAŻNE!

Prezes UODO będzie mógł egzekwować stosowanie RODO bezpośrednio w stosunku do przetwarzającego.

Przepisy RODO wyraźnie podkreślają, że jeżeli podmiot przetwarzający naruszy zasady rozporządzenia przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania (co nie wyklucza stosowania przepisów art. 82, 83 i 84 RODO, dotyczących sankcji, kar, odszkodowań i odpowiedzialności). Oznacza to np., że jeśli dana instytucja publiczna powierzy dane, które zgromadziła, innej instytucji, a ta zmieni pierwotny cel przetwarzania i inaczej wykorzysta te dane, to ta druga instytucja stanie się dodatkowym administratorem danych. Taki stan obowiązywał już wcześniej, ale nie jako bezpośredni zapis prawny, a efekt interpretacji przepisów.

RADA

Przygotowując się do nowych przepisów, instytucje publiczne powinny:

1) przeprowadzić inwentaryzację wszystkich przypadków powierzenia przetwarzania danych,

2) zapewnić, że są w formie umowy na piśmie,

3) ocenić, w jakim stopniu regulują kwestie zdefiniowane przez RODO.

Jeśli okaże się, że umowy nie zawierają wszystkich wymaganych elementów, powinny zostać zmienione (aneksowane). Administratorzy powinni na bieżąco oceniać zgodność współpracujących podmiotów z obecnymi i przyszłymi przepisami.

6. Inspektor ochrony danych zamiast administratora bezpieczeństwa informacji

Przepisy RODO zastępują stanowisko administratora bezpieczeństwa informacji (dalej: ABI) inspektorem ochrony danych (dalej: IOD). Zmiana polega nie tylko na nowym "tytule". Istotnym zmianom ulegają bowiem wymagania, jakie ma spełniać IOD, oraz sytuacje, w których konieczne będzie jego powołanie.

WAŻNE!

Wszystkie instytucje publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości) mają obowiązek powołania inspektora ochrony danych.

RADA

Z Wytycznych dowiadujemy się m.in., że:

● jeśli z przepisów nie wynika, że trzeba powołać IOD, to warto udokumentować tego rodzaju decyzję,

● można dobrowolnie powołać IOD, nawet jeśli takiego obowiązku nie ma,

● IOD powinien brać udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji,

● zaleca się inspektorowi "ustalanie priorytetów w swojej pracy i koncentrowania się na aspektach pociągających za sobą większe ryzyko".

Wytyczne podkreślają, że "administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów". Oznacza to, że inspektor nie może zajmować w instytucji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Za powodujące konflikt interesów uważane będą m.in. stanowiska kierownicze (np. dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT). Oznacza to, że większość dyrektorów, którzy mają coś wspólnego z przetwarzaniem danych, nie może być inspektorami ochrony danych.

WAŻNE!

Funkcji IOD nie będą mogły pełnić osoby pełniące funkcje kierownicze, które mają coś wspólnego z przetwarzaniem danych.

Instytucja publiczna lub podmiot przetwarzający dane w jej imieniu będą mieli obowiązek publikować dane kontaktowe inspektora ochrony danych i zawiadomić o nich organ nadzorczy. To akurat nie jest żadną nowością, gdyż dotychczas również należało zgłosić ABI do rejestracji w GIODO. Informacje o sposobie kontaktu z IOD będzie też trzeba podawać podczas zbierania danych osobowych.

Zgodnie z RODO osoby, których dane są przetwarzane w instytucji, mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych oraz z korzystaniem z przysługujących im praw.

WAŻNE!

Osoby, których dane są przetwarzane w instytucji, będą mogły kontaktować się bezpośrednio z IOD.

W RODO nie wskazano, jakie dane kontaktowe inspektora trzeba będzie podać. Nie ma też obowiązku podawania jego imienia i nazwiska, chociaż zaleca się, aby to były takie dane, które pozwolą na nawiązanie kontaktu w łatwy sposób. IOD będzie też musiał dysponować odpowiednimi środkami technicznymi umożliwiającymi łatwy i szybki sposób kontaktu z zainteresowanymi.

Inspektor może być pracownikiem danej instytucji publicznej lub wykonywać zadania na podstawie umowy o świadczenie usług. Jednak w każdym przypadku należy zapewnić mu zasoby niezbędne do podtrzymania jego wiedzy fachowej.

RADA

Jednostka powinna uwzględnić plany rozwoju stanowisk inspektorów i znaleźć na nie środki finansowe.

Funkcja IOD może być też pełniona przez podmiot zewnętrzny. Rozporządzenie zezwala na taki outsourcing. Prawdopodobnie będzie to najlepsze rozwiązanie - szczególnie dla tych podmiotów, które nigdy wcześniej nie powoływały administratora bezpieczeństwa informacji. Stanowisko takie przedstawione jest także w Wytycznych grupy roboczej art. 29 na stronie 22. Podkreśla się, że "usługowy" inspektor ochrony danych pozwala wykorzystać siłę tkwiącą w zespole, jaki razem z nim świadczy usługi. Pozwala to w efekcie lepiej wykonywać te zadania.

WAŻNE!

Funkcję inspektora ochrony danych można zapewnić na zasadzie outsourcingu.

Projekt ustawy o ochronie danych osobowych zakłada, że obecni ABI, którzy pełnią tę funkcję w dniu 24 maja 2018 r., będą pełnić ją jeszcze do 1 września 2018 r. Do tego czasu każdy z inspektorów ochrony danych ma czas na podjęcie decyzji o dalszym pełnieniu takiej funkcji (i dokonaniu stosowanego zawiadomienia do Prezesa Urzędu). W razie braku do tego czasu jakiejkolwiek aktywności z ich strony, w dniu 1 września 2018 r. z mocy prawa przestaną pełnić funkcję inspektorów ochrony danych.

7. Ochrona prywatności by design i by default (projektowanie od podstaw i domyślność)

Ochrona danych ma być wbudowywana w politykę instytucji już na etapie projektowania systemu ochrony danych osobowych (by design). Ma być także aktywna domyślnie (by default) - czyli bez konieczności podejmowania działań przez osoby, których te dane dotyczą. Dotychczas uwzględnianie ochrony w fazie projektowania było wyłącznie kwestią dobrej praktyki, którą można zobrazować stwierdzeniem, że "lepiej zapobiegać niż leczyć". Od 25 maja 2018 r. zasada ta stanie się obowiązkiem.

RADA

Warto opracowywać zasady ochrony danych osobowych już na etapie procesu wprowadzania produktu, usługi czy systemu informatycznego. Późniejsze wdrażanie mechanizmów gwarantujących ochronę danych osobowych będzie na pewno dużo droższe i trudniejsze.

Motyw 78 preambuły do RODO stanowi, że instytucja powinna przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania, a także z zasadą domyślnej ochrony danych. Procedury opisane w takim dokumencie powinny obejmować m.in. sytuację, w której organizacja projektuje nową aplikację dla klientów. Powinny też precyzować, aby w jej wdrażanie zaangażowane były odpowiednie osoby, które ocenią zgodność procesu z Rozporządzeniem, a także które zweryfikują techniczne i organizacyjne zabezpieczenia danych. Rozporządzenie stanowi, że wywiązywanie się z tych obowiązków można wykazać m.in. poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji, określonego w art. 42 Rozporządzenia.

WAŻNE!

Domyślnie mogą być przetwarzane wyłącznie te dane, które są niezbędne do przetwarzania.

Przykład

Najlepszym przykładem domyślnej ochrony danych osobowych są serwisy społecznościowe. Każdy nowo zamieszczony post powinien być z założenia niewidoczny. Dopiero sam użytkownik powinien móc każdorazowo zmieniać ustawienia prywatności, decydując się np. na widoczność tylko dla znajomych czy dla wszystkich osób.

Przygotowując się, należy przeanalizować, jak przebiegają obecne procesy tworzenia nowych produktów czy usług, w których przetwarza się dane osobowe. Jednym z zalecanych rozwiązań jest zapewnienie, że wymagania i realizację wymagań w zakresie prywatności będzie nadzorował np. inspektor ochrony danych.

Istotną kwestią jest też technologia komputerowa. Zwłaszcza architekci rozwiązań informatycznych oraz programiści powinni być świadomi nowych regulacji. Mimo że w wielu instytucjach bezpieczeństwo informacji traktuje się bardzo poważnie i stosuje się zasadę "security by design", to należy pamiętać, że nie jest ona tożsama z "privacy by design" i będzie wymagać dostosowania do Rozporządzenia.

8. Rejestr przetwarzania i dokumentacja

Zamiast rejestrowania zbiorów w GIODO, każda instytucja publiczna będzie musiała prowadzić rejestr czynności przetwarzania danych osobowych. Rejestr taki powinien być prowadzony w formie pisemnej (w tym w formie elektronicznej) i zawierać m.in. następujące kategorie informacji:

● informacje o administratorze i ewentualnie współadministratorach,

● dane inspektora ochrony danych,

● opis celów przetwarzania,

● kategorie osób, których dane się przetwarza,

● kategorie danych osobowych,

● informacje o odbiorcach (także w państwach trzecich),

● planowane terminy usuwania poszczególnych kategorii danych,

● opis środków bezpieczeństwa.

WAŻNE!

Rejestr czynności przetwarzania będzie też musiał prowadzić podmiot zewnętrzny przetwarzający dane w imieniu instytucji publicznej.

W rejestrze prowadzonym przez zewnętrzne podmioty przetwarzające nie podaje się celu przetwarzania i kategorii odbiorców, którym dane osobowe zostały lub zostaną udostępnione, a także planowanych terminów usunięcia poszczególnych kategorii danych - z uwagi na to, że o tych kwestiach decyduje administrator.

WAŻNE!

Instytucja będzie miała obowiązek udostępnić rejestr czynności przetwarzania organowi nadzoru, kiedy ten tego zażąda.

Dotychczas na wymaganą dokumentację przetwarzania danych osobowych składały się m.in.:

● polityka bezpieczeństwa,

● instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

● imienne upoważnienia,

● ewidencja upoważnień etc.

Od 25 maja 2018 r. prowadzenie takiej dokumentacji nie będzie obowiązkowe. Mimo to jednostka będzie musiała wykazać, w jaki sposób przestrzega przepisów.

RADA

Warto przyjąć za wzór uznane standardy dokumentacji w zakresie bezpieczeństwa - np. zgodne z normą ISO 27001.

W ramach przygotowań do nowych przepisów warto opracować krok po kroku opis istniejących procesów przetwarzania dotyczący m.in.:

● celów przetwarzania danych,

● rodzaju przetwarzanych danych,

● podstaw prawnych,

● okresu, przez jaki dane będą przetwarzane,

● sposobu przetwarzania (komputerowo, papierowo),

● lokalizacji danych,

● zarządzania dostępem,

● stosowanych zabezpieczeń.

9. Szacowanie ryzyka - ocena i konsultacje w zakresie skutków przetwarzania

RODO wprowadza - jako elementy nowej procedury opartej na ocenie ryzyka planowanych operacji przetwarzania danych osobowych - nowe rozwiązania:

● ocenę skutków przetwarzania dla ochrony danych osobowych dokonywaną przez administratora (art. 35 RODO),

● uprzednie konsultacje z organem nadzorczym.

Dotychczas, zamiast oceny skutków przetwarzania, obowiązywał model rejestrowania zbiorów przez GIODO. Jeśli uznawał on, że istnieje zagrożenie dla praw i wolności osób, których dane dotyczą, odmawiał rejestracji zbioru. RODO likwiduje rejestrację zbiorów, a w jego miejsce nakłada obowiązek dokonania oceny wpływu przetwarzania i oszacowania związanego z tym ryzyka. Teraz ten obowiązek ciążyć będzie na administratorze danych.

Zgodnie z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania danych, zwłaszcza z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele, z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych - administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Wynika z tego, że podejście oparte na ryzyku jest niezwykle ważną i szczególnie akcentowaną koncepcją przewidzianą przez RODO. Tylko po oszacowaniu ryzyka można dobrać odpowiednie środki bezpieczeństwa.

RADA

Jeśli ocena skutków przetwarzania potwierdzi wysokie ryzyko, trzeba będzie konsultować się z UODO. Podmiotem zobowiązanym do dokonania oceny ryzyka przed rozpoczęciem przetwarzania będzie jednostka - niezależnie od tego, czy zamierza przetwarzać dane osobowe samodzielnie, czy w przetwarzaniu będzie brał udział podmiot zewnętrzny działający w jej imieniu. Nie wiadomo jeszcze, w jaki sposób trzeba będzie dokonywać oceny skutków, warto zatem śledzić pojawiające się sukcesywnie publikacje na stronach internetowych GIODO, a zwłaszcza Grupy Roboczej Art. 28 (www.giodo.gov.pl).

Wiadomo, że sposobami oceny skutków przetwarzania danych będą mogły być w szczególności:

● profilowanie - będące podstawą decyzji wywołującej skutki prawne wobec osoby,

● przetwarzanie na dużą skalę szczególnych kategorii danych,

● monitorowanie na dużą skalę miejsc publicznych.

Obowiązek przeprowadzenia takiej oceny będzie miał charakter okresowy, podobnie jak ocena ryzyka. Instytucja powinna konsultować się z UODO, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby nie zastosowała środków w celu zminimalizowania tego ryzyka (art. 36 ust. 1 RODO).

WAŻNE!

Wprawdzie zlikwidowany zostanie wymóg rejestracji zbiorów danych osobowych, jednak w to miejsce pojawią się nowe obowiązki dla instytucji publicznych - w tym m.in. udokumentowana ocena skutków przetwarzania.

Dokonanie oceny skutków wymagać będzie zaangażowania IOD. Na taką ocenę powinny się składać m.in.:

● opis planowanych operacji przetwarzania i ich celów (udokumentowanie, jakie dane osobowe się przetwarza i w jakich celach),

● ocena proporcjonalności operacji przetwarzania w stosunku do celów (samoocena, czy dane osobowe są niezbędne, a sposób ich przetwarzania jest odpowiedni do celu przetwarzania),

● ocena zagrożenia dla praw i wolności osób,

● ocena środków mających zmniejszyć zagrożenia i chronić dane osobowe.

Ponadto w stosownym przypadku jednostka będzie też musiała zasięgnąć opinii osób, których dane dotyczą (lub ich przedstawicieli) w sprawie zamierzonego przetwarzania. Zaś jeśli ocena skutków wskaże, że przetwarzanie niosłoby duże zagrożenie, gdyby instytucja nie przedsięwzięła środków w celu zminimalizowania tego zagrożenia, to przed przetworzeniem danych osobowych powinna ona skonsultować się z organem nadzorczym.

Z czasem z pewnością będą pojawiać się kolejne Wytyczne, które uregulują, w jaki sposób dokonywać oceny skutków przetwarzania.

10. Zgłaszanie naruszenia ochrony danych do Prezesa Urzędu

W sytuacji, w której naruszenie ochrony danych osobowych prawdopodobnie będzie skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, instytucja publiczna będzie musiała zgłosić je do PUODO. Należy to zrobić "bez zbędnej zwłoki" - ale nie później niż w ciągu 72 godzin. Motyw 75 Rozporządzenia opisuje stosunkowo wyczerpująco i dość dokładnie, w jakich przypadkach takie ryzyko może występować.

Zgodnie z RODO przez naruszenie ochrony danych osobowych należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem:

● zniszczenia,

● utracenia,

● zmodyfikowania,

● nieuprawnionego dostępu i ujawnienia,

- danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

WAŻNE!

Naruszenie ochrony danych należy zgłosić w ciągu 72 godzin do UODO. W szczególnych przypadkach trzeba będzie też informować osoby, których dane dotyczą.

Instytucja publiczna jako administrator danych będzie też miała obowiązek prowadzenia dokumentacji wszelkich naruszeń ochrony danych osobowych. Oznacza to, że nawet jeśli nie będzie konieczne poinformowanie UODO o konkretnym negatywnym zdarzeniu, to i tak trzeba będzie je odnotować we własnym rejestrze. W sytuacji, w której naruszenie niesie ze sobą wysokie "ryzyko naruszenia praw lub wolności osób fizycznych", instytucja będzie również musiała bez zbędnej zwłoki zawiadomić osobę, której te dane dotyczą, o takim naruszeniu - jasnym i prostym językiem (art. 34 ust. 1 i 2 RODO).

Motyw 87 preambuły do RODO przewiduje, że należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych. Nie bardzo wiadomo, co należy przez tę deklarację rozumieć. Być może takie przepisy będą uzupełniane przez dokładną interpretację Prezesa Urzędu. Możliwe też, że konieczne stanie się wdrażanie rozwiązań pozwalających dokładnie monitorować stan bezpieczeństwa - takich jak systemy klasy SIEM.

RADA

Warto pamiętać, że informowanie o naruszeniu bezpieczeństwa osób, których dane dotyczą, może być dla instytucji bardzo kosztowne - i to zarówno operacyjnie, jak i wizerunkowo. Dlatego warto dołożyć wszelkich starań, aby zminimalizować ryzyko wycieków danych. Z tym zaś wiąże się konieczność wdrożenia rozmaitych zabezpieczeń technicznych i organizacyjnych. Można śmiało powiedzieć, że w świetle nowych przepisów jednostki będą musiały uwzględnić większy budżet na wdrożenie mechanizmów zabezpieczenia danych osobowych niż dotychczas.

Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu - a w szczególności, czy i w jakim stopniu instytucja lub podmiot przetwarzający dane w jej imieniu zgłosili naruszenie - będzie brany pod uwagę przez organ nadzorczy przy ustalaniu wysokości ewentualnej kary finansowej. A jeśli zostanie wykazane, że do naruszenia doszło z zaniedbania instytucji czy podmiotu przetwarzającego, można liczyć się z ryzykiem nałożenia kar finansowych (art. 83 RODO).

