tekst: Aleksandra Włodarczyk - radca prawny

 

Z dniem 25 maja 2018 roku weszły w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: „RODO”) oraz ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (dalej jako: „UODO”). W związku z tym dotychczasowa ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych straciła moc obowiązującą, a wraz z nią rozporządzenia wydane na jej podstawie, w tym rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych. RODO obowiązuje każdego przedsiębiorcę i podmiot, który prowadzi działalność na terenie Unii Europejskiej bez względu na to, gdzie są przetwarzane dane osobowe (gdzie znajdują się serwery, np. w chmurze).

Konsekwencją powyższego jest np. brak obowiązku opracowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Oczywiście ww. dokumenty nadal mogą być stosowane po ich dostosowaniu do przepisów RODO i w większości przypadków będzie to wskazane, ponieważ RODO przewiduje zasadę rozliczalności, zgodnie z którą administrator jest odpowiedzialny za przestrzeganie przepisów dotyczących zasad przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). Zasadę rozliczalności sprowadzić można do dwóch wymagań: przyjęcia odpowiednich środków organizacyjnych i technicznych adekwatnych do ryzyka, a także możliwości wykazania spełnienia wymagań nakładanych mocą RODO. W przypadku podmiotów o złożonej strukturze, będzie to oznaczało konieczność wypracowania kompleksowej i przejrzystej dokumentacji. Mniejsze podmioty mogą zastosować bardzo uproszczoną formę, m.in. opierać się na przyjętych procedurach ustnych bądź pisemnych. Jest to konsekwencja przyjęcia podejścia opartego na ryzyku, a więc pewnej swobody pozostawionej administratorom i podmiotom przetwarzającym. Pamiętać jednak trzeba, że w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z RODO, administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć odpowiednie środki minimalizujące to ryzyko (art. 32 RODO).

Z zasadą rozliczalności nierozerwalnie łączą się uprawnienia kontrolne administratora w stosunku do podmiotu, któremu powierzył przetwarzanie danych osobowych (art. 28 ust. 3 lit. h) RODO) oraz organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: „Prezes Urzędu”) w stosunku do wszystkich podmiotów przetwarzających dane osobowe, uregulowane w UODO.

Rozdział 9 UODO reguluje zagadnienie kontroli przestrzegania przepisów o ochronie danych osobowych. Zgodnie z art. 78 ust. 2 UODO, kontrolę przeprowadza się zgodnie z planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania RODO. Przebieg czynności kontrolnych przedstawiany jest w protokole kontroli, do którego podmiot kontrolowany może wnieść zastrzeżenia w terminie 7 dni, bądź podpisać go bez zastrzeżeń (art. 88 UODO). Kontrola nie powinna trwać dłużej niż 30 dni (art. 89 RODO). Natomiast  po zakończeniu kontroli, jeżeli Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, ma obowiązek niezwłocznego wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, które opisane jest szczegółowo w rozdziale 7 UODO.

Podstawowe zasady dotyczące przetwarzania danych osobowych zostały ujęte w art. 5 RODO i są to:

1. zasada zgodności z prawem, rzetelności i przejrzystości;
2. zasada ograniczenia celu, oznaczająca że dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
3. zasada minimalizacji danych, oznaczająca że dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane;
4. zasada ograniczenia przechowywania, oznaczająca że dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
5. zasada integralności i poufności, w celu zabezpieczenia odpowiedniego bezpieczeństwa danych osobowych.

Podstawowe obowiązki administratora danych osobowych:

1. dane osobowe muszą być przetwarzane zgodnie z prawem

Przypadki, w których dozwolone jest przetwarzanie danych zostały opisane w art. 6 RODO. Podstawowymi sytuacjami, w których możliwe jest przetwarzanie danych osobowych jest:

1)  wyrażenie zgody przez osobę, której dane dotyczą;

2) gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą;

3) konieczność podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

Zatem jeżeli z osobą, której dane przetwarzamy łączy nas umowa, to nie ma konieczności uzyskiwania od tej osoby dodatkowo zgody.

