Ochrona danych osobowych w przedsiębiorstwie
2021-03-19
Gdzie i jakie informacje należy udostępnić o inspektorze danych osobowych? Kiedy i jak przeprowadzić test równowagi? Czy i w jaki sposób można odwołać się od decyzji Prezesa Urzędu Ochrony Danych Osobowych? – na m.in. te pytania odpowiada Adam Szkurłat, adwokat w Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp. k
1.Publikacja informacji o inspektorze ochrony danych
– W naszej firmie powołany został inspektor ochrony danych osobowych. Gdzie i jakie informacje o inspektorze powinniśmy udostępnić?
Udzielenie odpowiedzi na pytanie wymaga sięgnięcia do dwóch aktów prawnych: RODO oraz polskiej ustawy z 10 maja 2018 r. o ochronie danych osobowych (u.o.d.o.). Art. 37 ust. 7 RODO nakłada na administratora obowiązek publikacji danych kontaktowych inspektora ochrony danych (IOD) i zawiadomienia o nich organu nadzorczego. Taka powinność administratora ma przede wszystkim ułatwić możliwość nawiązania kontaktu z IOD osobom, których dane dotyczą, ale wynika również z istotnej kompetencji IOD, jaką jest pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem (art. 39 ust. 1 lit. e RODO).
W praktyce pojawiły się wątpliwości, jakie informacje kontaktowe IOD powinny być ujawnione szerokiej publiczności. Z pomocą w tej materii przyszedł polski ustawodawca, precyzując zakres i miejsce komunikacji o IOD w art. 11 w zw. z art. 10. ust. 1 u.o.d.o. Podmiot, który wyznaczył inspektora powinien udostępnić: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu IOD. Dokładnie te same informacje dotyczące IOD powinny zostać przekazane Prezesowi Urzędu Ochrony Danych Osobowych w ramach realizacji obowiązki zawiadomienia organu nadzorczego.
Wskazane wyżej dane kontaktowe IOD powinny być opublikowane przede wszystkim na stronie internetowej administratora lub procesora, a w przypadku jej braku – rozpowszechnione w sposób ogólnie dostępny w miejscu prowadzenia działalności. Należy pamiętać, że w razie powołania IOD jego dane kontaktowe powinny być udostępnione w ramach realizowania obowiązku informacyjnego (zarówno na podstawie art. 13, jak i art. 14 RODO) wobec osób, których dane dotyczą.
podstawa prawna: art. 13-14, 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. Urz. UE L z 2016 r. nr 119/1
podstawa prawna: art. 10-11 ustawy z 10 maja 2018 r. o ochronie danych osobowych (DU z 2019 r., poz. 1781)
2.Na czym polega profilowanie?
– W informacji o przetwarzaniu danych osobowych, którą otrzymał czytelnik, znalazła się informacja, że administrator – na potrzeby realizacji działań marketingowych – stosuje profilowanie. Czym jest profilowanie i czy prawo daje usługodawcom możliwość jego stosowania?
Profilowanie w odniesieniu do ochrony danych osobowych ma swoją normatywną definicję, zawartą w art. 4 pkt 4 RODO. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
W dużym uproszczeniu profilowanie obejmuje zautomatyzowane zbieranie informacji statystycznych, opracowanie na ich podstawie pewnej klasyfikacji osób będących odbiorcami usług oraz przypisanie osoby podlegającej profilowaniu do pewnych wypracowanych wzorców. Celem profilowania może być m.in. przesyłanie spersonalizowanych reklam lub ofert świadczonych przez administratora usług. W niektórych wypadkach efektem profilowania może być m.in. podjęcie decyzji oddziałującej na sytuację prawną danej osoby.
Profilowanie jest dozwolone przez przepisy dotyczące ochrony danych osobowych, jednakże regulacje te narzucają pewne ramy i obowiązki na administratorów. Celem tych ograniczeń i wymagań jest przeciwdziałanie nadużyciom związanym z profilowaniem. Dodatkowo, osoby, których dane dotyczą, mają prawo do ochrony swojej prywatności poprzez:
– prawo do uzyskania informacji o fakcie profilowania oraz jego konsekwencjach (motyw 60 oraz art. 13 ust. 2 lit f i art. 14 ust. 2 lit. g RODO);
– prawo do sprzeciwu wobec profilowania (motyw 70 RODO oraz art. 21 ust. 2 RODO).
podstawa prawna: art. 21-22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz.Urz. UE L z 2016 r. nr 119/1
3.Zasada rozliczalności w RODO
– W odniesieniu do realizacji obowiązków dotyczących przetwarzania danych osobowych wielokrotnie pojawia się słowo „rozliczalność”. Co ono oznacza?
Jedną z wyodrębnionych przez RODO zasad przetwarzania danych osobowych, wyliczonych i opisanych w art. 5 RODO, jest zasada rozliczalności. Zgodnie z ustępem drugim przytoczonego przepisu RODO „administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 [zasad dotyczących przetwarzania danych osobowych] i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)”.