RADA

Już dzisiaj warto odpowiednio dokumentować, a także prowadzić rejestr incydentów, który pozwoli przygotować się na sprawne raportowanie w wymaganym czasie. Konieczne jest przygotowanie planów awaryjnych, które pozwolą sprawnie zareagować w przypadku incydentu.

11. Pseudonimizacja danych

RODO wprowadza pojęcie pseudonimizacji danych.

Pseudominizacja danych - przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji - pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Motyw 26 preambuły przewiduje, że pseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.

WAŻNE!

Jednym z podstawowych mechanizmów ochrony danych osobowych ma być ich pseudonimizacja.

Dodatkowo RODO wskazuje pseudonimizację jako przykład jednego z mechanizmów mających za zadanie zapewnić taki stopień bezpieczeństwa danych, który odpowiada ryzyku ich naruszenia (art. 32 ust. 1 lit. a).

Przykład

Przykładem pseudonimizacji danych jest stosowana od pewnego czasu w szkołach publikacja ocen wraz z identyfikatorem ucznia zamiast jego imienia i nazwiska.

O danych anonimowych mowa jest już w motywie 26 RODO. Zasady ochrony danych nie powinny mieć zastosowania do informacji anonimowych - czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. RODO nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych. To, jakie narzędzia stosować (pseudonimizację, anonimizację, szyfrowanie lub inne), wynikać będzie z analizy ryzyka.

12. Retencja i usuwanie danych

RODO mocno podkreśla wagę retencji danych. Przykładowo podczas zbierania danych instytucja powinna podać okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe - kryteria ustalania tego okresu. Do tej pory konieczność podawania takich informacji nie pojawiała się w przepisach.

Podmiot przetwarzający dane w imieniu instytucji po zakończeniu świadczenia usług przetwarzania danych ma obowiązek - zależnie od decyzji samej instytucji - usunięcia lub zwrotu wszelkich danych osobowych. Podmiot ten usuwa też wszelkie istniejące kopie danych, chyba że prawo Unii lub prawo państwa członkowskiego nakazują mu je przechowywać.

WAŻNE!

Podczas zbierania danych instytucja ma obowiązek poinformować osobę, której dane dotyczą, o tym, jak długo będą one przechowywane.

RADA

Instytucja publiczna, która zamierza zacząć zbieranie danych osobowych, wcześniej powinna ustalić, jak długo dane te będą przechowywane. Jeśli nie jest to możliwe, powinna przynajmniej określić kryteria ustalania tego okresu.

Choć w pierwszej chwili może to wyglądać na utrudnienie dla instytucji, wcześniejsze ustalenie okresu przechowywania danych w praktyce okaże się istotnym ułatwieniem. Dotychczas instytucje często zapominały o konieczności usuwania danych (mimo wymogu art. 26. ust.1 pkt 4 ustawy o ochronie danych osobowych). Dopiero podczas kontroli GIODO w pośpiechu wdrażały jakiekolwiek mechanizmy ich usuwania. Po wejściu w życie nowych przepisów nie będzie to już możliwe.

Bardzo istotną zasadą przewidzianą w RODO jest prawo do usunięcia danych (tzw. prawo do bycia zapomnianym), które określa, kiedy dane osobowe należy usuwać. Zgodnie z art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od instytucji administrującej danymi niezwłocznego usunięcia dotyczących jej danych osobowych. Jednostka ma wówczas obowiązek bez zbędnej zwłoki te dane usunąć. Dane osobowe należy usunąć m.in. wtedy, gdy:

● cel przetwarzania się skończył,

● zgoda została wycofana,

● dane są zebrane wbrew prawu.

13. Certyfikacja zwiększająca wiarygodność przetwarzających

RODO wprowadza kodeksy postępowania i certyfikaty, które mają podnosić wiarygodność podmiotów przetwarzających dane osobowe. Przepis art. 24 ust. 3 RODO wyraźnie podkreśla, że stosowanie zatwierdzonych kodeksów postępowania (o których mowa w art. 40) lub zatwierdzonego mechanizmu certyfikacji (o którym mowa w art. 42) może być wykorzystane jako element stwierdzenia przestrzegania przez instytucję administrującą danymi ciążących na niej obowiązków. Posiadanie kodeksów czy certyfikatów znacznie ułatwia też przekazywanie danych osobowych do państw trzecich.

RADA

Certyfikacja na mocy art. 42 RODO może posłużyć także do wykazania przez administratora wywiązywania się z obowiązku uwzględniania ochrony danych w fazie projektowania oraz wdrażania. Ułatwi UODO stwierdzenie, czy podmiot realizuje ciążące na nim obowiązki.

Motyw 100 Preambuły do RODO stanowi, że aby zwiększyć przejrzystość i poprawić przestrzeganie przepisów Rozporządzenia, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić poziom ochrony danych, której podlegają stosowne produkty i usługi.

WAŻNE!

Kodeksy i certyfikaty ułatwią udowodnienie, że instytucja stosuje przepisy RODO do mechanizmów domyślnej ochrony danych (art. 25 ust. 3 RODO).

W Polsce UODO nie będzie certyfikował podmiotów przetwarzających dane osobowe. Jego kompetencje zostaną ograniczone wyłącznie do akredytacji podmiotów certyfikujących. Sama certyfikacja należeć powinna do wyspecjalizowanych podmiotów zajmujących się zawodowo ochroną danych osobowych.

Oczywiście certyfikacja i akredytacja podmiotów certyfikujących będzie odpłatna. Posiadanie zatwierdzonych kodeksów postępowania lub certyfikatów może jednak znacząco ułatwić instytucjom udowodnienie, że wdrożyły wymagane przepisami mechanizmy ochrony danych osobowych.

14. Szerszy katalog danych szczególnej kategorii

Nową szczególną kategorią danych będą tzw. dane wrażliwe, poszerzone dodatkowo o dane biometryczne, a także dane genetyczne.

WAŻNE!

Dane o skazaniach, w tym dane o niekaralności, można przetwarzać wyłącznie pod nadzorem władz.

Zgodnie z art. 10 RODO przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego, przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących mają być prowadzone wyłącznie pod nadzorem władz publicznych.

Zupełną nowością jest włączenie do kategorii danych wrażliwych danych biometrycznych. Wcześniej były one uznane za dane zwykłe, a wszelkie ograniczenia w ich przetwarzaniu miały charakter indywidualnych decyzji GIODO.

Biometria - szeroka dziedzina nauki zajmująca się pomiarami istot żywych w celu określenia ich indywidualnych cech. Bada wszystko, co pozwala na identyfikowanie indywidualnych cech, wśród których znaleźć można m.in.:

● owal twarzy, rozkład punktów charakterystycznych (oczy, usta) lub temperatur na twarzy,

● geometria (kształt) ucha,

● układ naczyń krwionośnych na dłoni lub przegubie ręki,

● kształt linii zgięcia wnętrza dłoni,

● układ linii papilarnych.

Biometria interesuje się także cechami behawioralnymi, związanymi z zachowaniem, takimi jak:

● sposób chodzenia,

● podpis odręczny,

● sposób pisania na klawiaturze,

● cechy charakterystyczne ruchu ust,

● poruszanie się gałki ocznej.

Dotychczas, z uwagi na brak odpowiednich przepisów, zasady przetwarzania danych biometrycznych były kompletnie niejasne. Analiza danych biometrycznych wykorzystywana jest głównie w takich dziedzinach, jak: weryfikacja tożsamości, autoryzacja dostępu do systemów informatycznych czy identyfikacja. Po wejściu w życie RODO korzystanie czy wdrażanie tego rodzaju systemów z pewnością będzie znacznie utrudnione. Dlatego też kwestie z tym związane warto już teraz przeanalizować pod kątem zgodności z RODO.

15. Obowiązki informacyjne wobec osób, których dotyczą dane

RODO w znaczący sposób rozszerza obowiązek informacyjny jednostki podczas zbierania danych.

Jednostka będzie miała obowiązek przekazywać osobom informacje w sposób przyjazny i zrozumiały, sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz podawania innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji przetwarzanych danych osobowych ich dotyczących.

W myśl motywu 58 Preambuły do RODO, zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe. Wymaga też, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach - dodatkowo wizualizowane.

Także art. 12 RODO wymaga, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (w szczególności gdy informacje są kierowane do dziecka) udzielić osobie, której dane dotyczą, wszelkich informacji.

Ta zmiana może być kosztowna dla instytucji publicznych. Oznacza bowiem wymianę wszelkich formularzy - zarówno tych papierowych, jak i elektronicznych - zawierających zgody na przetwarzanie danych osobowych.

RADA

Wszystkie formularze informacyjne (papierowe i elektroniczne) w instytucji powinny zostać sprawdzone pod kątem wymogów RODO. To samo należy zrobić z umowami i wszelkimi innymi dokumentami, w których zbiera się jakiekolwiek dane. Należy sporządzić listę wszystkich tych dokumentów i przygotować propozycje treści obowiązków informacyjnych.

Jeśli instytucja pozyskuje dane osobowe nie bezpośrednio od osoby, której dane dotyczą, obowiązek informacyjny poszerza się jeszcze o informację na temat źródła pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie dostępnych. Zwiększa się również zakres prawa do udzielenia informacji na żądanie.

16. Ograniczenie profilowania

"Profilowanie" to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej. W szczególności chodzi o analizę lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Innymi słowy, jest to zautomatyzowany proces prowadzący do wnioskowania o posiadaniu przez człowieka określonych cech.

Kluczową kwestią jest tutaj zautomatyzowanie procesu. Co do zasady zabronione jest dokonywanie oceny i podejmowanie decyzji wyłącznie maszynowo (komputerowo) - bez istotnego udziału człowieka. Jednak w sytuacji, gdy profilowanie wykonuje człowiek (a nie komputer), to nie stawia się tutaj ograniczeń. Zgodnie z art. 22 RODO osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu - w tym profilowaniu - i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na niego wpływa. Chodzi tutaj o to, aby osoby miały prawo nie zgodzić się na to, że dana decyzja zostanie podjęta wyłącznie przez automat.

WAŻNE!

Przy automatycznym przetwarzaniu instytucja publiczna ma obowiązek wdrożyć właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania danej decyzji.

Należy jednak zwrócić uwagę, że ten zapis nie ma zastosowania, jeśli decyzja jest niezbędna do zawarcia lub wykonania umowy między podmiotem danych a administratorem lub gdy opiera się na wyraźnej zgodzie osoby. Do profilowania co do zasady nie wolno używać danych wrażliwych, chyba że osoba, której dane dotyczą:

● wyraziła na to zgodę,

● jest to podyktowane ważnym interesem publicznym.

WAŻNE!

O zamiarze profilowania instytucja powinna poinformować osoby, których dane dotyczą, już na etapie zbierania danych.

Pojęcie automatycznego przetwarzania danych funkcjonuje w Polsce od dawna w ustawie o ochronie danych osobowych. RODO uszczegółowia jednak cały proces i warunki, w jakich może do niego dochodzić. Jeżeli celem profilowania ma być marketing bezpośredni (który do tej pory stanowił w polskim prawie tzw. usprawiedliwiony prawnie cel przetwarzania, natomiast w RODO określony został jako "cel wynikający z uzasadnionych interesów administratora danych"), można zgłosić sprzeciw w związku z takim przetwarzaniem. Niekorzystny wpływ tej zmiany łagodzi możliwość korzystania z profilowania, o ile jest to niezbędne do zawarcia umowy. Tak będzie zapewne w przypadku np. ubezpieczeń.

O profilowaniu należy informować na etapie zbierania danych osobowych, a także na wniosek osoby fizycznej, której dane dotyczą. Z pewnością poskutkuje to koniecznością modyfikacji istniejących formularzy i pism dotyczących zbierania oraz przetwarzania danych osobowych.

RADA

Aby przygotować się do wdrożenia zasad RODO, należy przede wszystkim ocenić, w jakich procesach dochodzi do profilowania oraz gdzie na takiej podstawie podejmowane są automatyczne decyzje. Wszędzie tam instytucja będzie musiała informować osoby, których dane dotyczą, o podejmowaniu zautomatyzowanych decyzji opartych o profilowanie już na etapie pozyskiwania danych.

17. Warunki uzyskiwania zgody na przetwarzanie danych osobowych

W RODO zgoda na przetwarzanie danych osobowych została zdefiniowana jako:

● dobrowolne,

● konkretne,

● świadome,

● jednoznaczne

- okazanie woli, którym dana osoba przyzwala na przetwarzanie dotyczących jej danych osobowych, sformułowane w formie oświadczenia lub wyraźnego działania potwierdzającego.

Z kolei w polskiej ustawie o ochronie danych osobowych dotychczasowa zgoda była definiowana jako oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. I tu zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Obie definicje są zatem bardzo podobne. Ta przedstawiona w RODO zamiast o oświadczeniu woli mówi o jej "okazaniu". Ponadto, zgodnie z motywem 32 Preambuły, zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności. Czynność ta wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dotyczą dane, na przetwarzanie dotyczących jej danych osobowych. Czynność ta ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.

RADA

W praktyce czynność wyrażenia zgody może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście klarownie wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Nie będzie zatem oznaczać zgody:

● milczenie,

● okienka domyślnie zaznaczone, czy

● niepodjęcie działania.

Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, konieczne będzie uzyskanie zgody na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma udzielić zgody w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

WAŻNE!

Odwołanie zgody musi być tak samo łatwe, jak jej udzielenie.

W myśl art. 25. ust. 2 RODO, instytucja ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Obowiązek ten odnosi się do:

● ilości zbieranych danych osobowych,

● zakresu ich przetwarzania,

● okresu ich przechowywania, oraz

● ich dostępności.

"Niezbędność" powinna być tu rozpatrywana w odniesieniu do kwestii domyślności przetwarzania danych. Oznacza to, że można pozyskiwać dane adekwatne do celu, jednak domyślnie należy przetwarzać tylko dane niezbędne.

Przykład

Bank zbiera bardzo dużo rozmaitych danych osobowych, ale w mobilnej aplikacji bankowej są przetwarzane jedynie dane niezbędne do funkcjonowania tej aplikacji (a nie wszystkie dane). Jest to właśnie realizacja zasady domyślnego bezpieczeństwa.

Z kolei motyw 43 Preambuły do RODO wskazuje, że zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem - zwłaszcza gdy administrator jest organem publicznym. Jest bowiem mało prawdopodobne, by w tej konkretnej sytuacji zgody udzielano we wszystkich przypadkach dobrowolnie.

Kolejną kwestią wyróżniającą nową definicję zgody jest pewna kategoria zachowań, określona jako "wyraźne działanie potwierdzające". Oznacza to, że zgodę można wyrazić także poprzez działanie, a nie jedynie oświadczenie.

WAŻNE!

Dopuszczalna będzie zgoda ustna lub wyrażona poprzez działanie (np. wręczenie wizytówki).

Takim działaniem będzie np. "zaznaczenie" zgody w elektronicznym formularzu. RODO przewiduje, że już samo przesłanie aplikacji do potencjalnego pracodawcy może stanowić wyrażenie zgody na przetwarzanie danych w celu rekrutacji. W dotychczasowym stanie prawnym takie czynności wymagały zgody, którą dołączano do życiorysu. Bardzo ważne jest, że na instytucji będzie ciążył dowód uzyskania zgody.

18. Zgoda wyrażana przez dziecko

RODO wprowadza zasadę, że zgodę na przetwarzanie danych osobowych przy świadczeniu usług społeczeństwa informacyjnego (takich np. jak Facebook, poczta elektroniczna, gry w sieci czy sprzedaż internetowa) może wyrazić dziecko, które ukończyło 13 lat. W przeciwnym wypadku zgodę musi zaaprobować lub wyrazić w jego imieniu osoba sprawująca władzę rodzicielską lub opiekę prawną.

RODO wskazuje tu wiek 16 lat, ale pozostawia krajom członkowskim możliwość obniżenia progu do lat 13. Z możliwości tej zamierza skorzystać Polska. W uzasadnieniu do projektu nowej ustawy o ochronie danych osobowych czytamy: "zgodnie z art. 15 ustawy z 23 kwietnia 1964 r. - Kodeks cywilny (...) osoba, która ukończyła 13 lat, ma ograniczoną zdolność do czynności prawnych, a zatem może zawierać umowy w drobnych bieżących sprawach życia codziennego, może także rozporządzać swoim zarobkiem. W ocenie projektodawcy w tym kontekście uzasadnione jest przyjęcie granicy lat 13 także dla skutecznego wyrażenia przez dziecko zgody na przetwarzanie dotyczących go danych osobowych, w związku z kierowanymi bezpośrednio do dziecka usługami społeczeństwa informacyjnego. Nie ma powodu, aby przyjąć, że osoba mogąca rozporządzić swoim zarobkiem oraz zawierać drobne umowy, nie była jednocześnie uprawniona do wyrażenia zgody na przetwarzanie dotyczących jej danych osobowych, szczególnie że zgodnie z przepisami rozporządzenia 2016/679 zgodę można w każdym czasie wycofać".

W myśl motywu 38 Preambuły do RODO, zgoda osoby sprawującej odpowiedzialność rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku. Z kolei zgodnie z motywem 58 Preambuły, zważywszy, że dzieci zasługują na szczególną ochronę, wszelkie informacje i komunikaty - gdy przetwarzanie dotyczy dziecka - powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło go bez trudu zrozumieć.

Po wejściu w życie RODO instytucja będzie musiała podejmować racjonalne działania, żeby zweryfikować wiek użytkownika, uwzględniając dostępną technologię. Oznacza to, że częściej będzie dochodzić do zbierania dat urodzenia. W przypadku dziecka instytucja powinna gromadzić informacje głównie o rodzicu lub opiekunie prawnym, tym bardziej że administrator powinien wykazać fakt, że zebrane zgody są prawidłowe.