Warunki wyrażenia zgody, zostały opisane w art. 7 RODO i art. 8 RODO w przypadku zgody wyrażanej przez dziecko poniżej 16 roku życia. Zgoda powinna charakteryzować się dobrowolnością, konkretnością (niedopuszczalna jest ogólna zgoda bez określenia dokładnego celu przetwarzania), świadomością i jednoznacznością. Zatem aby spełnić powyższe wymagania można np. umieścić w treści zgody informację, że osoba ją podpisująca zapoznała się z klauzulą informacyjną.

Pamiętać przede wszystkim należy, iż mimo że RODO nie nakłada obowiązku uzyskania zgody w formie pisemnej, to nakłada na administratora obowiązek wykazania, że osoba zgodę wyraziła.

Zgoda na przetwarzanie danych osobowych powinna zostać wyrażona m.in. w przypadku korzystania z newsletteru, wypełniania formularzy kontaktowych (jeżeli zawierają imię i nazwisko oraz adres e-mail) lub wysłania wiadomości SMS o treści reklamowej.

Jeżeli natomiast przetwarzanie danych osobowych odbywa się na podstawie zgody, uzyskanej przed wejściem w życie RODO, to administrator i podmiot przetwarzający mają obowiązek zweryfikować, czy zgody te są nadal ważne, tj. czy spełniają wymogi określone w RODO.

Ponadto podkreślić należy, iż co do zasady zabrania się przetwarzania szczególnych kategorii danych, tzw. danych wrażliwych, czyli danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Wyjątki od powyższej zasady zostały opisane w art. 9 RODO i jest nim m.in. wyrażenie przez osobę, której dane dotyczą wyraźnej zgody na przetwarzanie którejś z szczególnych kategorii danych.

podejmowanie odpowiednich środków, aby w sposób przejrzysty informować i komunikować się z osobą, której dane dotyczą, a także w sposób przejrzysty opracować tryb wykonywania praw przez osobę, której dane dotyczą (art. 12 RODO)

Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe oraz by były formułowane jasnym i prostym językiem. Informacje te mogą być przekazywane w formie elektronicznej, na przykład za pomocą strony internetowej, gdy są kierowane do ogółu społeczeństwa. Wypełnieniem tego obowiązku jest opracowanie np. klauzuli informacyjnej, której wymogi opisane są w art. 13 RODO, bądź art. 14 RODO. Klauzula informacyjna powinna znaleźć się m.in. w regulaminach, umowach, na stronach internetowych. Ponadto jeżeli administrator planuje przetwarzać dalej dane osobowe w innym celu, niż ten, dla którego zostały zebrane, ma obowiązek ponownego, pełnego poinformowania osoby, której dane dotyczą.

2. zapewnienie dostępu do zebranych danych osobowych, osoby której dane dotyczą, prawa do sprostowania tych danych oraz prawa do bycia zapomnianym

Obowiązki te zostały określone w art. 15 i 16 RODO. Z przywołanych przepisów wynika, że każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, a także prawo do sprostowania tych danych., Prawo do wiedzy i informacji obejmuje w szczególności. wskazanie celów, dla których dane osobowe są przetwarzane, okresu przez jaki te dane są przetwarzane (jeżeli jest możliwe jego określenie), odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz konsekwencji takiego przetwarzania w przypadku profilowania. Dobrym rozwiązaniem może być utworzenie dedykowanej poczty elektronicznej , na którą osoby, których dane są przetwarzane będą mogły wysyłać zapytania i żądania związane z ich danymi osobowymi. Pamiętać jednak należy, że administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą, w szczególności w kontekście usług internetowych i identyfikatorów internetowych.

Ponadto osoba, której dane osobowe są przetwarzane ma prawo do bycia zapomnianym, czyli ma prawo do usunięcia jej danych (art. 17 RODO). Obowiązek usunięcia danych najczęściej powstanie w sytuacji odwołania zgody, bądź wykonania umowy. Pamiętać przy tym należy, że prawo do przetwarzania danych w ww. przypadkach istnieje także przez okres odpowiadający okresowi przedawnienia roszczeń – np. 10 lat w przypadku działania na podstawie zgody (od dnia 9 lipca 2018 roku – 6 lat), 3 lata (co do zasady) w przypadku przedsiębiorców działających na podstawie umowy. Brak obowiązku usunięcia danych osobowych występuje także w przypadkach, gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Podkreślić także trzeba, że aby wzmocnić prawo do bycia zapomnianym w Internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do nich , ich kopii lub ich replikacji. Tym niemniej obowiązek poinformowania administratorów może być ograniczony przez dostępną technologię, koszty i konieczność podejmowania rozsądnych działań, a zatem działania te nie mają charakteru zobowiązania rezultatu, a wyłącznie starannego działania.