Rozliczalność oznacza zatem z jednej strony wdrożenie środków i procedur gwarantujących realizację zasad i obowiązków wynikających z RODO, a z drugiej dokumentowanie tych działań w celu wykazania realizacji obowiązków zarówno wobec podmiotów danych, jak i organu nadzorczego.
podstawa prawna: art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. Urz. UE L z 2016 r. nr 119/1
4.Kiedy i jak przeprowadzić test równowagi?
– Planujemy podjąć działania promujące naszą firmę wśród potencjalnych klientów. Czy w kontekście ochrony danych osobowych możemy oprzeć działania marketingowe na przesłance prawnie uzasadnionego interesu? Jakie analizy czy działania powinniśmy podjąć, aby móc skorzystać z tej podstawy przetwarzania?
Podstawa prawna przetwarzania określona w art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes, stanowi jedną z dopuszczalnych przesłanek przetwarzania danych osobowych do celów marketingu bezpośredniego.
Zgodnie z motywem 47 RODO „podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. (…) Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. (…) Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”.
Przywołany fragment preambuły RODO przewiduje, że warunkiem odwołanie się do prawnie uzasadnionego interesu jest przeprowadzenie tzw. testu równowagi (testu balansującego). Na ten test składa się kilka kroków:
Po pierwsze należy ocenić czy występuje cel wynikający z prawnie uzasadnionego interesu realizowanego przez administratora lub stronę trzecią. Taki interes nie musi wynikać wprost z przepisu prawa – wystarczające jest, że pozostaje on w zgodności z prawem.
Po drugie, konieczna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji powyższego celu. Niezbędność powinna być przy tym rozumiana jako konieczność przetwarzania dla realizacji danego celu oraz konieczność przetwarzania poszczególnych kategorii danych osobowych.
Po trzecie, należy ustalić, czy zaplanowane przetwarzanie może naruszać interesy lub prawa i wolności podmiotów danych, które wymagają ochrony danych osobowych. Pojęcie interesów należy rozumieć subiektywnie i weryfikować ich występowanie w odniesieniu do konkretnej osoby, której dane osobowe mają być przetwarzane. Z kolei przez podstawowe prawa i wolności należy rozumieć wartości określone w Konstytucji Rzeczypospolitej Polskiej, Karcie Praw Podstawowych Unii Europejskiej czy Europejskiej Konwencji Praw Człowieka.
Po czwarte, niezbędne jest ustalenie, czy interesy, prawa i wolności podmiotów danych są nadrzędne nad prawnie uzasadnionym interesem administratora. Samo występowanie podstawowych praw i wolności podmiotu danych, które wymagają ochrony danych osobowych, to za mało, by uznać, że są to nadrzędne interesy względem prawnie uzasadnionego interesu administratora.
Jeżeli w wyniku powyższego testu interesy, prawa i wolności podmiotu danych okażą się nadrzędne nad prawnie uzasadnionym interesem administratora, wówczas przesłanka legalizująca z art. 6 ust. 1 lit. f) RODO nie będzie spełniona i dane osobowe nie będą mogły być przetwarzane w oparciu o nią. W pozostałych sytuacjach, a zatem gdy to prawnie uzasadniony interes jest nadrzędny lub obie wartości są równorzędne, dane osobowe będą mogły być przetwarzane.
podstawa prawna:motyw 47 oraz art. 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. Urz. UE L z 2016 r. nr 119/1
5.Rejestr czynności przetwarzania
– Jednym z obowiązków administratora, wynikających z przepisów o ochronie danych osobowych, jest rejestrowanie czynności przetwarzania. Czy ustawodawca przewidział wzór takiego dokumentu? Jakie informacje powinny być w nim zawarte?
Zgodnie z art. 30 ust. 1 RODO każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada. Przywołany przepis RODO przewiduje, że w rejestrze należy zamieścić następujące informacje:
– imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
– cele przetwarzania;
– opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
– kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
– gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1
akapit drugi, dokumentacja odpowiednich zabezpieczeń;
– jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
– jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Rejestr czynności przetwarzania stanowi swego rodzaju kompendium informacji o przetwarzaniu danych osobowych w organizacji. Choć nie w każdym przypadku jest obligatoryjny (zob. art. 30 ust. 5 RODO), to jednak wysoce pożądane jest jego prowadzenie – ułatwi bowiem szybkie zorientowanie się, w jakim zakresie w organizacji zostały wdrożone obowiązki wynikające z RODO.
Ustawodawca nie przewidział wzorcowego rejestru czynności przetwarzania, który stanowiłby załącznik do aktu prawnego. Przykładowy rejestr oraz wskazówki i wyjaśnienia dotyczące zasad prowadzenia i zawartości rejestru opracował natomiast Urząd Ochrony Danych Osobowych. Jest on dostępny pod linkiem: https://uodo.gov.pl/pl/123/214
podstawa prawna: art. 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. Urz. UE L z 2016 r. nr 119/1
6.Obligatoryjne przeprowadzenie oceny skutków dla ochrony danych
– Czy ocena skutków dla ochrony danych ma charakter obligatoryjny czy fakultatywny?