Dane, które instytucja przetwarza obecnie na podstawie zgody, będzie mogła przetwarzać dalej - pod warunkiem że zgody spełniają warunki przewidziane w RODO. Zasadniczo można przyjąć, że jeśli zgody na przetwarzanie danych były zgodne z obowiązującymi przepisami, to będą też odpowiadać wymaganiom RODO. Trzeba jednak pamiętać o tym, że, jeżeli przetwarzanie odbywa się na podstawie zgody, instytucja musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

RADA

Przygotowując się do nowych przepisów, instytucja powinna dokonać inwentaryzacji podstaw prawnych przetwarzania danych. W przypadku przetwarzania na podstawie zgody należy ocenić, czy instytucja będzie w stanie udowodnić wyrażenie zgody oraz wykazać, że zgody spełniają wymagania stawiane przez uchylaną dyrektywę 95/46/WE. Jeśli tak, dane można przetwarzać, jeśli nie - zapewne trzeba będzie zebrać je ponownie. Instytucja powinna też przeanalizować, czy i w jakich przypadkach zbiera się dane dzieci, oraz przygotować rozbudowanie procesu o weryfikację wieku oraz zgody rodzica bądź opiekuna prawnego.

19. Prawo do przenoszenia danych

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane innemu administratorowi bez przeszkód ze strony administratora, któremu dane te dostarczono (art. 20 RODO).

Będzie to możliwe wtedy, gdy:

● przetwarzanie danych przez instytucję odbywa się automatycznie,

● instytucja przetwarza dane na podstawie zgody lub w celu zawarcia bądź realizacji umowy (dane zwykłe), bądź na podstawie zgody (dane wrażliwe).

Co do zasady, instytucja może przenosić takie dane, które przetwarzane są w pełni automatycznie i wyłącznie na podstawie zgody osoby, której dotyczą. Powstaje jednak pytanie, co należy rozumieć przez "w pełni automatyczne przetwarzanie". Odpowiedź znajdujemy w opracowaniu Grupy Roboczej Art. 29 - "Wytyczne dotyczące prawa do przenoszenia danych".

WAŻNE!

Celem przenoszenia danych jest ułatwienie zamiany jednego dostawcy usług na innego.

Głównym celem przenoszenia danych jest ułatwienie zamiany jednego dostawcy usług na innego, zwiększając konkurencję wśród dostawców usług (ułatwiając osobom zmianę dostawców usług). Umożliwia ono tworzenie nowych usług w kontekście strategii jednolitego rynku cyfrowego. Przenoszenie ma też na celu tworzenie "interoperacyjnych systemów, a nie kompatybilnych systemów". Zgodnie z Wytycznymi chodzi o możliwość łatwego przenoszenia, kopiowania lub przesyłania danych osobowych z jednego środowiska IT do innego.

WAŻNE!

Wszystkie instytucje będą musiały odpowiednio zmodyfikować systemy, aby były one w stanie wygenerować dane do przeniesienia.

Stosownie do art. 12 ust. 3 RODO, dane należy przekazać:

● bez zbędnej zwłoki, lub

● w terminie miesiąca od otrzymania żądania, lub

● w ciągu maksymalnie trzech miesięcy w przypadku naprawdę skomplikowanych spraw, pod warunkiem że poinformuje się osobę o przyczynach takiego odległego terminu.

RADA

Instytucje powinny zacząć opracowywać środki, które przyczynią się do udzielania odpowiedzi na wnioski o przeniesienie danych - takie jak narzędzia do pobierania i interfejsy programowania aplikacji (Application Programming Interfaces - API).

Jednostki powinny zagwarantować, że dane osobowe będą przekazywane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Muszą też zapewnić interoperacyjność formatu danych przekazywanych w ramach realizacji wniosku o przeniesienie danych.

WAŻNE!

Modyfikacja systemów informatycznych to często proces długotrwały i pracochłonny. Wiele instytucji musi liczyć się z koniecznością całkowitej wymiany systemu, inne - z kosztownymi zmianami.

20. Rozszerzone prawo do usunięcia danych i ograniczenia przetwarzania

Zgodnie z motywem 66 Preambuły, aby wzmocnić prawo do bycia zapomnianym w Internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe, o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji.

Natomiast stosownie do art. 17 RODO, osoba, której dane dotyczą, ma prawo żądania od administratora, aby dane zostały usunięte, jeśli:

● nie są już potrzebne do celu przetwarzania,

● zgoda na przetwarzanie została cofnięta,

● dane są przetwarzane niezgodnie z prawem,

● dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego,

● osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania,

● dane osobowe muszą zostać usunięte ze względu na prawo Unii lub państwa członkowskiego, któremu podlega administrator.

RODO przewiduje też możliwość zażądania, aby usunięto dane zebrane w związku z oferowaniem usług społeczeństwa informacyjnego. Jeśli instytucja upubliczniła dane osobowe, powinna podjąć racjonalne działania (w tym środki techniczne), by poinformować innych administratorów przetwarzających te dane, że osoba, której dane dotyczą, wystąpiła o to, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych lub ich replikację. Prawo do usunięcia danych upublicznionych zostało tym samym istotnie wzmocnione.

W myśl art. 18 RODO, przetwarzanie danych osobowych można ograniczyć wyłącznie do przechowywania, jeśli osoba kwestionuje prawdziwość danych lub gdy cel przetwarzania wygasł, ale dane należy dalej przechowywać na wypadek potencjalnych roszczeń. Prawo do usunięcia danych istniało już w dotychczasowej polskiej ustawie o ochronie danych osobowych - jednak w znacznie uproszczonej wersji. RODO znacznie rozszerza zakres tych przepisów.

RADA

Należy zachować procedury i procesy, które wymagane były przez dotychczasowe przepisy, a które dotyczą usuwania danych w przypadku złożenia sprzeciwu czy odwołania zgody.

Inne podmioty, którym udostępniono zbiór danych, musiały być jedynie informowane o uaktualnieniu lub sprostowaniu danych. Nie było wprost w przepisach wyrażonego obowiązku przekazywania żądania. Możliwe, że konieczne będzie utrzymywanie rejestru podmiotów, którym dane udostępniono, aby móc im przekazać każdy wniosek o usunięcie danych.

Rozdział II. Administrator danych osobowych w sektorze publicznym

1. Definicja pojęcia administratora danych osobowych

Pojęcie przetwarzania oraz pojęcie administratora danych osobowych to kluczowe pojęcia dla całego prawa ochrony informacji. Z kolei przetwarzanie danych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Jest to np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 7 pkt 2 RODO).

Administratorem danych osobowych jest podmiot, który posiada faktyczne władztwo nad danymi osobowymi w procesie ich przetwarzania. Decyduje o celach i środkach przetwarzania danych osobowych. Jednocześnie ponosi odpowiedzialność - poza przypadkami powierzenia danych osobowych do przetwarzania - za zgodność z prawem operacji wykonywanych na danych osobowych. Wiedząc, kto jest administratorem danych osobowych, można więc w praktyce zrealizować jeden z fundamentalnych postulatów ochrony danych osobowych - zagwarantowanie rozliczalności w procesie przetwarzania danych.

Pełna legalna definicja administratora zawarta jest w art. 4 pkt 7 RODO.

Administrator danych osobowych - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Definicja administratora wskazuje na dwa podstawowe elementy tego pojęcia:

1) decydowanie o celach przetwarzania danych osobowych,

2) decydowanie o sposobach przetwarzania danych.

Każdy podmiot, który został objęty zakresem podmiotowym wskazanym w RODO, może zostać uznany za administratora danych, jeżeli jednocześnie decyduje o celach i sposobach przetwarzania danych.

2. Administrator danych osobowych a podmiot przetwarzający dane na zlecenie

Elementy wchodzące w skład definicji administratora danych osobowych - a więc decydowanie o celach i sposobach przetwarzania danych osobowych - łącznie składają się na sprawowanie władztwa nad przetwarzanymi danymi. Administrator danych nie zawsze jednak faktycznie jest w posiadaniu danych osobowych. Podstawowym kryterium odróżniającym administratora danych osobowych od innych podmiotów przetwarzających dane jest sprawowanie faktycznej kontroli nad przetwarzaniem danych, czyli decydowanie o celach i sposobach przetwarzania, nie zaś faktyczne przetwarzanie, które może zostać powierzone innemu podmiotowi.

NSA

Za administratora danych osobowych nie można uznać "każdego dysponenta danych". Administratorem danych osobowych "nie jest (...) każdy dysponent danych osobowych (...). Jest nim ten, kto decyduje o celach i środkach przetwarzania, przy czym zasadnicze znaczenie ma rodzaj i charakter nadanych przez prawo kompetencji z zakresu spraw publicznych.

Wyrok NSA z 30 stycznia 2002 r. (sygn. akt II SA 1098/01).

Administrator danych osobowych podejmuje samodzielne decyzje dotyczące celów i sposobów przetwarzania danych.

Cele przetwarzania - pewne wartości, dla urzeczywistnienia których dochodzić będzie do przetwarzania danych osobowych.

Sposoby przetwarzania - w aspekcie decydowania o tych sposobach oznacza dokonywanie wyboru technicznych środków przetwarzania danych.

Oznacza to, że administrator danych osobowych samodzielnie decyduje o tym, dla realizacji jakich celów (po co?) dochodzić będzie do przetwarzania danych osobowych oraz w jaki sposób (jak?) to przetwarzanie będzie następowało. To właśnie te cechy pozwalają na odróżnienie administratora danych osobowych od podmiotu przetwarzającego dane na zlecenie, który nie decyduje o celach przetwarzania danych osobowych. Jest uprawniony do przetwarzania danych wyłącznie w celu określonym umową.

WAŻNE!

Status administratora danych osobowych jest wyłącznie wynikiem podejmowania przez podmiot, o którym mowa w art. 4 pkt 7 RODO, decyzji w zakresie określania celów i środków przetwarzania danych osobowych.

3. Administrator danych osobowych w sektorze publicznym

Za administratorów danych osobowych mogą zostać uznane:

1) organy państwowe,

2) organy samorządu terytorialnego,

3) organy państwowe,

4) komunalne jednostki organizacyjne,

5) podmioty niepaństwowe realizujące zadania publiczne.

WAŻNE!

Administratorem danych osobowych jest zawsze sam organ administracji, nie zaś obsługujący go urząd.

Aby ustalić, czy dany podmiot może być uznany za administratora danych, należy przeanalizować przepisy mające zastosowanie w określonej sytuacji (zwłaszcza przepisy dotyczące kompetencji podmiotu), związane z przetwarzaniem danych, pozwalające na stwierdzenie, kto decyduje o konkretyzacji celów, dla realizacji których dane są gromadzone, i środków przetwarzania tych danych osobowych. W przypadku sektora publicznego o tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji oraz przekazane ustawowo zadania.

Zgodnie z art. 7 Konstytucji organy władzy publicznej działają na podstawie i w granicach przepisów prawa. Tym samym podmioty publiczne (w tym jednostki samorządowe), prowadząc swoją działalność (także wówczas, gdy wiąże się ona z przetwarzaniem danych osobowych), powinny mieć na uwadze, że działalność ta musi znajdować oparcie w statuujących je przepisach ustrojowych oraz przepisach prawa administracyjnego, które stosują.

Administratorem danych w jednostkach samorządowych jest zarówno organ wykonawczy jednostki, jak też inny organ administracyjny działający w ramach samorządu, wskazany przepisami prawa. Mogą to być również samorządowe jednostki organizacyjne realizujące swe statutowe obowiązki, które decydują o celach i środkach przetwarzania danych osobowych.

Będą to zatem:

● w przypadku gmin (w zależności od wielkości gminy) - wójt, burmistrz lub prezydent,

● w przypadku powiatów - zarząd powiatu, a w pewnych sytuacjach starosta,

● w województwach - zarząd województwa lub marszałek województwa.

W jednostkach samorządu terytorialnego administratorami danych mogą być oczywiście także jednostki organizacyjne realizujące swe statutowe zadania.

Warto przypomnieć, że organy wykonawcze jednostek samorządowych kierują pracą obsługujących je urzędów. W praktyce decydują więc o tym, w jaki sposób są realizowane zadania w tych urzędach (art. 33 ustawy o samorządzie gminnym, art. 33 ustawy o samorządzie powiatowym, art. 45 ustawy o samorządzie województwa).

4. Marszałek województwa jako administrator danych

Do kompetencji marszałka województwa należy:

● organizowanie pracy zarządu województwa oraz urzędu marszałkowskiego,

● kierowanie bieżącymi sprawami województwa, oraz

● reprezentowanie go na zewnątrz.

Marszałek województwa jest też kierownikiem urzędu marszałkowskiego oraz zwierzchnikiem służbowym jego pracowników, a także kierowników wojewódzkich samorządowych jednostek organizacyjnych.

Zgodnie z art. 46 ust. 1 ustawy o samorządzie województwa marszałek województwa - jeżeli przepisy szczególne nie stanowią inaczej - wydaje decyzje w indywidualnych sprawach z zakresu administracji publicznej. Stosownie do tego przepisu marszałek województwa prowadzi też sprawy z zakresu administracji publicznej, przekazane mu do realizacji przez przepisy materialnego prawa administracyjnego.

Przykład

Przepis art. 77 ust. 2 ustawy z 5 stycznia 2011 r. o kierujących pojazdami stanowi, że ewidencję lekarzy uprawnionych do przeprowadzania badań lekarskich osób ubiegających się o kierowanie pojazdami prowadzi marszałek województwa. Przepis art. 77 ust. 3 wskazuje z kolei, że w ewidencji uprawnionych lekarzy umieszcza się następujące dane lekarza:

1) numer ewidencyjny,

2) imię i nazwisko,

3) numer PESEL, a w przypadku osoby nieposiadającej numeru PESEL - serię, numer i nazwę dokumentu potwierdzającego tożsamość oraz nazwę państwa, które wydało ten dokument,

4) adres zamieszkania,

5) numer prawa wykonywania zawodu,

6) adres jednostki organizacyjnej, w której przeprowadza badania.

Dodatkowo, w myśl art. 85 ust. 3 ustawy o kierujących pojazdami, organem właściwym do prowadzenia rejestru przedsiębiorców prowadzących pracownię psychologiczną jest marszałek województwa właściwy ze względu na miejsce prowadzenia działalności. Podmioty te zawiadamiają marszałka województwa o rozpoczęciu działalności pracowni psychologicznej najpóźniej na 14 dni przed dniem jej rozpoczęcia, a w zawiadomieniu wskazują m.in.: imiona i nazwiska uprawnionych psychologów wykonujących badania psychologiczne wraz z ich numerami ewidencyjnymi.

Zgodnie z art. 87 ust. 3 ustawy o kierujących pojazdami marszałek województwa, właściwy ze względu na miejsce zamieszkania, prowadzi ewidencję uprawnionych psychologów.

W ewidencji umieszcza się następujące dane uprawnionego psychologa:

1) numer ewidencyjny,

2) imię i nazwisko,

3) numer PESEL, a w przypadku osoby nieposiadającej numeru PESEL - serię, numer i nazwę dokumentu potwierdzającego tożsamość oraz nazwę państwa, które wydało ten dokument,

4) adres zamieszkania,

5) oznaczenie pracowni psychologicznej, w której wykonuje on badania,

6) datę wydania zaświadczenia o wpisie do ewidencji.

Marszałek województwa, realizując te zadania, musi przetwarzać m.in. dane osobowe lekarzy uprawnionych do badania osób ubiegających się o kierowanie pojazdami oraz psychologów uprawnionych do przeprowadzania badań. Ma w tym zakresie określone kompetencje władcze. W świetle ustawy o ochronie danych decyduje zatem o celach i środkach przetwarzania danych osobowych lekarzy i psychologów ujętych w rejestrach. Tym samym marszałek województwa będzie administratorem tych danych ze wszystkimi tego konsekwencjami.

5. Starosta jako administrator danych

Identyczny mechanizm działa w przypadku pozostałych organów samorządowych, np. starosty.

Przykład

Zgodnie z art. 33 ust. 2 ustawy o kierujących pojazdami ewidencję instruktorów (nauki jazdy) prowadzi starosta właściwy ze względu na miejsce ich zamieszkania. W drodze decyzji administracyjnej m.in. wpisuje do ewidencji osobę spełniającą określone wymagania. Nadaje też instruktorowi numer ewidencyjny.

W ewidencji instruktorów umieszcza się następujące dane instruktora:

1) numer ewidencyjny,

2) imię i nazwisko,

3) numer PESEL, a w przypadku osoby nieposiadającej numeru PESEL - serię, numer i nazwę dokumentu potwierdzającego tożsamość oraz nazwę państwa, które wydało ten dokument,

4) adres zamieszkania,

5) wynikające z ukończonego kursu i zakresu złożonego egzaminu poszczególne rodzaje uprawnień, w zakresie których może prowadzić szkolenie, oraz daty ich uzyskania,

6) numer ewidencyjny ośrodka szkolenia kierowców lub numer ewidencyjny innego podmiotu, w którym prowadzi szkolenie,

7) datę ważności legitymacji.

Wszystkie informacje wpisane do ewidencji przez starostę stanowią dane osobowe instruktora.

Starosta organizuje pracę zarządu powiatu oraz starostwa powiatowego, kieruje bieżącymi sprawami powiatu oraz reprezentuje go na zewnątrz. Jest kierownikiem starostwa powiatowego oraz zwierzchnikiem służbowym jego pracowników, a także kierowników powiatowych samorządowych jednostek organizacyjnych. Jednocześnie wydaje decyzje administracyjne w indywidualnych sprawach z zakresu administracji publicznej, należących do właściwości powiatu (chyba że przepisy szczególne przewidują wydawanie decyzji przez zarząd powiatu).

W związku z tym, że starosta ustawowo został powołany do prowadzenia tej ewidencji, decyduje o celach przetwarzania tych danych. Może też swobodnie określać środki ich przetwarzania. Jest zatem administratorem tych danych.

6. Administrator danych w stosunku do konkretnych zbiorów

Podstawową kwestią jest ustalanie we właściwych przepisach prawa, jaki podmiot z sektora publicznego pełni funkcję administratora danych osobowych w stosunku do konkretnych zbiorów danych.