Pozostałe prawa przysługujące osobie, której dane osobowe są przetwarzane określone są w art. 18 RODO (prawo do ograniczenia przetwarzania), art. 19 RODO (obowiązek powiadomienia o sprostowaniu, usunięciu danych lub ograniczeniu przetwarzania), art. 20 RODO (przenoszenie danych), art. 21 RODO (prawo sprzeciwu).

3. wdrożenie odpowiednich środków technicznych i organizacyjnych przetwarzania danych osobowych

Administrator ma obowiązek przetwarzania danych osobowych zgodnie z obowiązującym prawem (przede wszystkim zgodnie z RODO oraz UODO) i ma obowiązek to wykazać. Ocenie podlega, czy środki techniczne i organizacyjne wdrożone przez administratora są adekwatne do charakteru, zakresu i celu przetwarzania, z uwzględnieniem ryzyka naruszenia praw i wolności osób, których dane są przetwarzane (art. 24 RODO). Przykładowe środki techniczne i organizacyjne zostały opisane w art. 32 RODO, w którym wskazano także generalne wytyczne co do zachowania bezpieczeństwa przetwarzania.

Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać m.in. z przetwarzania danych osobowych mogących prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką, inną znaczną szkodą gospodarczą lub społeczną, jeżeli dotyczy danych wrażliwych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się zwykłe ryzyko, czy też wysokie ryzyko.

Konsekwencją art. 24 RODO jest obowiązek stosowania domyślnej ochrony danych osobowych, tj. domyślnie powinny być przetwarzane wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania, co wiąże się z zakazem zbierania danych, które są zbędne (art. 25 RODO).

4. stosowanie zasad, określonych w art. 28 RODO do podmiotów przetwarzających dane osobowe w imieniu administratora

Powierzenie przetwarzania danych osobowych przez administratora innemu podmiotowi odbywać się będzie najczęściej na podstawie umowy powierzenia. Podstawowe zapisy, które muszą znaleźć się w umowie powierzenia zostały opisane w art. 28 ust. 3 RODO.

Pamiętać przy tym należy, że administrator to taki podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Natomiast podmiot przetwarzający działa wyłącznie na podstawie umowy z administratorem i nie decyduje o celach i środkach przetwarzania danych, np. biuro rachunkowe przetwarza na zlecenie dane osobowe przekazane mu w tym celu przez klientów.

Ponadto zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymagają tego przepisy prawa. Dodać należy, iż osoby takie jak np. pracownicy administratora, muszą otrzymać stosowne upoważnienie, aby mogły mieć  dostęp do danych osobowych. Upoważnienie powinno zawierać wskazanie osoby upoważnionej oraz administratora, kategorii osób i danych osobowych, których upoważnienie dotyczy, okres na jaki zostaje udzielone i jego zakres. Ponadto osoba upoważniona powinna złożyć oświadczenie o znajomości obowiązków związanych z ochroną danych osobowych oraz zobowiązaniu do przetwarzania danych wyłącznie w zakresie nadanego upoważnienia, a także do zachowania w tajemnicy treści danych osobowych oraz informacji o sposobach ich zabezpieczenia.

5. prowadzenie rejestru czynności przetwarzania

Art. 30 RODO wskazuje enumeratywnie, osobno dla administratora i osobno dla podmiotu przetwarzającego, wszystkie informacje, które muszą być zamieszczone w rejestrze czynności przetwarzania. Tym niemniej z obowiązku prowadzenia rejestru zwolnieni są przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

6. współpraca z organem nadzorczym, tj. Prezesem Urzędu (art. 31 RODO)
7. zgłaszanie naruszenia ochrony danych osobowych Prezesowi Urzędu

Zgodnie z art. 33 RODO administrator nie później niż w terminie 72 h po stwierdzeniu naruszenia ochrony danych osobowych ma obowiązek poinformowania o tym fakcie Prezesa Urzędu. Informacje, które muszą znaleźć się w zawiadomieniu wymienia enumeratywnie ust. 3 art. 33 RODO. Wyjątkiem od tej zasady jest sytuacja, gdy administrator stwierdzi, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Naruszenie ochrony danych osobowych, może polegać na naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego
z prawem zniszczenia, utracenia, zmodyfikowania danych osobowych bądź prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przykładami ww. naruszeń są m.in. zgubienie nośnika z danymi osobowymi, uzyskanie dostępu do danych przez osobę, która nie była do tego upoważniona, czy włamanie do systemu informatycznego służącego do przetwarzania danych osobowych.

