RODO - KRÓTKIE WYJAŚNIENIE PRAKTYCZNE DLA ADMINISTRATORÓW
Wielkimi krokami zbliża się dzień 25 maja 2018 roku. W dacie tej wchodzi w życie bardzo istotne dla wszystkich przedsiębiorców rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli tak zwane RODO. Rozporządzenie to można nazwać prawdziwą rewolucją w zakresie ochrony danych osobowych. Nie jednakże dlatego, że całkowicie zmienia sposób ochrony danych. Rzecz jasna wprowadzone są nowe rozwiązania, ale wiele obowiązków (być może w nieco innym kształcie) występowało już na gruncie ustawy o ochronie danych osobowych. Obowiązki te nie były w wielu przypadkach dotychczas respektowane, ponieważ ich nieprzestrzeganie nie wiązało się z jakąś szczególną sankcją. I to jest właśnie największa zmiana wprowadzona przez RODO. Sankcje, czyli bardzo wysokie kary finansowe, które mogą zostać nałożone na administratora danych w razie niewykonywania przez niego obowiązków w zakresie ochrony przetwarzanych przez niego danych osobowych. To jest główny powód, dla którego każdy administrator powinien przed 25 maja 2018 roku przeprowadzić u siebie audyt sprawdzający, jak wygląda kwestia ochrony danych osobowych w kontekście RODO.
RODO zawiera bardzo wiele zapisów, które nie do końca są precyzyjne i które odnoszą się w dużej mierze do kwestii technicznych. Nie można jednakże zapominać o obowiązkach o charakterze prawnym, z których najważniejsze zostaną przeze mnie przedstawione poniżej. Przede wszystkim trzeba zwrócić uwagę na legalność przetwarzania danych. Artykuł 5 RODO stanowi, że dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
d)prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Co istotne administrator jest odpowiedzialny za przestrzeganie ww. zasad i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Zgodnie z art. 6 RODO przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (musi wynikając z przepisów rangi ustawowej);
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.Oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f wymaga kumulatywnego spełnienia dwóch przesłanek. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędne dla realizacji celu wynikającego z powyższego interesu. W drugim etapie trzeba natomiast ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. W przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f jako uzasadnienie dla przetwarzania danych osobowych.
Istotne jest również realizowanie obowiązków informacyjnych wskazanych w art. 13 i art. 14 RODO, tj. informowanie osób, który dane osobowe są przetwarzane o okolicznościach wskazanych w ww. przepisach RODO. Takie obowiązki informacyjne były przewidziane już w ustawie o ochronie danych osobowych, jednakże z całą pewnością znaczna część administratorów obowiązków tych nie realizowała.
Z kolei jeżeli przetwarzanie danych ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także inne elementy wskazane w art. 28 ust. 3 RODO. Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Bardzo istotne jest zatem zawarcie w umowach, w zakresie których dochodzi do przekazywania danych (np. na obsługę księgowo-płacową), zapisów dotyczących powierzenia przetwarzania danych.
Kolejną istotną kwestią jest obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych (art. 30 RODO). Obowiązek ten nie ma jednakże zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (tzw. dane wrażliwe, np. informację o stanie zdrowia) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Należy przyjąć bezpieczną interpretację nakazującą prowadzenie rejestru każdemu pracodawcy, który przetwarza dane związane z medycyną pracy czy też realizacją obowiązków wynikających z przepisów ustawy zasiłkowej. W takiej sytuacji pracodawca przetwarza dane wrażliwe (dane o stanie zdrowia) i powinien prowadzić rejestr czynności przetwarzania danych osobowych.
W określonych przypadkach zachodzi również konieczność wyznaczenia inspktora ochrony danych. Zgodnie z art. 37 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (dane wrażliwe), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
W przypadkach innych niż ww. administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych.
MAREK MIECZNIKOWSKI
RADCA PRAWNY