Przykład

Za administratora danych osobowych zawartych w centralnej ewidencji pojazdów oraz w centralnej ewidencji kierowców uznaje się ministra właściwego do spraw informatyzacji (art. 80a ust. 4 oraz art. 100a ust. 4 ustawy z 20 czerwca 1997 r. - Prawo o ruchu drogowym).

Jako administrator danych osobowych zawartych w centralnej ewidencji naruszeń stwierdzonych w wyniku przeprowadzanych kontroli przez inspektorów Inspekcji Transportu Drogowego wskazany został Główny Inspektor Transportu Drogowego (art. 80 ust. 3 ustawy z 6 września 2001 r. o transporcie drogowym).

Przepisy rzadko jednak wyraźnie wskazują podmioty pełniące funkcję administratora danych osobowych. W związku z tym status administratora danych osobowych w sferze publicznej powinno się oceniać z perspektywy definicji zawartej w art. 4 pkt 7 RODO. Jednak w przypadku administratorów danych ze sfery prawa publicznego przesłankę decydowania o celach i środkach przetwarzania danych osobowych należy rozumieć inaczej. Swobodę przysługującą tym podmiotom w zakresie celów przetwarzania danych osobowych wyznaczają właściwe przepisy prawa określające realizowane przez te podmioty zadania. Przepisy zazwyczaj wskazują też przysługujące im środki przetwarzania danych osobowych.

WAŻNE!

Administratorzy danych w jednostkach sektora publicznego mają możliwość decydowania w zakresie celów i środków przetwarzania danych jedynie w granicach zakreślonych przez przepisy prawa, dla których realizacji następuje przetwarzanie tych danych.

Można wskazać następujące przesłanki uznania danego podmiotu za administratora danych osobowych:

1) cel przetwarzania danych osobowych w sektorze publicznym będzie wyznaczony w sposób mniej lub bardziej konkretny właściwymi przepisami prawa,

2) administrator danych będzie wyłącznie konkretyzował tak wskazany cel, żeby odpowiadał on potrzebom realizowanego przez niego zadania publicznego, wykorzystując środki przetwarzania danych, do jakich zgodnie z właściwymi przepisami ma dostęp.

7. Przetwarzanie danych osobowych w celu wykonywania określonych prawem zadań

Przetwarzanie danych osobowych w jednostkach administracji publicznej ma na celu wykonanie określonych prawem zadań. Oznacza to, że jednostki te nie mogą samodzielnie decydować o wykorzystywaniu zbieranych danych. Jest to wynik konstytucyjnej zasady praworządności (wyrażonej w art. 7 Konstytucji), przeniesionej na grunt postępowania administracyjnego przez art. 6 i 7 Kodeksu postępowania administracyjnego.

Kompetencje przysługujące danemu podmiotowi publicznemu każdorazowo zatem wyznaczają zakres dopuszczalnych czynności przetwarzania danych osobowych przez ten podmiot. Determinują także status podmiotu przetwarzającego dane z punktu widzenia pojęcia administratora danych osobowych.

Oznacza to, że w przypadku instytucji administracji publicznej to nie element stanu faktycznego, którym jest sprawowanie faktycznego władztwa nad przetwarzanymi danymi, będzie miał pierwszorzędne znaczenie w celu określenia statusu danego podmiotu w procesie przetwarzania danych osobowych. Decydująca będzie tu rola przyznawana danemu podmiotowi przez przepisy prawa.

Rzadko się zdarza, aby właściwe przepisy wprost określały, kto pełni funkcję administratora przetwarzanych na ich podstawie danych. Co do zasady dotyczy to rejestrów publicznych. Kluczowe znaczenie mają tu więc kompetencje przyznane przez powszechnie obowiązujące przepisy prawa.

8. Zmiany wprowadzone ustawą o pomocy państwa w wychowywaniu dzieci

Zgodnie z art. 23 ust. 2a dotychczasowej ustawy o ochronie danych osobowych (dodanym ustawą z 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci), podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.

Przepis art. 7 Konstytucji stanowi wyraźnie, że organy władzy publicznej działają na podstawie i w granicach prawa. Zatem to z przepisów o charakterze szczególnym - w tym właściwych przepisów kompetencyjnych - powinny wynikać zakres i sposób wykonywania zadań przez administratorów danych. Również na podstawie takich przepisów należy oceniać zakres odpowiedzialności oraz dopuszczalnego przetwarzania danych przez poszczególnych administratorów danych i podmioty przetwarzające dane. Każdy z administratorów odpowiada więc za realizację zadań we własnym, wyznaczonym właściwymi przepisami, zakresie - nie zaś wraz z innymi podmiotami. Nie może być mowy również o odpowiedzialności solidarnej. Na gruncie prawa administracyjnego nie jest znana konstrukcja odpowiedzialności solidarnej (którą sformułowanie art. 23 ust. 2a dotychczasowej ustawy o ochronie danych osobowych mogłoby sugerować).

9. Dwa typy administratorów danych osobowych

W wyniku zmiany wprowadzonej przez ustawę o pomocy państwa w wychowywaniu dzieci w przepisach dotychczasowej ustawy o ochronie danych osobowych można wyróżnić dwa rodzaje administratorów danych osobowych:

1) podmioty należące do sektora prywatnego, którymi są podmioty decydujące o celach i środkach przetwarzania danych osobowych,

2) podmioty należące do sektora publicznego, którymi są podmioty decydujące o celach i środkach przetwarzania danych osobowych.

WAŻNE!

Podmioty te uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.

Przepis art. 23 ust. 2a dotychczasowej ustawy o ochronie danych osobowych nakazuje zatem w pewnych okolicznościach uznawać kilka podmiotów ze sfery prawa publicznego "za jednego administratora danych". Przepis ten należy więc interpretować łącznie z art. 4 pkt 7 RODO i dopiero w ten sposób starać się wyznaczać zakres pojęcia administratora danych w sektorze publicznym.

Pojęcie administratora danych w sferze publicznej możemy interpretować na dwa sposoby, poprzez:

1) uznanie, że mamy do czynienia z jednym, "zbiorowym" administratorem danych, jeżeli przetwarzanie danych przez kilka organów "służy temu samemu interesowi publicznemu",

2) uznanie, że mamy do czynienia z kilkoma organami będącymi jednocześnie administratorem tych samych danych, jeżeli przetwarzanie danych "służy temu samemu interesowi publicznemu".

Podstawą pierwszej interpretacji jest językowa wykładnia art. 23 ust. 2a dotychczasowej ustawy o ochronie danych osobowych. Kilka organów uważa się "za jednego administratora danych" - jednego, czyli zbiorowego administratora danych. Jak wskazano w piśmie GIODO z 9 lutego 2016 r. (DOLiS-033-32/16, www.giodo.gov.pl), taka wykładnia byłaby jednak sprzeczna z "aktualnym modelem ochrony danych osobowych", w tym z RODO. Taki rezultat wykładni należy zatem odrzucić ze względu na zasadę prowspólnotowej wykładni prawa krajowego. Jeżeli mówimy o przekazywaniu danych między organami, to te organy nie stanowią jednego, "zbiorowego" administratora danych. Wręcz przeciwnie - każdy z nich pełni taką rolę samodzielnie. Oznacza to, że należy odrzucić stanowisko, że na gruncie art. 23 ust. 2a ustawy o ochronie danych osobowych mamy do czynienia z jednym, "zbiorowym" administratorem danych.

Druga możliwa interpretacja zakłada, że kilka organów administracji publicznej może pełnić jednocześnie rolę administratora tych samych danych osobowych. Taka możliwość wynika wprost z art. 4 pkt 7 RODO. Określając administratora danych osobowych, przepis ten posługuje się zwrotem "samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych". Takie stanowisko jest powszechnie akceptowane w nauce prawa.

Wypracowany na postawie przepisów prawa Unii Europejskiej system ochrony danych osobowych opiera się na konstrukcji administratora danych, czyli najważniejszego podmiotu w procesie przetwarzania danych, decydującego o celach i środkach przetwarzania danych osobowych (art. 4 pkt 7 RODO). Administrator danych - zarówno ze względu na ciążące na nim obowiązki wynikające z przepisów RODO, jak i posiadane przez niego uprawnienia w procesie przetwarzania danych - musi być jednoznacznie zidentyfikowany. Na kwestię tę zwróciła uwagę Grupa Robocza Art. 29, która w Opinii 1/2010 w sprawie pojęć "administrator danych" i "przetwarzający", przyjętej 16 lutego 2010 r., wskazała, że definicja administratora danych kładzie nacisk m.in. na aspekt o charakterze personalnym, tzn. administratorem danych może być: osoba fizyczna lub prawna, władza publiczna, agencja lub inny organ.

WAŻNE!

Administratorem danych osobowych może być jeden organ (administracji publicznej), a nie grupa organów.

Taka interpretacja prowadzi do wniosku, że między niektórymi podmiotami ze sfery prawa publicznego będzie dochodziło do "ułatwionego" przekazywania danych osobowych - niestanowiącego udostępniania danych w rozumieniu prawa i niewymagającego istnienia ku temu podstawy prawnej w przepisach rangi ustawy. Podobnie wypowiada się również GIODO w komunikacie dotyczącym nowelizacji ustawy o ochronie danych osobowych.

10. Pojęcie interesu publicznego

W omawianej definicji administratora danych osobowych w sferze publicznej (zakładającej, że kilka organów administracji publicznej pełni jednocześnie rolę administratora wobec tych samych danych osobowych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu) bardzo istotne jest pojęcie interesu publicznego. Pojęcie to ma charakter niejednolity. Jego treść może się zmieniać w zależności od sytuacji politycznej, systemu wartości wyznawanych w danym państwie czy gałęzi prawa, w której się pojawia.

Przepisy prawa nie definiują pojęcia interesu publicznego. W nauce prawa przyjmuje się, że interes publiczny to wartości powszechnie uznawane za podstawowe i wspólne dla całego społeczeństwa - np. bezpieczeństwo ekologiczne i ochrona środowiska. Interes publiczny jest więc kategorią wartości. Przykładowo na gruncie ustawy o pomocy państwa w wychowaniu dzieci będzie nim pomoc rodzinie. Na podstawie innych przepisów pojęcie interesu publicznego może oznaczać np. pomoc bezrobotnym, obronność i bezpieczeństwo państwa czy porządek publiczny.

11. Wymiana danych między organami władzy publicznej

W związku z nową definicją administratora danych osobowych w sferze publicznej, przekazywanie danych osobowych między kilkoma organami administracji publicznej - będącymi administratorami tych danych - nie będzie już uznawane za udostępnienie danych osobowych, jeżeli przetwarzają oni dane dla realizacji tego samego interesu publicznego.

Alternatywne kryterium uznawania danego organu za administratora danych nie zostało wprowadzone. Wymiana danych w celu realizacji interesu publicznego jest zatem możliwa wyłącznie między tymi podmiotami, które już obecnie mają status administratora danych osobowych. Takie przekazywanie danych między administratorami nie będzie też skutkowało obowiązkiem poinformowania osoby, której dane dotyczą. Nie znajdzie tu również zastosowania zasada adekwatności danych osobowych i stanowiąca jej konstytucyjne źródło zasada autonomii informacyjnej jednostki. Wymiana danych między organami władzy publicznej w każdym przypadku musi jednak opierać się na zasadzie proporcjonalności - rozumianej w ten sposób, że przetwarzane dane muszą być niezbędne dla rozstrzygnięcia danej sprawy.

Jak słusznie wskazuje GIODO, wprowadzona przez art. 23 ust. 2a obowiązującej dotychczas ustawy o ochronie danych osobowych koncepcja "jednego administratora" w odniesieniu do podmiotów administracji publicznej (zgodnie z którą podmioty te łącznie stanowią jednego administratora) spowoduje trudności w praktycznym stosowaniu przepisu z uwagi na fakt, że prounijna wykładnia przepisów wyklucza tego rodzaju konstrukcję. Wskazany w RODO model administrowania danymi przez podmioty publiczne w żadnym wypadku nie może wyłączyć odpowiedzialności któregokolwiek z administratorów ani zwolnić go z wykonywania ustawowych obowiązków. Każdy administrator danych nadal będzie zobowiązany do realizacji nałożonych na niego właściwymi przepisami zadań i żaden inny podmiot nie będzie mógł go w tym zakresie wyręczyć. Należy zatem oczekiwać, że omawiany przepis zostanie w najbliższym czasie zmieniony bądź uchylony.

12. Powierzenie przetwarzania danych przez podmioty administracji publicznej

Instytucja powierzenia przetwarzania danych osobowych ma charakter powszechny. Dotyczy zlecania określonych czynności przetwarzania danych osobowych między dwoma podmiotami, z których jednemu przysługuje status administratora danych, a drugiemu status podmiotu przetwarzającego dane osobowe na zlecenie.

Nie ma wątpliwości, że powierzanie przetwarzania danych osobowych przez podmioty z sektora publicznego jest dopuszczalne. Aby powierzyć dane do przetwarzania między podmiotami z sektora publicznego, nie jest konieczne, aby właściwy przepis prawa wyraźnie to dopuszczał. Wystarczy, że we właściwych przepisach znajduje się podstawa prawna do zawarcia określonego porozumienia między podmiotami prawa publicznego. Jeżeli z wykonaniem takiego porozumienia związane będzie powierzenie danych do przetwarzania - wówczas należy uznać, że powierzenie takie jest dopuszczalne.

13. Umowa o powierzenie danych osobowych

Zgodnie z art. 31 ust. 1 dotychczasowej ustawy o ochronie danych osobowych w razie powierzenia danych do przetwarzania, na administratora danych nałożono obowiązek zawarcia - w formie pisemnej - umowy dotyczącej takiego zlecenia. Jednak brak dochowania tego wymogu nie skutkuje nieważnością umowy. Umowa niespełniająca tego wymogu (np. umowa ustna) jest ważna, może jednak powodować niekorzystne skutki na gruncie prawa administracyjnego. Niespełnienie tego wymogu powoduje naruszenie przepisów ustawy o ochronie danych osobowych i może powodować sankcje w postaci decyzji administracyjnej o przywróceniu stanu zgodnego z prawem.

Przepisy ustawy o pomocy państwa w wychowaniu dzieci wprowadzają istotne zmiany również w zakresie umowy o powierzeniu przetwarzania danych. Dodany do art. 31 ustawy o ochronie danych osobowych ustęp 2a zawiera bowiem wyjątek od zasady pisemności takiej umowy. Przepis ten wyłącza obowiązek zawarcia umowy w formie pisemnej, o ile obie strony stosunku powierzenia danych do przetwarzania - a więc zarówno administrator danych, jak i podmiot przetwarzający - są podmiotami z sektora publicznego.

Wymóg zawarcia umowy w formie pisemnej jest natomiast nadal aktualny w przypadku zlecenia przetwarzania danych podmiotowi z sektora prywatnego oraz podmiotom niepublicznym realizującym zadania publiczne.

WAŻNE!

Z art. 31 ust. 2a obecnej ustawy o ochronie danych osobowych wynika, że podmioty administracji publicznej nie mają prawnego obowiązku zawierania jakiejkolwiek umowy w zakresie powierzenia przetwarzania danych osobowych między podmiotami z sektora publicznego.

14. Art. 31 ust. 2a ustawy o ochronie danych osobowych w świetle RODO

Wprowadzona ustawą o pomocy państwa w wychowaniu dzieci zasada (wyłączająca obowiązek zawarcia umowy o przetwarzanie w formie pisemnej) budzi wątpliwości co do zgodności z przepisami RODO. Na gruncie przepisu art. 28 ust. 3 RODO przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Jak słusznie podkreśla GIODO, przyjęcie takiej zasady może spowodować problemy w praktyce. Tego rodzaju ogólna regulacja, bez jednoczesnego stworzenia w tym zakresie odpowiednich gwarancji - w szczególności jasnego określenia zasad, na jakich to powierzenie ma mieć miejsce - jest niewystarczającą podstawą do powierzenia przetwarzania danych innemu podmiotowi. W przeciwnym razie powierzenie odbywać się musi na zasadach ogólnych, tj. na podstawie umowy, o której mowa w art. 31 ust. 1 ustawy o ochronie danych osobowych (powierzenie umowne).

15. Art. 31 ust. 2a a kontrola GIODO

Od czasu wejścia w życie art. 31 ust. 2a ustawy o ochronie danych osobowych brak zawartej przez podmioty z sektora publicznego umowy powierzenia przetwarzania danych nie może być samodzielną podstawą do wydania przez GIODO decyzji administracyjnej (nakazującej przywrócenie stanu zgodnego z prawem) na podstawie art. 18 ustawy o ochronie danych osobowych. Jednak możliwe jest wydanie takiej decyzji w oparciu o stwierdzenie nieprawidłowości w zakresie wykonywania innych obowiązków związanych z powierzeniem przetwarzania danych osobowych.

16. Skutki wyłączenia dla zastosowania środków zabezpieczenia danych

Mimo że nie ma obowiązku zawarcia pisemnej umowy powierzenia przetwarzania danych osobowych, podmiot przetwarzający dane na zlecenie z sektora publicznego będzie jednak nadal adresatem pewnych obowiązków wynikających z samego faktu przetwarzania danych. Chodzi o obowiązki, o których mowa w art. 36-39a ustawy o ochronie danych osobowych. Z art. 31 ust. 5 tej ustawy wynika, że uprawnienia kontrolne GIODO mogą być wykonywane w stosunku do podmiotu przetwarzającego dane osobowe na zlecenie administratora danych. W myśl tego przepisu, w takich przypadkach należy stosować odpowiednio przepisy art. 14-19 ustawy o ochronie danych osobowych.

