Szanowne Koleżanki i Koledzy Architekci IARP,

Przesyłamy Wam czterdziesty siódmy numer newslettera legislacyjnego poświęconego RODO. Zawiera on

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) >>>

• Przewodnik RODO dla małych i średnich przedsiębiorców wydany przez Ministerstwo Przedsiębiorczości i Technologii autorstwa P. Litwińskiego >>>

Już 25 maja zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej nazywane RODO). Akt ten został przyjęty m.in. w celu zapewnienia równorzędnego poziomu ochrony danych osobowych w całej Unii Europejskiej. Rozporządzenia unijne są aktami prawnymi bezpośrednio obowiązującymi, stąd też ich postanowienia stosujemy wprost bez konieczności implementacji do krajowego porządku prawnego. RODO budzi wielkie emocje, gdyż niewiele czasu pozostało na przygotowanie się do jego wdrożenia. Wielu przedsiębiorców (szczególnie tych mniejszych) nie zdaje sobie sprawy, że jest zobowiązana do jego stosowania. Przesyłamy Wam więc najważniejsze informacje o RODO oraz tekst samego rozporządzenia, z którym powinien zapoznać się każdy przedsiębiorca. Bardzo przydatny może okazać się również Przewodnik wydany przez Ministerstwo Przedsiębiorczości (w załączniku), który zawiera wiele praktycznych przykładów pomocnych w zrozumieniu RODO.

Już na wstępie podkreślić należy, że RODO dotyczy wszystkich podmiotów prowadzących działalność na terenie UE (nawet tych prowadzących jednoosobową działalność gospodarczą), które przetwarzają dane osobowe.

Unijny ustawodawca wprowadził tu jednak kilka wyjątków. Nowe przepisy nie będą dotyczyć m.in. osób fizycznych, które przetwarzają dane w związku z działalnością czysto osobistą lub domową tj. niezwiązaną z działalnością zawodową lub handlową oraz przetwarzania danych w związku z działalnością nieobjętą zakresem unijnego prawa. Co istotne rozporządzenie dotyczy przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w UE, niezależnie od tego, czy dane przetwarzane są w Unii.

Akt zapewnia ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych (niezależnie od ich obywatelstwa czy miejsca zamieszkania). Przepisy te nie mają natomiast zastosowania do przetwarzania danych osobowych dotyczących osób prawnych takich jak dane o firmie i formie prawnej oraz danych kontaktowych osoby prawnej (motyw 14 preambuły rozporządzenia).

Zgodnie z definicją zawartą w rozporządzeniu danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej takie jak np.: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1 RODO).

Co oznacza według unijnego rozporządzenia przetwarzanie? Zakres pojęcia jest niezwykle szeroki i obejmuje właściwie wszystkie czynności, jakie przedsiębiorca wykonuje w związku z prowadzoną działalnością w zakresie posługiwania się danymi osobowymi. Czynności te zostały wyliczone w katalogu zamieszczonym w rozporządzeniu. Przetwarzanie to takie operacje jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych.

Każdy przedsiębiorca powinien wiedzieć kim jest „administrator”, a kim „podmiot przetwarzający”. Administrator oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych […]”. Natomiast „podmiot przetwarzający” należy rozumieć jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”. Administratorem będzie więc np. pracodawca, który przetwarza dane pracowników (ponieważ to on decyduje, w jakim celu przetwarza dane). Podmiot, który przetwarza dane nie musi jednak robić tego samodzielnie – może korzystać z pomocy podmiotów zewnętrznych (np. zlecenia dla biura rachunkowego przetwarzania danych). Takie zlecenie wymaga zawarcia z podmiotem przetwarzającym tzw. umowy przetwarzania (1)