Wskazać przy tym należy, że podmiot przetwarzający ma także obowiązek zgłoszenia naruszenia, tym niemniej zgłasza on je do administratora, a dopiero administrator zgłasza je do Prezesa Urzędu. Ponadto administrator ma obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych, w celu umożliwienia Prezesowi Urzędu weryfikację wypełnienia obowiązków wynikających z art. 33 RODO.

Ponadto w przypadku wystąpienia naruszenia danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek zawiadomienia bez zbędnej zwłoki osobę, której dane dotyczą o stwierdzonym naruszeniu (art. 34 RODO). Wysokim ryzykiem obarczone będzie np. uzyskanie przez osoby nieuprawnione dostępu do loginów i haseł klientów systemu bankowości elektronicznej, czy zagubienie nośnika, zawierającego dokumentację medyczną pacjentów. Tym niemniej, od powyższego obowiązku istnieją wyjątki, które odnoszą się  do zachowania administratora przed naruszeniem (wdrożenie odpowiednich środków ochrony), bądź jego zachowania po stwierdzonym naruszeniu.

8. wyznaczenia inspektora danych osobowych

Osoby wykonujące w dniu 24 maja 2018 roku funkcję administratora bezpieczeństwa informacji pełnią funkcję inspektora ochrony danych do 1 września 2018 roku. W tym terminie administrator danych osobowych lub podmiot przetwarzający mają obowiązek zawiadomić Prezesa Urzędu o wyznaczeniu inspektora ochrony danych osobowych albo, że administrator bezpieczeństwa informacji nie będzie pełnił funkcji inspektora ochrony danych (art. 158 UODO).

Każdy podmiot może wyznaczyć inspektora danych osobowych, tym niemniej zgodnie z art. 37 RODO obowiązek ten spoczywa
na administratorze i podmiocie przetwarzającym, zawsze gdy:

1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (przetwarzanie danych osobowych: pacjentów przez szpital klientów lub przez banki albo ubezpieczycieli w ramach prowadzonej działalności oraz przetwarzanie danych osobowych do celów reklamy behawioralnej przez wyszukiwarki); lub

3) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Zgodnie z art. 10 ust. 1 UODO podmiot, który wyznaczył inspektora danych osobowych ma obowiązek zawiadomienia w terminie 14 dni Prezesa Urzędu o tym fakcie, przedstawiając wszystkie niezbędne dane, opisane w tym artykule. Ponadto zgodnie z art. 11 UODO podmiot, który wyznaczył inspektora danych osobowych ma także obowiązek udostępnienia na swojej stronie internetowej, bądź w przypadku jej braku, w miejscu ogólnodostępnym w swojej siedzibie: imienia i nazwiska oraz adresu e-mail lub numeru telefonu inspektora danych osobowych.

DEFINICJE

Przetwarzanie to zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Dane osobowe to natomiast informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Zbiór danych to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Cechą wyróżniającą zbiór danych od innego zestawu danych jest jego struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium. Kryteria mogą być osobowe (np. imię, nazwisko, data urodzenia, PESEL) oraz nieosobowe (np. data zamieszczenia danych w zbiorze). Zbiorem danych osobowych jest zarówno zestaw danych odnoszących się do wielu osób, jak i odnoszących się do jednej osoby.

Źródła:

• https://gdpr.pl/

• https://giodo.gov.pl/pl/266

• https://uodo.gov.pl/pl/123

• https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679

• dr Paweł Litwiński, Przewodnik po RODO dla Małych i średnich przedsiębiorców, Ministerstwo Przedsiębiorczości i Technologii, Warszawa 2018 r.

• Barta Janusz, Fajgielski Paweł, Markiewicz Ryszard, Ochrona danych osobowych. Komentarz, wyd. VI 2015, Wolters Kluwer Polska.