Stosując językową wykładnię art. 31 ust. 3 w zw. z ust. 1 ustawy o ochronie danych osobowych, można by uznać, że obowiązek stosowania środków zabezpieczenia danych, o których mowa w art. 36-39a ustawy o ochronie danych osobowych, i wiążąca się z tym odpowiedzialność administracyjna dotyczy tylko tych podmiotów, które zawarły umowę na piśmie z administratorami danych. Wykładnia taka prowadziłaby do wyłączenia (w stosunku do podmiotów z sektora publicznego, które nie mają zawartej umowy na piśmie z administratorem danych z sektora publicznego) obowiązku stosowania przepisów art. 36-39a ustawy o ochronie danych osobowych - a więc ich odpowiedniego zabezpieczenia. Ich działanie nie podlegałoby więc w tym zakresie kontroli GIODO.

Taką interpretację wyklucza jednak cel regulacji. W tym wypadku należy zatem stosować wykładnię celowościową powyższych przepisów. Tym samym należy uznać, że wymogi z art. 31 ust. 3 ustawy o ochronie danych osobowych dotyczą również tej kategorii podmiotów pomimo braku (obowiązku) zawarcia przez nie umowy powierzenia przetwarzania danych w formie pisemnej.

17. Inne konsekwencje wprowadzenia art. 31 ust. 2a ustawy o ochronie danych osobowych

Nakaz odpowiedniego stosowania przepisów regulujących zasady przeprowadzania kontroli oznacza, że jeżeli podmiot kontrolowany ma status podmiotu przetwarzającego dane osobowe na zlecenie, to powinna zostać uwzględniona specyfika przetwarzania danych osobowych na podstawie umowy. A w związku z brakiem obowiązku zawarcia takiej umowy - przy jednoczesnym braku innych dokumentów w tym zakresie (np. porozumień, pism) - oraz brakiem aktu prawnego szczegółowo regulującego te kwestie mogą powstać istotne trudności lub wręcz brak możliwości określenia zakresu zgodnych z prawem operacji na danych osobowych, do których upoważniony jest procesor. W konsekwencji nie będzie można określić zakresu jego odpowiedzialności za niezgodne z prawem przetwarzanie danych osobowych (zasada rozliczalności), jak też obowiązku ich zabezpieczenia.

W niektórych, bardziej skomplikowanych stanach faktycznych sytuacja ta może także uniemożliwić podmiotowi danych ustalenie, który organ administracji publicznej jest administratorem, a który podmiotem, któremu przetwarzanie danych powierzono. W przypadku większej liczby powierzeń przetwarzania danych osobowych pomiędzy tymi samymi organami administracji publicznej będzie to też utrudniało ustalenie zakresu i celu poszczególnych powierzeń.

Dlatego też, jak wskazał GIODO w swoim komunikacie, do czasu zmiany tej niefortunnej regulacji organ do spraw ochrony danych osobowych będzie interpretował przepisy art. 23 ust. 2a oraz art. 31 ust. 2a ustawy o ochronie danych osobowych, uwzględniając całokształt zaprezentowanych wyżej rozważań. Jednocześnie, mając na względzie niezgodność konstrukcji prawnej przewidzianej w art. 23 ust. 2a z obowiązującym prawem europejskim, Generalny Inspektor Ochrony Danych Osobowych będzie dążył do zmiany tego aktu prawnego.

Rozdział III. Obowiązki instytucji administracji publicznej po wejściu w życie RODO

1. Pojęcie i charakter zbiorów danych w sektorze publicznym

W myśl art. 7 pkt 1 dotychczasowej ustawy o ochronie danych osobowych zbiór danych to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Z kolei według art. 4 pkt 6 RODO zbiór danych oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów - niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

Zbiory danych prowadzone przez jednostki administracji publicznej mają szczególny charakter. Dotychczas - stosownie do przepisów ustawy o ochronie danych osobowych - w zależności od rodzaju zbioru i gromadzonych w nim danych podlegały one obowiązkowi rejestracji w GIODO bądź też były z takiego obowiązku zwolnione.

WAŻNE!

W przepisach RODO zrezygnowano z obowiązku rejestracji zbiorów danych osobowych. Zbiorów nie trzeba już rejestrować. W zamian za to podmioty sektora publicznego będą miały obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych.

Poniżej przedstawiamy krótką charakterystykę zbiorów danych, które najczęściej pojawiają się w sektorze publicznym.

1.1. Wykazy radnych

Dotychczas z obowiązku rejestracji zbioru danych zwolnieni byli administratorzy danych tworzonych na podstawie przepisów dotyczących wyborów:

1) do Sejmu, Senatu, Parlamentu Europejskiego,

2) do rad gmin, rad powiatów i sejmików województw,

3) na urząd Prezydenta Rzeczypospolitej Polskiej,

4) na wójta, burmistrza, prezydenta miasta,

5) referendum ogólnokrajowego i referendum lokalnego.

Jednostki samorządu terytorialnego prowadzą tzw. wykazy radnych. W zależności od rodzaju jednostki wykazy radnych prowadzone są:

● w przypadku rady gminy - na podstawie przepisów ustawy z 8 marca 1990 r. o samorządzie gminnym;

● w przypadku rady powiatu - na podstawie przepisów ustawy z 5 czerwca 1998 r. o samorządzie powiatowym;

● w przypadku wojewódzkiego sejmiku samorządowego - na podstawie przepisów ustawy z 5 czerwca 1998 r. o samorządzie województwa.

Dotychczas wykazy radnych, jako nieobjęte przepisami ustawy o ochronie danych osobowych (zwolnione z obowiązku zgłoszenia do rejestracji), musiały być zgłaszane do rejestracji GIODO. Jednostka nie miała takiego obowiązku, jeśli powołała ABI i zgłosiła go GIODO do rejestracji. W takim przypadku ABI prowadził rejestr zbiorów danych przetwarzanych przez instytucję, do którego wpisywał taki zbiór.

Po wejściu w życie RODO wykazy radnych nie będą musiały być zgłaszane do GIODO.

1.2. Rejestr korespondencji

W praktyce działalności większości podmiotów publicznych prowadzone są rejestry pism przychodzących i wychodzących (dzienniki korespondencji). Rejestry te mają postać papierową bądź elektroniczną. Zawierają one wpisywane chronologicznie dane w postaci np.:

1) daty wpływu,

2) daty wysyłki,

3) danych określających nadawcę lub adresata korespondencji,

4) przedmiotu korespondencji.

Zgodnie z dotychczasowym brzmieniem art. 2 ust. 2 pkt 1 ustawy o ochronie danych osobowych, ustawę tę należało stosować do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Dotyczyło to nie tylko przetwarzania danych osobowych w zbiorach prowadzonych z użyciem systemów elektronicznych, lecz także w przypadku przetwarzania danych osobowych w zbiorach prowadzonych w formie papierowej.

WAŻNE!

W związku z zapisami RODO również rejestry korespondencji jako zbiory danych nie podlegają obowiązkowi rejestracji w GIODO.

1.3. Ewidencja czytelników bibliotek

Zbiory danych osobowych zawierające dane osobowe czytelników korzystających z powszechnie dostępnych bibliotek podlegały dotychczas obowiązkowi rejestracji. Jeżeli jednak biblioteka była wydzielona dla jakiejś kategorii użytkowników zrzeszonych w ramach podmiotu, który go prowadził, lub osób zatrudnionych - zbiór taki był zwolniony z obowiązku rejestracji. Wynikało to z art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych, zgodnie z którym z obowiązku rejestracji zwolnione były zbiory, w których przetwarzano dane osobowe dotyczące osób zatrudnionych u administratora danych osobowych lub uczących się w jednostce administratora danych (szkole). Jako zbiory zwolnione ze zgłoszenia do rejestracji nie były one także wpisywane do rejestru zbiorów danych przetwarzanych przez administratora danych prowadzonego przez ABI (w przypadku jego powołania).

Po wejściu w życie RODO wymienione zbiory nie będą podlegały obowiązkowi rejestracji.

Oprócz bibliotek powszechnie dostępnych dla każdego zainteresowanego istnieją także biblioteki dostępne tylko dla określonych kategorii osób (np. biblioteki zakładowe, dostępne tylko dla pracowników danego pracodawcy, czy biblioteki szkolne, dostępne tylko dla uczniów danej szkoły i jej pracowników).

Dotychczas, jeśli z biblioteki zakładowej korzystały tylko osoby zatrudnione u pracodawcy lub świadczące usługi na podstawie umów cywilnoprawnych, zbiór taki nie wymagał zgłoszenia do rejestracji z uwagi na to, że zbiór służy do przetwarzania danych osób zatrudnionych u administratora danych. Jeżeli z biblioteki korzystały osoby trzecie i niezatrudnione, to zbiór dotyczący tych osób podlegał obowiązkowi rejestracji. Od wejścia w życie RODO nie będzie już takiego obowiązku.

Zdarza się, że kilka szkół organizuje jedną bibliotekę szkolną. Umiejscowiona jest ona w jednej szkole, a korzystają z niej uczniowie kilku szkół. Administrator danych w szkole, w której usytuowana jest biblioteka, prowadzi więc zbiór danych dotyczących osób uczących się u niego oraz osób uczących się w innych szkołach.

Zgodnie z brzmieniem dotychczasowego art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych, zbiór danych osób nieuczących się w szkole administratora powinien był być zgłoszony do rejestracji. Od wejścia w życia RODO nie będzie już takiego obowiązku.

Obowiązkowi rejestracji nie podlegały natomiast zbiory danych dotyczących użytkowników systemu biblioteczno-informacyjnego, które prowadzone są przez uczelnie wyższe. W świetle art. 88 ust. 1 ustawy z 27 lipca 2005 r. - Prawo o szkolnictwie wyższym, w uczelni działa system biblioteczno-informacyjny, którego podstawę stanowi biblioteka. W związku z funkcjonowaniem systemu biblioteczno-informacyjnego uczelnia może przetwarzać określone w jej statucie dane osobowe osób korzystających z tego systemu. Na podstawie art. 88 ust. 5 tej ustawy zbiór danych osobowych prowadzony w ramach systemu biblioteczno-informacyjnego zwolniony był z obowiązku rejestracji.

Stosownie do przepisów RODO wymienione zbiory nie będą podlegały obowiązkowi rejestracji.

1.4. Newsletter

Jednym z podstawowych narzędzi dotarcia przez jednostki samorządu terytorialnego, ich jednostki pomocnicze oraz jednostki organizacyjne często do mieszkańców czy też wyborców są strony internetowe urzędów. Bardzo popularną formą przekazywania bieżących informacji o działalności jednostki jest newsletter. Osoby zainteresowane otrzymywaniem takich bezpłatnych treści z założenia podają dobrowolnie swój adres e-mail, a czasami także inne dane. Pozyskane w ten sposób adresy e-mail mogą stanowić zbiór danych osobowych w rozumieniu art. 4 ust. 6 RODO. Zbiory są uporządkowane, dostępne według określonych kryteriów, a sama struktura adresu e-mail może umożliwić identyfikację jego posiadacza.

Dotychczas z obowiązku rejestracji zwolnione były tylko podmioty przetwarzające zbiory, o których mowa w art. 43 ust. 1 ustawy o ochronie danych osobowych. Wymienione tam zbiory stanowiły wyjątki od ogólnej zasady rejestracji każdego zbioru danych osobowych. A zatem zbiór danych zawierający adresy e-mail osób, które chcą otrzymywać newsletter, powinien był być zgłoszony przez administratora danych do GIODO celem rejestracji bądź w przypadku powołania ABI i zgłoszenia go do GIODO - ujęty w rejestrze zbiorów danych przetwarzanych przez administratora danych.

Po wejściu w życie RODO zbiory te nie będą podlegały obowiązkowi rejestracji.

1.5. Zbiory informacji o osobach fizycznych występujących w obrocie gospodarczym

Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG) jest rejestrem przedsiębiorców będących osobami fizycznymi działających na terenie Polski. Rejestr prowadzony jest od 1 lipca 2011 r. w systemie teleinformatycznym przez ministra właściwego do spraw gospodarki na podstawie przepisów ustawy o swobodzie działalności gospodarczej.

Zgodnie z dotychczasowym brzmieniem art. 39b ustawy o swobodzie działalności gospodarczej, do jawnych danych i informacji udostępnianych przez CEIDG nie znajdowały zastosowanie przepisy ustawy o ochronie danych osobowych, z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 ustawy o ochronie danych osobowych.

Tym samym jawne dane z CEIDG nie mają co do zasady przymiotu danych osobowych. W konsekwencji obrót tymi informacjami nie podlegał reżimowi ustawy o ochronie danych osobowych (z wyjątkiem uprawnienia GIODO do kontrolowania tych danych i objęcia ich obowiązkiem zabezpieczenia). Administratorzy takich danych nie musieli m.in. zgłaszać zbiorów zawierających te informacje do rejestracji Generalnemu Inspektorowi. Nie musieli analizować, czy do ich gromadzenia mają dostateczną podstawę prawną wynikającą z ustawy o ochronie danych osobowych.

Powyższe dane osobowe może uzyskać każdy, kto wpisze jedną z danych osobowych przedsiębiorcy na stronie internetowej https://prod.ceidg.gov.pl/ceidg.cms.engine/ lub zapozna się z wydrukiem z tej strony.

Natomiast pozostałe dane osobowe przedsiębiorców zarejestrowanych w CEIDG czy też dane osobowe odnoszące się do pozostałych osób występujących w obrocie gospodarczym, co do zasady podlegały obowiązkowi rejestracji.

Po wejściu w życie RODO wymienione zbiory nie będą podlegały obowiązkowi rejestracji.

1.6. Dane gromadzone w Krajowym Rejestrze Sądowym

Dane umieszczone w KRS lub innych publicznych rejestrach nie są danymi powszechnie dostępnymi w rozumieniu art. 43 ust. 1 pkt 9 dotychczas obowiązującej ustawy o ochronie danych osobowych, w związku z czym podlegały dotychczas obowiązkowej rejestracji. W rejestrach KRS znajdują się dane członków organów, pełnomocników, prokurentów i kuratorów określonych kategorii podmiotów - w postaci imion i nazwisk tych osób, ich nr PESEL, rodzaju organu i pełnionej funkcji w organie oraz daty powołania i odwołania.

Pozyskiwanie przez podmiot publiczny do zbioru danych osobowych dostępnych w przestrzeni publicznej (np. z jawnego rejestru, takiego jak KRS) nie umożliwiało mu automatycznego korzystania z przewidzianej w art. 43 ust. 1 pkt 9 ustawy o ochronie danych osobowych przesłanki zwolnienia z obowiązku rejestracji zbioru zawierającego takie dane. W świetle dotychczasowego stanowiska GIODO wskazane zwolnienie miało zastosowanie tylko w przypadku, gdy wszystkie dane przetwarzane w takim zbiorze były powszechnie dostępne u samego administratora tych danych - czyli były upublicznione właśnie przez niego. Nie miało znaczenia, że dane i informacje te są jawne i dostępne np. w KRS i każdy ma prawo dostępu do nich. Musiały być one powszechnie dostępne w prowadzonym przez administratora danych zbiorze, który podlegał zwolnieniu z obowiązku rejestracji.

Po wejściu w życie RODO wszelkie tego rodzaju zbiory danych zostaną zwolnione z obowiązku rejestracji.

2. Rejestrowanie czynności przetwarzania

Przepisy RODO nakładają na administratora danych, zamiast rejestrowania zbiorów w GIODO, obowiązek prowadzenia rejestru przetwarzania danych osobowych. Rozporządzenie wskazuje, że każdy administrator oraz powołany przez niego przedstawiciel prowadzi rejestr wszystkich podlegających mu kategorii czynności przetwarzania danych osobowych.

Rejestr w rozumieniu RODO zastępuje politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym oraz wewnętrzne rejestry zbiorów, prowadzone obecnie przez administratorów bezpieczeństwa informacji. Rejestr ma stanowić kompleksową dokumentację z zakresu ochrony danych osobowych każdego administratora.

WAŻNE!

Rejestry przetwarzania danych mają mieć formę pisemną, w tym formę elektroniczną.

Administrator i podmiot przetwarzający oraz (jeżeli istnieje) przedstawiciel administratora na wniosek udostępniają rejestr czynności przetwarzania GIODO.

3. Zabezpieczenie danych

Po wejściu w życie RODO zabezpieczenie danych osobowych w dalszym ciągu jest obowiązkiem administratora danych. Jak stanowi art. 32 RODO, administrator wdraża odpowiednie środki techniczne i organizacyjne, by zapewnić poziom bezpieczeństwa stosowny do ryzyk związanych z przetwarzaniem oraz charakterem danych osobowych, które należy chronić. Musi to robić, uwzględniając najnowsze osiągnięcia techniczne oraz koszty ich wdrożenia. Nowe przepisy nieco odmiennie kształtują jednak poszczególne wymagania ciążące na podmiotach przetwarzających dane osobowe.

4. Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

Ważną nowością, jaką wprowadzają przepisy RODO, jest informowanie o wystąpieniu incydentu naruszenia ochrony danych osobowych organowi nadzorczemu.

Jeżeli dojdzie do naruszenia ochrony danych osobowych, skutkującego zagrożeniem dla praw i wolności osób fizycznych, administrator bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia, zgłasza naruszenie ochrony danych osobowych organowi nadzorczemu. Zgłoszeniu skierowanemu później niż w ciągu 72 godzin musi dodatkowo towarzyszyć umotywowane wyjaśnienie.

Natomiast podmiot przetwarzający - bez zbędnej zwłoki - po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je administratorowi.

WAŻNE!

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na zweryfikowanie przestrzegania ww. obowiązków.