Zgodnie z unijnymi przepisami naruszenie danych osobowych to naruszenie bezpieczeństwa skutkujące przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Nowe przepisy określają szczegółowo zasady przetwarzania danych, aby było to przetwarzanie zgodne z prawem. Przede wszystkim sposób przetwarzania musi być rzetelny i zrozumiały dla osoby, której dane dotyczą. Gromadzenie danych zawsze musi być celowe, a przedsiębiorca powinien zawsze umieć wskazać taki cel i go uzasadnić (również prawnie). Celowość rysuje swoiste ramy przetwarzania, gdyż przedsiębiorca może z daną zrobić tylko to co nie wykracza poza wskazany cel, gdyż może to zostać uznane za nieadekwatne i zbędne gromadzenie danych. Jeśli przechowujemy dane, które wykraczają poza te ramy należy je „niezwłocznie” uaktualnić lub (w przypadku gdy gromadzenie jest bezcelowe) usunąć. W takim przypadku – jak wskazał unijny ustawodawca – należy podjąć „wszelkie rozsądne działania”. Ważne jest również, jak długo przechowujemy dane (możemy to robić tylko do czasu kiedy jest to uzasadnione celem). To na przedsiębiorcy spoczywa obowiązek zapewnienia takich środków, aby przetwarzanie odbywało się w sposób gwarantujący należytą ochronę danych. Trzeba pamiętać, że administrator danych musi być w stanie udowodnić, że przestrzega powyższych zasad – urzeczywistniać ma to zasadę „rozliczalności”.

Co zrobić, aby przetwarzać dane zgodnie z prawem? Należy przytoczyć tu ust. 1 art. 6 rozporządzenia, w którym wskazano warunki legalności:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”.

W rozporządzeniu wskazano szczegółowo warunki wyrażenia zgody przez osobę, której dane dotyczą – nie musi być to zgoda pisemna (jednak należy pamiętać, że administrator musi być w stanie udowodnić, że została ona wyrażona). Ważne jest, że wyrażenie zgody na piśmie musi być jasne oraz dać się odróżnić od innych kwestii (jeśli oświadczenie dotyczy również innych spraw). Oświadczenie musi być sformułowane w sposób przejrzysty, przy użyciu prostego języka. Jeśli oświadczenie nie spełnia wymogów wskazanych w rozporządzeniu uznaje się je za niewiążące. Co bardzo istotne – osoba, która składa takie oświadczenie zawsze może je odwołać (oczywiście przetwarzanie dokonywane na podstawie takiej zgody do momentu jej wycofania jest zgodne z prawem, o czym należy poinformować osobę przed wyrażeniem przez nią zgody). Odwołanie zgody musi być tak proste jak jej wyrażenie. Bardzo istotne jest, że od wyrażenia zgody nie może zależeć wykonanie umowy (np. świadczenie usług), chyba że jest to niezbędne w celach jej wykonania. Więcej patrz art. 6-8 rozporządzenia oraz motyw 32 preambuły. Przykładowy wzór klauzuli zgody patrz P. Litwiński, Przewodnik po RODO dla małych i średnich przedsiębiorców, Warszawa 2018, s. 12.

Szczególne kategorie danych. Unijne rozporządzenie wprowadza pojęcie danych szczególnych kategorii, których przetwarzanie jest co do zasady zabronione (poza ściśle określonymi przypadkami takimi jak wyrażenie wyraźnej zgody). Są to dane „ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby” (patrz art. 9 rozporządzenia).

Ponadto RODO określa prawa osób, których dane są przetwarzane (w tym np. prawo do sprostowania danych, tzw. „prawo do bycia zapomnianym” tj. prawo do usunięcia danych, prawo do przenoszenia danych, prawo do sprzeciwu). Przede wszystkim osoby takie mają prawo do wszelkich informacji związanych z ich zbieraniem (np. danych administratora, celu zbierania danych oraz podstawy prawnej ich przetwarzania). (2) To na administratorze ciąży obowiązek przekazania informacji osobie (administrator podaje je podczas pozyskiwania danych) – patrz art. 13 rozporządzenia. Informacje takie muszą zostać podane również w przypadku, kiedy administrator pozyskuje dane w sposób inny niż od osoby, której one dotyczą – patrz art. 14 rozporządzenia. Warto zaznaczyć, że osoba, której dane dotyczą ma prawo dostępu do informacji – patrz art. 15 rozporządzenia. Ponadto osoba taka ma prawo do ich niezwłocznego sprostowania przez administratora (art. 16 RODO).