Obowiązek zgłoszenia naruszenia ochrony danych osobowych spowoduje wprowadzenie bardziej restrykcyjnych zabezpieczeń i środków organizacyjnych przeciwdziałających naruszeniom. Konstrukcja zawiadamiania organu nadzorczego jest nowością. Wydaje się, że organizacje będą musiały przygotować plany postępowania w razie wystąpienia incydentu. Większe organizacje będą miały ułatwione zadanie. Już dzisiaj korzystają bowiem z dobrodziejstwa zarządzania ciągłością działania. Powstaje również pytanie, czy niektóre zgłoszenia incydentów będą mogły prowadzić do nałożenia grzywien administracyjnych, czy organ nadzorczy, jako okoliczność łagodzącą, weźmie jednak pod uwagę fakt "samodzielnego przyznania się" do wystąpienia incydentu.

5. Zawiadamianie osoby o naruszeniu ochrony jej danych osobowych

Kolejną nowością wprowadzoną przez przepisy RODO jest informowanie o incydencie naruszenia ochrony danych osobowych samej osoby, której dane dotyczą. Przepisy wskazują, że jeżeli naruszenie ochrony danych osobowych może nieść duże zagrożenie dla praw i wolności osób fizycznych, administrator - bez zbędnej zwłoki - zawiadamia osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych.

Zawiadomienie takie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych.

Zawiadomienie nie jest wymagane, jeżeli:

1) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych, których dotyczy naruszenie (chodzi zwłaszcza o takie środki jak szyfrowanie - uniemożliwiające odczyt każdemu, kto nie ma prawa dostępu do nich),

2) administrator przedsięwziął następnie środki eliminujące prawdopodobieństwo dużego zagrożenia dla praw i wolności osoby, której dane dotyczą,

3) wymagałoby ono niewspółmiernie dużego wysiłku, w szczególności ze względu na liczbę odnośnych spraw (w takim przypadku wydany zostaje komunikat publiczny lub przedsięwzięty zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób).

RADA

W przypadku wystąpienia incydentu mogącego nieść duże zagrożenie dla praw i wolności osób fizycznych informowanie wszystkich klientów może okazać się zarówno kosztowne, jak i czasochłonne. Dlatego też już teraz jednostki powinny przykładać większą wagę do konieczności wdrożenia odpowiednich zabezpieczeń technicznych i organizacyjnych. Mniej kosztowne wydaje się bowiem stworzenie odpowiednich mechanizmów zapobiegających wystąpieniu incydentu niż przeprowadzenie czynności naprawczych po jego wystąpieniu - w tym zawiadamianie wszystkich podmiotów, których dotyczyło naruszenie.

6. Powołanie inspektora ochrony danych

Przepisy RODO wprowadzają rozszerzenie zakresu obecnych obowiązków ABI i roli takiej osoby w jednostce. Wprowadzają także inną nomenklaturę. Dotychczasowa funkcja ABI została zastąpiona funkcją inspektora ochrony danych (IOD).

Przy wyznaczaniu inspektora administrator ma kierować się jego kwalifikacjami zawodowymi oraz wiedzą specjalistyczną z zakresu prawa ochrony danych, a także praktyką i zdolnością do wykonywania zadań (art. 37 ust. 5 RODO).

WAŻNE!

Inspektor może być zatrudniony przez administratora lub wykonywać swoje zadania na podstawie umowy o świadczenie usług.

Administrator danych będzie musiał zapewnić, by inspektor był właściwie i terminowo włączany we wszystkie kwestie dotyczące ochrony danych osobowych w jednostce oraz by wykonywał swoje obowiązki i zadania niezależnie i nie otrzymywał żadnych poleceń dotyczących pełnienia swojej funkcji. Inspektor ochrony danych będzie podlegał bezpośrednio kierownictwu administratora danych (art. 38 RODO).

7. Zadania inspektora ochrony danych

Zgodnie art. 39 RODO do zadań inspektora ochrony danych będzie należało m.in.:

1) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych, a także doradzanie im w tych sprawach,

2) monitorowanie przestrzegania przepisów RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz przeprowadzanie związanych z tym audytów,

3) udzielanie (na żądanie) zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO,

4) współpraca z organem nadzorczym,

5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach - prowadzenie konsultacji we wszelkich innych sprawach.

Zadania inspektora ochrony danych zawarte w RODO, w stosunku do dotychczasowych zadań ABI, zostały zatem poszerzone. Nowelizacja ustawy o ochronie danych osobowych obowiązująca od 1 stycznia 2015 r. częściowo przygotowała ABI do nowych zadań inspektora, ale jednostki sektora publicznego czekają inne istotne zmiany w zakresie dotychczasowych obowiązków ABI. Ważne też jest, jaka będzie reakcja polskiego ustawodawcy na te zmiany, a także jak do nowych zadań podejdą GIODO i sądy.

8. Wykonywanie sprawdzeń zgodności przetwarzania danych

Zgodnie z art. 39 ust. 1 lit. b RODO zadaniem inspektora ochrony danych ma być monitorowanie przestrzegania:

● przepisów RODO,

● innych przepisów UE lub państw członkowskich o ochronie danych,

● polityk administratora lub podmiotu przetwarzającego w zakresie ochrony danych osobowych.

Zadanie to jest zbieżne z wykonywaniem przez ABI sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych na podstawie dotychczasowych przepisów ustawy o ochronie danych osobowych.

Zgodnie z art. 39 ust. 2 RODO inspektor ochrony danych, wykonując swoje zadania (w tym monitorowania przestrzegania przepisów), będzie musiał uwzględniać ryzyka związane z operacjami przetwarzania danych osobowych. Zadaniem inspektora ochrony danych jest też ocena takich ryzyk, w tym zagrożeń związanych z przetwarzaniem danych osobowych. Zadanie to jest zbliżone zarówno do dotychczasowego obowiązku ABI wykonywania sprawdzeń zgodności przetwarzania danych osobowych z przepisami, jak i realizacji obowiązków zabezpieczenia danych osobowych, które są określone w art. 36 ust. 1 ustawy o ochronie danych osobowych.

9. Kodeksy postępowania

Przepisy RODO nie określają szczegółowego trybu i sposobu wykonywania zadań monitorowania przestrzegania przepisów przez inspektora ochrony danych, o których mowa w art. 39 ust. 2 RODO. Wprowadzają natomiast możliwość sporządzania "kodeksów postępowania", które mają pomóc administratorom we właściwym stosowaniu przepisów RODO (art. 40 RODO). W szczególności kodeksy takie mają uwzględniać specyfikę różnych rodzajów podmiotów (sektorów lub branż) przy przetwarzaniu danych osobowych.

Kodeksy mogą opracowywać i zmieniać zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów danych w celu doprecyzowania zasad stosowania RODO. Zgodnie z tym założeniem możliwe jest opracowanie kodeksu postępowania dla inspektora ochrony danych przy wykonywaniu jego zadań - w tym monitorowania przestrzegania przepisów określonych w RODO.

Kodeksy postępowania będzie opiniować, zatwierdzać i publikować organ nadzorczy w danym kraju (art. 40 ust. 5 RODO). Na podstawie art. 40 ust. 9 RODO kodeks postępowania będzie też mogła przyjąć Komisja Europejska w drodze aktu wykonawczego obowiązującego na terenie UE.

RADA

Praktyka i doświadczenie, jakie zdobyli ABI przy wykonywaniu dotychczasowych zadań związanych z przeprowadzaniem sprawdzeń na podstawie ustawy o ochronie danych osobowych, będą bardzo przydatne przy realizacji nowych zadań monitorowania przestrzegania przepisów RODO podczas pełnienia przez nich funkcji inspektora ochrony danych. W razie braku szczegółowych regulacji co do trybu i sposobu wykonywania nowych zadań będą mogli bowiem korzystać z zasad postępowania określonych w rozporządzeniu Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745).

10. Ocena skutków pod kątem ochrony danych

Przed rozpoczęciem przetwarzania administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, jeżeli dany rodzaj przetwarzania (zwłaszcza z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele może nieść duże zagrożenie dla praw i wolności osób fizycznych.

WAŻNE!

Dla operacji przetwarzania danych, wiążących się z wysokim ryzykiem, można przeprowadzić pojedynczą ocenę.

Dokonując oceny pod kątem ochrony danych, administrator powinien zasięgnąć porady inspektora ochrony danych (jeżeli został on wyznaczony).

Generalny Inspektor Ochrony Danych Osobowych ustanawia i podaje do wiadomości publicznej wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków pod kątem ochrony danych oraz przekazuje te wykazy Europejskiej Radzie Ochrony Danych (EROD). Generalny Inspektor Ochrony Danych Osobowych może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny pod kątem ochrony danych. Wykazy te również organ nadzorczy przekazuje EROD.

Jeżeli wykazy obejmują czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich, lub obejmują czynności przetwarzania mogące znacznie wpłynąć na swobodny przepływ danych osobowych w UE - przed przyjęciem takich wykazów właściwy organ nadzorczy stosuje tzw. mechanizm spójności.

Ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych nie jest wymagana, jeżeli przetwarzanie ma podstawę prawną w prawie UE lub w prawie państwa członkowskiego, któremu podlega administrator (prawo takie reguluje daną operację przetwarzania lub dany zestaw operacji), chyba że państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać takiej oceny.

Jeżeli w wyniku dokonanej oceny okaże się, że przetwarzanie niosłoby duże zagrożenie, gdyby administrator nie przedsięwziął środków w celu zminimalizowania tego zagrożenia, to przed przetworzeniem danych osobowych administrator konsultuje się z GIODO. Jeżeli GIODO jest zdania, że zamierzone przetwarzanie nie byłoby zgodne z RODO - w szczególności jeżeli administrator niedostatecznie zidentyfikował lub zminimalizował zagrożenie - to najpóźniej sześć tygodni po wpłynięciu wniosku o konsultacje udziela administratorowi porady na piśmie i może skorzystać z dowolnego ze swoich uprawnień. Okres ten można przedłużyć o kolejnych sześć tygodni ze względu na złożony charakter zamierzonego przetwarzania. Jeżeli zastosowanie ma okres przedłużony, administrator lub podmiot przetwarzający są informowani o przyczynach tego opóźnienia w terminie jednego miesiąca od wpłynięcia wniosku.

Konsultując się z GIODO, administrator powinien przedstawić mu:

1) obowiązki administratora, współadministratorów oraz podmiotów przetwarzających, uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw,

2) cele i sposoby zamierzonego przetwarzania,

3) środki i zabezpieczenia mające chronić prawa i wolność osób, których dane dotyczą, zgodnie z RODO,

4) gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych,

5) ocenę skutków pod kątem ochrony danych,

6) wszelkie inne informacje, których żąda organ nadzorczy.

11. Uprawnienia informacyjne i kontrolne osób, których dane dotyczą

RODO bardzo wyraźnie określa prawa osób, których dane dotyczą. I to zarówno te odnoszące się do ich uprawnień informacyjnych, jak i kontrolnych. Treść jednych i drugich jest bardzo zbliżona do dotychczasowej regulacji krajowej, z tym że uprawnienia kontrolne przewidziane przez RODO wydają się bardziej rozbudowane w porównaniu z dotychczasowymi.

WAŻNE!

RODO daje państwom członkowskim możliwość ograniczenia w swoim porządku prawnym niektórych z uprawnień, jeśli takie ograniczenie stanowić by miało konieczny i proporcjonalny środek w demokratycznym społeczeństwie.

RODO kładzie szczególny nacisk na przejrzystość oraz tryb korzystania z praw przez osobę, której dane dotyczą. Udzielane informacje mają być zakomunikowane osobie, której dane dotyczą, w jak najprostszej formie. Już w samej preambule wskazano, że zastosowane w RODO instytucje mają na celu zapewnienie zwiększenia przejrzystości i przestrzegania jego postanowień.

W RODO wskazano, że organ publiczny będący administratorem danych podejmuje odpowiednie środki, aby w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji dotyczących przetwarzania danych oraz prowadzić z nią wszelką komunikację w sprawie przetwarzania danych osobowych.

WAŻNE!

Informacji udziela się na piśmie lub innymi sposobami, a w stosownym przypadku - elektronicznie.

Jeżeli osoba, której dane dotyczą, składa wniosek w formie elektronicznej, informacje można zasadniczo przekazywać w formie elektronicznej, chyba że osoba ta zażąda innej formy. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile potwierdzona zostanie jej tożsamość. Przepisy wskazują, że zadaniem administratora jest ułatwianie osobie, której dane dotyczą, korzystania z praw przysługujących jej na mocy RODO. Mają być one stosowane w sposób jak najbardziej zrozumiały dla osoby fizycznej.

12. Informacje podawane w przypadku zbierania danych

Zgodnie z przepisami RODO administrator bez zbędnej zwłoki - a najpóźniej w ciągu miesiąca od otrzymania wniosku - ma obowiązek udzielenia osobie, której dane dotyczą, informacji o działaniach dotyczących przetwarzania jej danych. W razie potrzeby termin ten może jednak zostać wydłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter wniosku oraz liczbę wniosków.

W przypadku przedłużenia terminu, w ciągu miesiąca od otrzymania wniosku należy poinformować osobę, której dane dotyczą, o przyczynach opóźnienia. Jeżeli administrator nie podejmuje działań dotyczących wniosku osoby, której dane dotyczą, to bez zbędnej zwłoki - najpóźniej w ciągu miesiąca od otrzymania wniosku - informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego, tj. GIODO. Informacje te oraz wszelka komunikacja są wolne od opłat.

WAŻNE!

Jeżeli wnioski osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne (zwłaszcza ze względu na swój ustawiczny charakter) administrator może odmówić podjęcia działań względem wniosku. W takim przypadku obowiązek wykazania, że wniosek ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby składającej wniosek, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą. Jeżeli dane osobowe o osobie, której dane dotyczą, są zbierane bezpośrednio od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej w szczególności następujące informacje:

1) swoją tożsamość i dane kontaktowe oraz tożsamość i dane kontaktowe swojego przedstawiciela (jeżeli istnieje),

2) dane kontaktowe inspektora ochrony danych (jeżeli istnieje),

3) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania,

4) prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią - jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO (jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych - w szczególności gdy osoba, której dane dotyczą, jest dzieckiem),

5) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,

6) informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych - gdy ma to zastosowanie.

Podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania. Uwzględnia przy tym konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Jeżeli administrator planuje przetwarzać dane w innym celu niż cel, w którym dane zostały zebrane, informuje on o nim przed dalszym przetwarzaniem osobę, której dane dotyczą, oraz dostarcza mu wszelkich innych stosownych informacji. Takim innym celem będzie np. działalność marketingowa.

RADA

Obowiązek informacyjny podczas zbierania danych, w stosunku do obecnie obowiązujących przepisów, zostaje poszerzony o następujące dane:

1) informacja o inspektorze ochrony danych,

2) termin usunięcia danych lub zasady ustalania tych terminów,

3) profilowanie.

Wprowadzona zmiana z pewnością okaże się bardzo kosztowna dla podmiotów publicznych. Wymagać będzie wymiany wszelkich formularzy, zarówno papierowych, jak i elektronicznych. Osoba, której dane dotyczą, ma prawo w sposób wolny od opłat, w racjonalnych odstępach czasu, uzyskiwać od administratora potwierdzenie, czy przetwarzane są dane osobowe jej dotyczące.

Jeżeli takie dane będą przetwarzane, osoba, której dane dotyczą, ma prawo dostępu do nich oraz do następujących informacji:

1) cele przetwarzania,

2) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione (w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych),

3) w miarę możliwości - planowany okres przechowywania danych osobowych,

4) informacje o prawie do tego, by zwrócić się do administratora o poprawienie, usunięcie lub ograniczenie przetwarzania danych osobowych dotyczących osoby, której dane dotyczą, lub by wnieść sprzeciw wobec przetwarzania takich danych osobowych,

5) informacje o prawie wniesienia skargi do organu nadzorczego,

6) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle,

7) w przypadku decyzji opartych na automatycznym przetwarzaniu, w tym na profilowaniu - informacje o trybie jego działania oraz o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania.

Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich gwarancjach.

13. Prawo dostępu osoby, której dotyczą dane

Administrator ma obowiązek, na wniosek osoby, której dane dotyczą, bez nadmiernych opłat udostępnić kopię danych osobowych podlegających przetwarzaniu. Administrator jest zwolniony z tego obowiązku, jeżeli nie można dostarczyć kopii bez ujawnienia danych osobowych innych osób, których dane dotyczą, lub poufnych danych administratora. Podobnie będzie w sytuacji, gdy ujawnienie danych osobowych naruszyłoby prawa własności intelektualnej związane z przetwarzaniem tych danych.

RADA

Warto już na etapie gromadzenia danych zastosować system, który umożliwi w przyszłości wygenerowanie kopii danych osobowych dotyczących konkretnej osoby. Wygenerowanie takiej kopii bez zastosowania specjalnych procedur lub systemu może być bardzo problematyczne.

14. Prawo do poprawienia danych

RODO przewiduje prawo osoby, której dane dotyczą, do poprawiania danych. Forma tego uprawnienia jest w zasadzie taka sama, jak określona w dotychczasowej ustawie o ochronie danych osobowych. Osoba, której dane dotyczą, ma prawo żądać od administratora, aby bez zbędnej zwłoki poprawił dane osobowe jej dotyczące, jeżeli są one nieścisłe. Z uwzględnieniem celów, w których przetworzono dane, osoba, której dane dotyczą, ma prawo domagać się, by niekompletne dane osobowe zostały uzupełnione - w tym przez przedstawienie dodatkowego oświadczenia.

15. Prawo do bycia zapomnianym

Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe na żądanie osoby, której dane dotyczą, jeżeli zachodzi jedna z następujących okoliczności:

1) dane nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetworzone,

2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej do przetwarzania danych,

3) osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania danych osobowych i nie istnieją żadne nadrzędne uzasadnione podstawy do przetwarzania,

4) dane zostały przetworzone niezgodnie z prawem,

5) dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, któremu podlega administrator,

6) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w RODO.

Jeżeli administrator upublicznił dane osobowe, a ma obowiązek te dane usunąć, to - biorąc pod uwagę dostępną technologię i koszt realizacji - ma obowiązek podjąć racjonalne kroki (w tym środki techniczne), by poinformować administratorów przetwarzających te dane, że osoba, której dane dotyczą, wystąpiła o to, by administratorzy ci usunęli wszelkie łącza do tych danych i kopie tych danych.

W praktyce prawo do bycia zapomnianym może okazać się bardzo trudne lub wręcz niemożliwe do wyegzekwowania. Usunięcie danych osobowych upublicznionych może być bowiem technicznie skomplikowane i kosztowne.

Prawo do usunięcia danych zostaje wyłączone w zakresie, w jakim przetwarzanie danych osobowych jest niezbędne:

1) do skorzystania z prawa wolności wypowiedzi i informacji,

2) do wywiązania się z prawnego obowiązku wymagającego przetwarzania danych osobowych na mocy prawa UE lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej mu powierzonej,

3) z uwagi na interes publiczny w dziedzinie zdrowia publicznego,

4) do celów archiwalnych w interesie publicznym lub do celów naukowych, statystycznych i historycznych,

5) do ustalenia, realizacji lub obrony roszczeń prawnych.

Nie wiadomo, jak w praktyce będzie wyglądała realizacja tych praw. Okaże się to, gdy wydane zostaną pierwsze decyzje, wytyczne i interpretacje w tym zakresie. Przepis będzie na pewno problematyczny dla podmiotów świadczących usługi społeczeństwa informacyjnego.

16. Prawo do ograniczenia przetwarzania

Osoba, której dane dotyczą, ma prawo domagać się, by administrator ograniczył przetwarzanie danych osobowych, jeżeli:

1) osoba ta kwestionuje poprawność danych - na okres pozwalający administratorowi sprawdzić poprawność tych danych,

2) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,

3) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń prawnych,

4) osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania - do czasu stwierdzenia, czy uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Jeżeli przetwarzanie danych osobowych zostało ograniczone, administrator może je dalej przetwarzać (z wyjątkiem przechowywania) wyłącznie na następujących warunkach:

● wyłącznie za zgodą osoby, której dane dotyczą, lub

● w celu ustalenia, realizacji lub obrony roszczeń prawnych lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub

● ze względu na ważne przesłanki interesu publicznego.

Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, żądającą ograniczenia.

17. Powiadomienie o sprostowaniu danych, ich usunięciu lub ograniczeniu przetwarzania

RODO przewiduje, że administrator ma obowiązek informowania o poprawieniu, usunięciu lub ograniczeniu przetwarzania danych, których dokonał, każdemu odbiorcy, któremu ujawniono dane - chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

Ponieważ są to zwroty niedookreślone, nie wiadomo, jak będą stosowane w praktyce. Trudno na dzień dzisiejszy przewidzieć, co zostanie uznane za "wymagające niewspółmiernie dużego wysiłku", a co w opinii organu nadzorczego nim nie będzie.

18. Prawo do przenoszenia danych

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym i maszynowo czytelnym formacie swoje dane osobowe, które dostarczyła administratorowi. Ma też prawo przesłać je innemu administratorowi bez przeszkód ze strony administratora, któremu dane te dostarczono, jeżeli:

1) przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy,

2) przetwarzanie odbywa się w sposób zautomatyzowany.

Administrator ma zatem prawo do przenoszenia danych, jeżeli:

● ich przetwarzanie odbywa się w pełni automatycznie,

● osoba, której dane dotyczą, wyrazi na to zgodę.

W pełni automatyczne przetwarzanie danych (automatic information processing) - przetwarzanie danych mimo lub wbrew woli i bez intencji podmiotu, który jest nieświadomy jego występowania. Jest ono bezwysiłkowe, szybkie i nie pochłania operacyjnych zasobów umysłu (uwagi i pamięci roboczej).

Omawiana zmiana może okazać się niekorzystna dla podmiotów publicznych. Będą one musiały tak bowiem zmodyfikować systemy, aby możliwe było wygenerowanie danych do przeniesienia.

19. Prawo do sprzeciwu

Prawo do sprzeciwu znane jest już w dotychczas obowiązujących przepisach o ochronie danych osobowych. RODO rozszerza to uprawnienie o sprzeciw wobec profilowania.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania (nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą) lub do ustalenia, realizacji lub obrony roszczeń.

Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec takiego przetwarzania jej danych osobowych, w tym profilowania. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, administrator ma obowiązek wyraźnie poinformować ją o tym prawie. Informacja ta powinna być zakomunikowana wyraźnie - w sposób odrębny od innych informacji.

W przypadku wniesienia sprzeciwu wobec przetwarzania danych osobowych do celów marketingu bezpośredniego, nie mogą one być już przetwarzane w tym celu. Jeżeli dane osobowe są przetwarzane do celów historycznych, statystycznych lub naukowych, osoba, której dane dotyczą, ma prawo wnieść sprzeciw - z przyczyn związanych z jej indywidualną sytuacją - wobec przetwarzania danych osobowych jej dotyczących, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

20. Nowe obowiązki administratora wobec osób, których dotyczą dane

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne. Musi być w stanie wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z RODO.

Wdrażane środki techniczne i organizacyjne powinny być odpowiednie do wykonywanej czynności przetwarzania i do jej celów (np. minimalizacja i pseudonimizacja danych w taki sposób, by przetwarzanie było zgodne z wymogami).

Administrator wdraża odpowiednie środki, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne do realizacji każdego konkretnego celu przetwarzania.

Obowiązek ten dotyczy:

● ilości zbieranych danych,

● zakresu ich przetwarzania,

● okresu przechowywania,

● dostępności danych.

Jeżeli przetwarzane dane nie mają zostać podane do wiadomości publicznej, mechanizmy przetwarzania powinny gwarantować, że domyślnie dane osobowe nie będą udostępniane nieokreślonej liczbie osób bez ludzkiej interwencji.

RADA

Spełnienie tego obowiązku można wykazać m.in. zatwierdzonym mechanizmem certyfikacji.

W RODO nie wskazano konkretnie, jak należy rozumieć "odpowiednie środki techniczne i organizacyjne". Nie ma też uregulowań co do środków bezpieczeństwa, jakie należy przedsięwziąć w zależności od rodzaju i sposobu przetwarzanych danych osobowych, w tym - jak powinny być zabezpieczone systemy informatyczne. Regulacje te zostaną wprowadzone w poszczególnych państwach członkowskich UE.

21. Strategie ochrony danych privacy by design i privacy by default

Zgodnie z preambułą RODO administrator danych powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z:

1) zasadą uwzględniania ochrony danych w fazie projektowania, oraz

2) zasadą domyślnej ochrony danych.

Zasada uwzględniania ochrony danych w fazie projektowania przewiduje, że już podczas projektowania systemu ochrony danych osobowych należy wdrażać takie środki, by od samego początku chronić przetwarzane dane oraz prywatność osób, których dane dotyczą.

Z kolei zasada domyślnej ochrony danych traktuje prywatność jako ustawienie domyślne. Ustawienia domyślne danego systemu powinny przewidywać możliwie najdalej posunięte zabezpieczenia danych osobowych. Ustawienia aplikacji czy serwisów społecznościowych domyślnie powinny udostępniać minimalną ilość informacji o użytkowniku. Poszerzenie zakresu udostępnianych danych może nastąpić jedynie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Wcześniej takie zagadnienia nie były uregulowane w polskim prawie.

22. Przetwarzanie danych w rekrutacji

Zgodnie z art. 88 RODO państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem. Chodzi w szczególności o przetwarzanie do celów:

● rekrutacji,

● wykonania umowy o pracę - w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi,

● zarządzania, planowania i organizacji pracy,

● równości i różnorodności w miejscu pracy,

● bezpieczeństwa i higieny pracy,

● ochrony własności pracodawcy lub klienta,

● indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem,

● zakończenia stosunku pracy.

Przepisy te muszą obejmować odpowiednie i szczegółowe środki zapewniające osobie, której dane dotyczą, poszanowanie jej godności, prawnie uzasadnionych interesów i praw podstawowych. Chodzi przede wszystkim o przejrzystość przetwarzania, przekazywania danych osobowych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz systemy monitorujące w miejscu pracy.

Należy też podkreślić, że istotne z punktu widzenia typowej rekrutacji dane osobowe, tj. wizerunek, w RODO zostały zakwalifikowane jako szczególna kategoria danych osobowych - tzw. dane biometryczne. Warunkiem przetwarzania takich danych jest zgoda podmiotu, którego dane dotyczą.

23. Przetwarzanie danych w zatrudnieniu

Państwa członkowskie mogą przewidzieć prawem lub umowami zbiorowymi bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w zatrudnieniu - w szczególności do następujących celów:

1) rekrutacji;

2) wykonania umowy o pracę, w tym:

a) wykonania obowiązków określonych prawem lub umowami zbiorowymi,

b) zarządzania,

c) planowania i organizacji pracy,

d) równości i różnorodności w miejscu pracy,

e) BHP,

f) ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

WAŻNE!

Każde państwo członkowskie będzie zobligowane do zawiadomienia KE o swoich przepisach. Państwa członkowskie będą mogły określić prawne warunki, na których dane osobowe w kontekście zatrudnienia można przetwarzać za zgodą pracownika.

Rozdział IV. Nadzór i sankcje za nieprzestrzeganie zasad ochrony danych osobowych

RODO reguluje kwestie związane z usytuowaniem i kompetencjami krajowych organów, powołanych do spraw ochrony danych osobowych - tzw. organów nadzorczych. W Polsce funkcję tę pełni GIODO. Po wejściu w życie nowej ustawy o ochronie danych osobowych nazwa organu może zmienić się zgodnie z nomenklaturą RODO. Organ ten, zgodnie z projektem, ma otrzymać nazwę Prezes Urzędu Danych Osobowych (PUODO). Jego funkcje i uprawnienia w większości pozostaną jednak analogiczne do obecnych.

Stosownie do zapisów RODO, organ nadzorczy powinien być niezależny, wyposażony w odpowiednie środki do realizacji swoich zadań, wybierany przez parlament lub rząd. Przewidziane w RODO zadania organu nadzorczego są bardzo zbliżone do obecnych obowiązków GIODO.

Państwa członkowskie mają możliwość samodzielnie przyjąć przepisy regulujące m.in. ustanowienie i status organu nadzorczego, kwalifikacje, doświadczenie i umiejętności wymagane do pełnienia obowiązków członka organu nadzorczego, okres kadencji członków itp. Obecnie zagadnienia te uregulowane są w ustawie o ochronie danych osobowych. Wydaje się zatem, że wejście w życie RODO nie przyniesie konieczności zmian w tym zakresie. Jednak ostateczna decyzja należeć tu będzie do naszego ustawodawcy.

1. Koncepcja one stop shop w kodyfikacji europejskiej

One stop shop to zasada, zgodnie z którą administrator danych powinien podlegać nadzorowi tylko jednego krajowego organu ochrony danych, nawet gdy prowadzi działalność w wielu państwach UE. Instytucja ta bez wątpienia będzie korzystna m.in. dla grup kapitałowych czy też przedsiębiorstw prowadzących biznes międzynarodowy.

Za monitorowanie stosowania RODO odpowiada co najmniej jeden niezależny organ publiczny każdego państwa członkowskiego. Każdy organ nadzorczy przyczynia się do spójnego stosowania RODO w całej UE. W tym celu organy nadzorcze współpracują zarówno ze sobą, jak i z Komisją. Jeżeli w państwie członkowskim ustanowiono więcej niż jeden organ nadzorczy, państwo to wyznacza organ nadzorczy reprezentujący te organy w Europejskiej Radzie Ochrony Danych oraz ustala mechanizm zapewniający przestrzeganie przez pozostałe organy przepisów dotyczących mechanizmu spójności.

WAŻNE!

Każde państwo członkowskie jest zobowiązane do przyjęcia i zawiadamiania Komisji o przepisach dotyczących ochrony danych osobowych, a następnie niezwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

2. Czynności kontrolne

Niezależnie od uprawnienia GIODO do prowadzenia postępowań administracyjnych w sprawach związanych z przetwarzaniem danych osobowych, ustawodawca przyznaje temu organowi specjalne uprawnienia kontrolne. Zgodnie z art. 14 dotychczasowej ustawy o ochronie danych osobowych Generalny Inspektor, jego zastępca lub upoważnieni przez niego pracownicy biura GIODO (inspektorzy) w celu wykonania swoich ustawowych zadań mają prawo wstępu do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych.

Uprawnieni inspektorzy mają prawo wstępu w godzinach od 6:00 do 22:00. Mają obowiązek okazania imiennego upoważnienia i legitymacji służbowej. Mogą także żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego. Inspektorom przysługuje też prawo wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii. Kontrolerzy mogą także przeprowadzać oględziny urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych oraz zlecać sporządzanie ekspertyz i opinii.

Zazwyczaj zespół kontrolny składa się z dwóch-trzech inspektorów - pracowników biura GIODO.

Posiadają oni bardzo szeroki zakres uprawnień. Kontrola służy ustaleniu stanu faktycznego w kontekście przetwarzania danych osobowych. W tym celu kontrolerzy gromadzą dokumenty, przeprowadzają oględziny obszarów, w których przetwarzane są dane, systemów informatycznych, w których przetwarzane są dane, odbierają wyjaśnienia i sporządzają protokoły ze swoich czynności. Inspektorzy podczas kontroli zapoznają się z procesem przetwarzania danych objętym kontrolą.

3. Czynności przedkontrolne

Czynności przedkontrolne GIODO w stosunku do administratorów danych uregulowane zostały w art. 19b ustawy o ochronie danych osobowych. Zgodnie z tym przepisem Generalny Inspektor może zwrócić się do ABI wpisanego do rejestru o dokonanie sprawdzenia zgodności przetwarzania danych u administratora danych, który go powołał - wskazując zakres i termin sprawdzenia. Po dokonaniu sprawdzenia ABI, za pośrednictwem administratora danych, przedstawia GIODO sprawozdanie. Dokonanie przez ABI sprawdzenia wyłącza prawa GIODO do przeprowadzenia kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Decyzję taką podejmuje GIODO w oparciu o przedstawione mu sprawozdanie.

4. Upoważnienie do kontroli

Inspektorzy GIODO przed przeprowadzeniem kontroli mają obowiązek okazania imiennego upoważnienia wraz z legitymacją służbową.

WAŻNE!

Imienne upoważnienie oraz legitymacja służbowa zawsze muszą być okazywane razem. Niedopuszczalne jest przeprowadzenie kontroli w oparciu o wyłącznie jeden z tych dokumentów.

Kontrolowana jednostka ma prawo do swobodnego zapoznania się z treścią upoważnienia i legitymacji służbowej. Z upoważnienia wynika bowiem przede wszystkim zakres kontroli i czas jej trwania. Zawarte jest w nim także pouczenie o uprawnieniach i obowiązkach kontrolowanego.

Treść upoważnienia określona została w rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2004 r. nr 94, poz. 923).

WAŻNE!

Dokument, który nie spełnia wymagań określonych w ustawie o ochronie danych osobowych oraz w rozporządzeniu, nie stanowi podstawy do przeprowadzenia kontroli.

Zmiana osób upoważnionych do wykonania kontroli, jej zakresu przedmiotowego oraz miejsca wykonywania czynności każdorazowo wymaga wydania odrębnego upoważnienia. Zmiany te nie mogą prowadzić do wydłużenia przewidywanego wcześniej terminu zakończenia kontroli, a jej zakres nie może wykraczać poza ten wskazany w upoważnieniu.

5. Pouczenie o prawach i obowiązkach

Zgodnie z art. 15 ust. 1 ustawy o ochronie danych osobowych kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych mają obowiązek umożliwić inspektorowi przeprowadzenie kontroli.

Z czynności kontrolnych inspektor sporządza protokół. Jeden egzemplarz protokołu doręcza kontrolowanemu administratorowi danych. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi.

6. Miejsce i czas kontroli

Przepisy ustawy o ochronie danych osobowych nie precyzują, czy kontrola ma być zapowiedziana. Nie ma też wskazanego terminu zawiadomienia o kontroli. W praktyce GIODO na kilka dni przed przeprowadzeniem kontroli najczęściej informuje kontrolowaną jednostkę o jej dacie i przedmiocie.

Kontrolę przeprowadza się w siedzibie kontrolowanego oraz w innych miejscach wykonywania przez niego zadań w procesie przetwarzania danych - w tym w miejscu przechowywania dokumentacji zawierającej dane osobowe.

Kontrola trwa najczęściej od 3 do 10 dni. Czas jej trwania określony jest w upoważnieniu wystawionym przez GIODO, którym legitymują się inspektorzy.

Przy określaniu czasu kontroli GIODO uwzględnia w szczególności:

1) rodzaj kontroli (kompleksowa, częściowa),

2) zakres przedmiotowy kontroli,

3) wielkość podmiotu kontrolowanego.

Czas trwania czynności może w ich toku zostać skrócony lub przedłużony - w zależności od okoliczności danej kontroli i potrzeby ustalenia nowych okoliczności faktycznych.

7. Ustalenia w trakcie kontroli

Celem kontroli jest ustalenie stanu faktycznego, czyli wyjaśnienie, jak administrator danych je przetwarza i czy robi to zgodnie z prawem. Kontrolą może być zatem objęty cały proces przetwarzania danych osobowych.

Na tym etapie można spodziewać się ze strony kontrolerów także pytań, które na pierwszy rzut oka mogłyby wydawać się niezwiązane bezpośrednio z przetwarzaniem danych (np. o sposób zapewnienia ochrony fizycznej budynku, gospodarkę kluczami czy umowę z firmą sprzątającą).

WAŻNE!

W toku kontroli zbiorów, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności i wobec których administratorzy danych zwolnieni są z obowiązku rejestracji zbioru danych, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.

8. Protokoły z poszczególnych czynności kontrolnych

Przepisy ustawy o ochronie danych osobowych nie wskazują poszczególnych czynności wykonywanych w trakcie kontroli. Wiadomo jednak, że powinny być one w odpowiedni sposób udokumentowane. Najlepszym sposobem jest sporządzenie protokołów z tych czynności i załączenie ich do akt postępowania kontrolnego.