Unijne rozporządzenie wskazuje obowiązki administratora oraz podmiotów przetwarzających dane. Bardzo istotne jest, że to administrator podejmuje decyzje co do odpowiednich środków technicznych oraz organizacyjnych w celu zgodnego z RODO przetwarzania danych (art. 24 ust. 1 rozporządzenia) – jest to tzw. „podejście oparte na ryzyku”, które charakteryzuje się pozostawieniem woli przedsiębiorcy wyboru środków, z jakich skorzysta aby prawidłowo wypełnić zobowiązania wynikające z RODO (3). Rozwiązania, jakimi posłużyć się może (oraz powinien wdrożyć) przedsiębiorca opisane zostały w Przewodniku po RODO dla małych i średnich przedsiębiorców, P. Litwiński, Warszawa 2018, s. 16-23. Wskazano tu ponadto poszczególne etapy we wdrażaniu RODO (tamże, s. 27-29). Szczególną uwagę należy zwrócić na: uwzględnianie ochrony danych w fazie projektowania oraz domyślną ochronę danych, rejestrowanie czynności przetwarzania, obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, ocenę skutków dla ochrony danych i uprzednie konsultacje).

W konkretnych przypadkach administrator oraz podmiot przetwarzający mają obowiązek wyznaczyć Inspektora danych osobowych. Ma to miejsce, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. (art. 37 ust. 1 rozporządzenia).

RODO zapewnia każdemu prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu. Osoba, która poniosła szkodę majątkową lub niemajątkową w związku z naruszeniem przepisów RODO może ubiegać się o odszkodowanie. Zwrócić należy natomiast uwagę na zakres odpowiedzialności administratora oraz podmiotu przetwarzającego – nie jest on tożsamy. Administrator odpowiada za szkody spowodowane naruszeniem RODO, natomiast podmiot przetwarzający odpowiada za takie szkody tylko w przypadku niedopełnienia obowiązków, które nakłada na niego rozporządzenie lub gdy działał poza zgodnymi z prawem instrukcjami administratora jak też wbrew tym instrukcjom. Zarówno administrator, jak i podmiot przetwarzający nie ponoszą odpowiedzialności, jeżeli wykażą że nie ponoszą winy za zdarzenie, w następstwie którego powstała szkoda. Podmioty, które naruszyły przepisy mogą zostać ukarane również karą administracyjną.

Warto również zapoznać się z wymaganiami, które dotyczą tzw. profilowania czyli zautomatyzowanego przetwarzania danych – patrz art. 22 rozporządzenia oraz P. Litwiński, Przewodnik po RODO dla małych i średnich przedsiębiorców, Warszawa 2018, s. 14.

Polecamy również informacje zamieszczone na stronach właściwych resortów:
Ministerstwa Przedsiębiorczości i Technologii: www.mpit.gov.pl/
Ministerstwa Cyfryzacji: https://www.gov.pl/cyfryzacja/rodo-informator

(1) P. Litwiński, Przewodnik po RODO dla małych i średnich przedsiębiorców, Ministerstwo Przedsiębiorczości i Technologii, Warszawa 2018 r., s. 9.
(2) Wszystkie informacje, które należy wskazać przy zbieraniu zgody wskazane zostały na stronach 11-12 Przewodnika po RODO dla małych i średnich przedsiębiorców, P. Litwiński, Warszawa 2018 oraz w art. 13 i 14 rozporządzenia. Sytuacje, w których nie jest wymagane uzyskanie zgody wymienione zostały w tym Przewodniku na stronie 13.
(3) P. Litwiński, Przewodnik po RODO dla małych i średnich przedsiębiorców, Warszawa 2018, s. 16.