Protokoły oraz inne dowody zebrane w toku kontroli (np. formularze, dokumenty i dokumentacja przetwarzania danych osobowych, tzn. polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym) stanowią akta postępowania kontrolnego.

9. Protokół z czynności kontrolnych

Z przeprowadzonych czynności kontrolnych kontrolerzy sporządzają tzw. końcowy protokół. Przepisy ustawy o ochronie danych osobowych nie określają liczby egzemplarzy, w jakiej ma być sporządzony protokół. Zgodnie z art. 16 ust. 1 tej ustawy, osoba przeprowadzająca kontrolę jeden egzemplarz doręcza kontrolowanemu administratorowi danych. Wynika z tego, że protokół musi być sporządzony co najmniej w dwóch egzemplarzach - po jednym dla kontrolującego i kontrolowanego.

Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do niego umotywowane zastrzeżenia i uwagi. W przypadku gdy kontrolowany administrator danych odmówi podpisania protokołu, inspektor czyni o tym wzmiankę w protokole. Administrator odmawiający podpisu może, w terminie 7 dni, przedstawić GIODO swoje stanowisko na piśmie.

10. Uwagi i zastrzeżenia kontrolowanego

Przepisy nie wskazują terminu, w jakim należy wnieść umotywowane zastrzeżenia i uwagi do protokołu i czynności kontrolnych. Kontrolowanej jednostce przysługuje jednak prawo do podpisania protokołu i w terminie 7 dni przedstawienia swojego stanowiska na piśmie do GIODO. W razie podpisania protokołu kontrolowany swoje umotywowane ostrzeżenia i uwagi powinien zatem wnieść niezwłocznie - najpóźniej przy podpisywaniu protokołu. Jeśli nie zostaną wniesione w tym czasie, inspektor ma prawo uznać, że kontrolowany nie wnosi spostrzeżeń i uwag - i tym samym wyraża zgodę na treść protokołu.

WAŻNE!

Protokół dotyczy całego przebiegu kontroli od jej wszczęcia do zakończenia. Powinien obejmować wszystko to, co zostało ustalone w trakcie kontroli.

Przepisy ustawy o ochronie danych osobowych nie wskazują terminu doręczenia protokołu kontrolowanej jednostce. Przyjmuje się jednak, że powinno to nastąpić "bez zbędnej zwłoki". W rzeczywistości termin ten zależy od zakresu kontroli, wielkości kontrolowanej jednostki oraz charakteru danej sprawy. Przykładowo - jeśli sprawa jest szczególnie skomplikowana, nie sposób doręczyć protokół zaraz po jej zakończeniu. Późniejszy czas doręczenia protokołu nie powoduje utraty przez kontrolowanego uprawnień do jego zakwestionowania w drodze spostrzeżeń i uwag czy odmowy jego podpisania.

RADA

Przed podpisaniem protokołu kontrolowana jednostka powinna sprawdzić go pod względem kompletności. Warto porównać poszczególne egzemplarze protokołu oraz ustalić, czy są one takie same i nie ma między nimi rozbieżności, a także czy mają taką samą liczbę załączników itp. Bardzo ważne jest bardzo dokładne zapoznanie się z protokołem kontroli przed jego podpisaniem. Ustalony w nim stan faktyczny będzie bowiem podstawą do dalszych działań GIODO.

WAŻNE!

Protokół kontroli podpisują osoby upoważnione do reprezentowania kontrolowanej jednostki. Prawo do reprezentowania powinno wynikać z dokumentów jednostki lub z udzielonego pełnomocnictwa. Pełnomocnik zobowiązany jest przedstawić pełnomocnictwo, dowód uiszczenia opłaty skarbowej od tego pełnomocnictwa oraz prawo mocodawcy do udzielenia pełnomocnictwa i reprezentowania kontrolowanego podmiotu.

11. Zakończenie postępowania kontrolnego

Może się okazać, że w wyniku przeprowadzonej kontroli inspektorzy GIODO stwierdzą naruszenie prawa w zakresie ochrony danych osobowych. Czyli ustalą, że działanie lub zaniechanie kierownika jednostki, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie o ochronie danych osobowych. W takiej sytuacji GIODO kieruje do organów ścigania zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie. W efekcie dochodzi do wszczęcia postępowania karnego, które toczy się na zasadach ogólnych, a GIODO, jako zawiadamiającemu, przysługują odpowiednie uprawnienia z k.p.k.

Dodatkowo, na podstawie ustaleń kontroli, GIODO ma prawo żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień w jednostce. Może jednocześnie zażądać, aby poinformowano go w określonym terminie o wynikach tego postępowania i podjętych działaniach.

Jednak podstawowym uprawnieniem GIODO w przypadku stwierdzenia podczas kontroli nieprawidłowości w procesie przetwarzania danych osobowych jest możliwość wszczęcia postępowania administracyjnego w sprawie stwierdzonego naruszenia. W razie stwierdzenia naruszenia może zostać wydana decyzja administracyjna nakazująca przywrócenie stanu zgodnego z prawem, a w szczególności:

1) usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

2) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

3) wstrzymanie przekazywania danych osobowych do państwa trzeciego,

4) zabezpieczenie danych lub przekazanie ich innym podmiotom,

5) usunięcie danych osobowych.

12. Wyłączenia uprawnień kontrolnych

GIODO przysługują uprawnienia kontrolne odnośnie wszystkich danych osobowych przetwarzanych w Polsce. Wyjątkiem są tu następujące zbiory danych osobowych:

1) zawierające informacje niejawne,

2) dotyczące osób należących do Kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego Kościoła lub związku wyznaniowego,

3) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, przetwarzane przez ABW, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz CBA.

Wymienione zbiory danych nie podlegają czynnościom kontrolnym GIODO. Może on jedynie żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego (art. 43 ust. 2 uodo).

13. Prawo wniesienia skargi do organu nadzorczego

Przepisy RODO w istotny sposób zmieniają obecne prawo wniesienia skargi do organu nadzorczego. W Rozporządzeniu unijnym wskazano, że bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo wnieść skargę do jednego organu nadzorczego - w szczególności w państwie członkowskim, w którym znajduje się miejsce jej zwykłego pobytu, miejsce pracy lub miejsce popełnienia domniemanego naruszenia - jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczących nie jest zgodne z RODO.

Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej.

14. Prawo do skutecznego sądowego środka ochrony prawnej

W RODO uszczegółowiono prawo do skutecznego sądowego środka ochrony prawnej przeciwko organowi nadzorczemu w porównaniu z zasadami określonymi w ustawie o ochronie danych osobowych. Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego sądowego środka ochrony prawnej przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej.

Możliwość taka jest przewidziana w przypadku, gdy właściwy organ nadzorczy nie rozpatrzy skargi lub nie poinformuje osoby, której dane dotyczą, w terminie 3 miesięcy, o postępach lub efektach rozpatrywania wniesionej skargi. Postępowanie przeciwko organowi nadzorczemu będzie wszczynane przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę. Jeżeli postępowanie zostanie wszczęte przeciwko decyzji organu nadzorczego, którą poprzedziła opinia lub decyzja EROD w ramach mechanizmu spójności - organ nadzorczy przekaże sądowi tę opinię lub decyzję.

15. Reprezentacja osób, których dane dotyczą

RODO wprowadza nowe rozwiązania dotyczące reprezentacji osób, których dotyczą dane. Dotychczas obowiązująca ustawa o ochronie danych osobowych nie reguluje tej kwestii. Zgodnie z przepisami RODO osoba, której dane dotyczą, ma prawo zlecić organowi, organizacji lub zrzeszeniu, w związku z ochroną ich danych osobowych, wniesienie skargi w swoim imieniu oraz skorzystanie z praw zagwarantowanych w RODO. Warunkiem jest jednak, aby organ, organizacja czy zrzeszenie:

1) nie miały charakteru zarobkowego,

2) były należycie ustanowione, zgodnie z prawem państwa członkowskiego,

3) wśród swoich statutowych celów miały przewidzianą ochronę praw i wolności osób, których dane dotyczą.

Państwa członkowskie mogą przewidzieć, że organ, organizacja lub stowarzyszenie, o których mowa powyżej, niezależnie od zlecenia otrzymanego od osoby, której dane dotyczą, mają prawo wnieść skargę do właściwego organu nadzorczego w tym państwie członkowskim oraz skorzystać z praw zagwarantowanych w RODO, jeżeli uznają, że w wyniku przetwarzania danych osobowych zostały naruszone prawa osoby, której dane dotyczą.

16. Zawieszenie postępowania

Przepisy RODO wprowadzają zmiany w zakresie zawieszenia postępowania. Jeżeli właściwy sąd państwa członkowskiego posiada informacje, że przed sądem w innym państwie członkowskim toczy się postępowanie w tej samej sprawie w odniesieniu do przetwarzania przez tego samego administratora lub ten sam podmiot przetwarzający - kontaktuje się z tym sądem w innym państwie członkowskim, aby potwierdzić istnienie takiego postępowania.

Jeżeli przed sądem w innym państwie członkowskim toczy się postępowanie w tej samej sprawie w odniesieniu do przetwarzania przez tego samego administratora lub ten sam podmiot przetwarzający - każdy właściwy sąd (inny niż sąd, przed którym jako pierwszym wszczęto postępowanie) może zawiesić swoje postępowanie.

Jeżeli postępowanie toczy się w pierwszej instancji, każdy sąd (inny niż sąd, przed którym jako pierwszym wszczęto postępowanie) może także - na wniosek jednej ze stron - stwierdzić brak swojej jurysdykcji. Może tak postąpić, jeżeli sąd, przed którym jako pierwszym wszczęto postępowanie, ma jurysdykcję względem przedmiotowych spraw, a jego prawo dopuszcza ich połączenie.

17. Prawo do odszkodowania i odpowiedzialność prawna

RODO przewiduje też nowe rozwiązania odnośnie do prawa do odszkodowania i odpowiedzialności prawnej w zakresie ochrony danych osobowych. Nowe przepisy wprowadzają prawo do odszkodowania dla osoby, której dane dotyczą.

WAŻNE!

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku przetwarzania niezgodnego z RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Nowe przepisy nakładają na administratora odpowiedzialność za szkody spowodowane niezgodnym z prawem przetwarzaniem danych osobowych. Podmiot przetwarzający odpowiada natomiast prawnie za szkody spowodowane przetwarzaniem wyłącznie wtedy, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmiot przetwarzający, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Zarówno administrator, jak i podmiot przetwarzający mogą uwolnić się od odpowiedzialności, gdy wykażą brak winy w wystąpieniu zdarzenia, które doprowadziło do powstania szkody.

Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający, lub uczestniczy w nim zarówno administrator, jak i podmiot przetwarzający - odpowiadają oni za spowodowaną przetwarzaniem szkodę solidarnie. Zapewnia to osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania. Administratorowi oraz podmiotowi przetwarzającemu, którzy wypłacili pełne odszkodowanie za wyrządzoną szkodę, przysługuje roszczenie regresowe wobec pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu. Postępowanie sądowe dotyczące korzystania z prawa do odszkodowania toczy się przed sądem właściwym na mocy prawa krajowego państwa członkowskiego.

18. Nakładanie kar pieniężnych

Przepisy RODO zawierają też nowe regulacje dotyczące kar pieniężnych, których dotychczasowa ustawa o ochronie danych osobowych nie przewiduje. RODO szczegółowo precyzuje mechanizm nakładania kar pieniężnych. Obowiązkiem organu nadzorczego jest zapewnienie, aby nakładanie kar pieniężnych za naruszenia zasad ochrony danych było w każdym przypadku skuteczne, proporcjonalne i odstraszające. Każdy przypadek powinien być przy tym rozpatrywany indywidualnie.

Organ nadzorczy decyduje, czy nałożyć grzywnę administracyjną, oraz miarkuje kwotę kary.

Każde państwo członkowskie ma prawo samodzielnie zdecydować, czy i w jakim zakresie kary pieniężne można nakładać na organy i podmioty publiczne. Korzystanie przez organ nadzorczy z tych uprawnień podlega odpowiednim gwarancjom proceduralnym zgodnym z prawem UE i prawem państwa członkowskiego, w tym skutecznemu sądowemu środkowi ochrony prawnej i sprawiedliwości proceduralnej.

19. Wysokość kar pieniężnych

RODO wprowadza bardzo wysokie kary pieniężne, które nakłada organ nadzorczy w przypadku stwierdzenia naruszenia przepisów RODO.

W zależności od kategorii naruszenia organ nadzorczy może nałożyć karę w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa - do 2 jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za naruszenie obowiązku:

1) administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39, 42 oraz 43 RODO, a więc m.in. za:

a) niezgodne z prawem przetwarzanie danych osobowych dziecka w wieku poniżej 16 lat,

b) niezastosowanie się do koncepcji privacy by design i privacy by default,

c) niezgodne z prawem współadministrowanie danymi,

d) niezgodne z prawem przetwarzanie danych przez podmiot przetwarzający (procesor),

e) brak upoważnień do przetwarzania danych,

f) naruszenie obowiązku rejestrowania czynności przetwarzania,

g) naruszenie zasad bezpieczeństwa przetwarzania,

h) naruszenie obowiązków związanych ze zgłaszaniem naruszenia ochrony danych osobowych,

i) brak dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, w przypadku gdy dany rodzaj przetwarzania może nieść duże zagrożenie dla praw i wolności osób fizycznych,

j) naruszenie obowiązków w zakresie wyznaczenia inspektora ochrony danych,

2) podmiotu certyfikującego, o którym mowa w art. 42 oraz 43 RODO,

3) podmiotu monitorującego, o którym mowa w art. 41 ust. 4 RODO.

Kara w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa - do 4 jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) - grozi za naruszenia:

1) podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5-7, 9 RODO (tj. zasady przetwarzania danych osobowych, podstawy przetwarzania danych osobowych, warunki udzielenia zgody na przetwarzanie danych osobowych, zasady przetwarzania danych osobowych szczególnych kategorii),

2) praw osoby, której dane dotyczą,

3) zasad przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej,

4) wszelkich obowiązków wynikających z praw, które państwa członkowskie uchwaliły na podstawie rozdziału IX RODO,

5) nieprzestrzeganie nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych, orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2, lub niezapewnienie dostępu skutkujące naruszeniem art. 58 ust. 1 RODO.

Karze pieniężnej sięgającej 20 000 000 euro, a w przypadku przedsiębiorstwa - sięgającej 4 jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) - podlega także nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy.

Rozdział V. Wzory pism i formularzy

Wzór 1. Instrukcja zarządzania systemem informatycznym w zakresie przetwarzania danych osobowych

Wzór 2. Dokument wyznaczenia Inspektora Ochrony Danych

Wzór 3. Wykaz pomieszczeń, w których przetwarzane są dane osobowe

Wzór 4. Wykaz zasobów danych osobowych i systemów ich przetwarzania

Wzór 5. Upoważnienie do przetwarzania danych osobowych w urzędzie

Wzór 6. Upoważnienie do przetwarzania danych osobowych - ogólny

Wzór 7. Unieważnienie upoważnienia do przetwarzania danych osobowych

Wzór 8. Oświadczenie dotyczące zgody na przetwarzanie danych osobowych

Wzór 9. Oświadczenie osoby upoważnionej do przetwarzania danych osobowych

Wzór 10. Ogólna klauzula informacyjna z art. 13 RODO

Wzór 11. Umowa powierzenia przetwarzania danych osobowych

Wzór 12. Rejestr czynności przetwarzania danych dla administratora

Wzór 13. Rejestr czynności przetwarzania dla podmiotu przetwarzającego

Wzór 14. Procedura postępowania w przypadku naruszenia ochrony danych osobowych przez osoby zatrudnione przy ich przetwarzaniu

Wzór 15. Raport z naruszenia bezpieczeństwa zasad ochrony danych osobowych

Wzór 16. Raport z naruszenia ochrony danych osobowych - druk ogólny

Wzór 17. Sprawozdanie ze sprawdzenia zgodności przetwarzania danych z przepisami o ochronie danych osobowych

Wzór 18. Wniosek o udostępnienie danych osobowych

Wykaz skrótów

Akty prawne

k.c. - ustawa z 23 kwietnia 1964 r. - Kodeks cywilny (j.t. Dz.U. z 2017 r. poz. 459 ze zm.)

k.p. - ustawa z 26 czerwca 1974 r. - Kodeks pracy (j.t. Dz.U. z 2018 r. poz. 108 ze zm.)

k.p.a. - ustawa z 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (j.t. Dz.U. z 2017 r. poz. 1257 ze zm.)

k.p.k. - ustawa z 6 czerwca 1997 r. - Kodeks postępowania karnego (j.t. Dz.U. 2017 r. poz. 1904 ze zm.)

RODO lub Rozporządzenie - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz.Urz. UE. L Nr 119, str. 1)

uodo - ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2016 r. poz. 922 ze zm.)

ustawa o VAT - ustawa z 11 marca 2004 r. o podatku od towarów i usług (j.t. Dz.U. z 2017 r. poz. 1221 ze zm.)

Inne

ABI - administrator bezpieczeństwa informacji

CEiDG - Centralna Ewidencja i Informacja o Działalności Gospodarczej

EROD - Europejska Rada Ochrony Danych

GIODO - Generalny Inspektor Ochrony Danych Osobowych

IOD - inspektor ochrony danych

KRS - Krajowy Rejestr Sądowy

MSiG - Monitor Sądowy i Gospodarczy

NSA - Naczelny Sąd Administracyjny

PUODO - Prezes Urzędu Ochrony Danych Osobowych

SN - Sąd Najwyższy

UODO - Urząd Ochrony Danych Osobowych

WSA - Wojewódzki Sąd Administracyjny

Katarzyna Czajkowska-Matosiuk