Przeprowadzenie oceny skutków dla ochrony danych (często określane także skrótem DPIA, od angielskojęzycznego sformułowania data protection impact assessment) jest jednym z obowiązków administratora, opisanym szczegółowo w art. 35 RODO. Głównym celem tej czynności jest ustalenie, identyfikacja i szacowanie ryzyka naruszenia praw lub wolności osób fizycznych w procesie przetwarzania danych osobowych.
Ocena skutków dla ochrony danych musi być przeprowadzona przed rozpoczęciem przetwarzania, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
RODO obliguje do przeprowadzenia DPIA w przypadku:
– systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
– przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10; lub
– systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Dodatkowo organ nadzorczy (Prezes UODO) może określać wykaz rodzajów operacji przetwarzania podlegających obowiązkowi przeprowadzenia oceny skutków dla ochrony danych. Aktualnie taki wykaz obejmuje m.in. przetwarzanie danych genetycznych i biometrycznych czy danych lokalizacyjnych. Sam wykaz stanowi załącznik do Komunikatu Prezesa UODO z dnia 17 czerwca 2019 r., który został opublikowany w Monitorze Polskim z 2019 r., poz. 666, dostępnym pod linkiem: https://monitorpolski.gov.pl/MP/2019/666
podstawa prawna: art. 35 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. Urz. UE L z 2016 r. nr 119/1
7.Zaskarżenie decyzji Prezesa UODO
– W wyniku zawiadomienia podmiotu danych wobec naszego przedsiębiorstwa wszczęte zostało postępowanie w sprawie naruszenia przepisów ochronie danych osobowych. W wyniku postępowania organ nadzorczy wydał decyzję nakazującą podjęcie konkretnych działań. Czy i w jaki sposób możemy odwołać się od decyzji Prezesa UODO?
Przepisy RODO przewidują ogólne prawo dla każdej osoby fizycznej lub prawnej do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej. Szczegółową ścieżkę odwoławczą regulują natomiast przepisy prawa krajowego. Art. 7 u.o.d.o. przewiduje, że postępowanie przed Prezesem UODO jest jednoinstancyjne, a jego przebieg regulują przepisy kodeksu postępowania administracyjnego.
Od wydanej decyzji stronie przysługuje każdorazowo skarga do sądu administracyjnego. Skargę wnosi się do Wojewódzkiego Sądu Administracyjnego w Warszawie za pośrednictwem Prezesa UODO w terminie 30 dni od dnia doręczenia skarżącemu decyzji lub postanowienia. Szczegółowe wymagania dotyczące skargi do sądu administracyjnego zawarte są w przepisach art. 50-62 Prawa o postępowaniu przed sądami administracyjnymi (p.p.s.a.). W przypadku oddalenia skargi przez Wojewódzki Sąd Administracyjny w Warszawie możliwe jest wniesienie skargi kasacyjnej do sądu II instancji, tj. do Naczelnego Sądu Administracyjnego (na podstawie art. 173 i n. p.p.s.a.).
podstawa prawna: art. 78 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz.Urz. UE L z 2016 r. nr 119/1
podstawa prawna: art. 7 ustawy z 10 maja 2018 r. o ochronie danych osobowych (DzU z 2019 r, poz. 1781)
podstawa prawna: ustawa z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (DzU z 2020 r., poz. 256 ze zm.)
podstawa prawna: art. 50-62, art. 173-193 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (DzU z 2019 r. poz. 2325 ze zm.)
8.Transfer danych osobowych do USA
– W ramach prowadzonej działalności gospodarczej przekazuję dane klientów zewnętrznym podmiotom, które świadczą na moją rzecz szereg usług. Przedsiębiorcy, którym przekazuję dane mają siedzibę na terenie Stanów Zjednoczonych. Czy w tym przypadku znajdzie zastosowanie RODO? Jakie wymagania muszę wypełnić, aby przekazywanie tych danych odbywało się zgodnie z przepisami?
W analizowanym przypadku stosuje się przepisy RODO, czyli ogólnego rozporządzenia o ochronie danych. Zgodnie z art. 3 ust. 1 RODO rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Czytelnik powinien zatem uczynić zadość wszystkim wymaganiom RODO stawianym administratorowi, począwszy od dysponowania podstawą prawną do przetwarzania danych (art. 6 RODO), przez realizację obowiązków informacyjnych względem podmiotów danych (art. 13-14 RODO), realizację praw podmiotów danych (art. 15-22 RODO) po wypełnienie ogólnych wymagań rozporządzenia (art. 24-31) i zapewnienie bezpieczeństwa danych osobowych (art. 32-39 RODO).
W kontekście przekazywania danych poza Europejski Obszar Gospodarczy (który obejmuje państwa UE oraz Islandię, Norwegię i Liechtenstein) należy zwrócić uwagę na fragment motywu 101 preambuły RODO, wedle którego „w każdym przypadku przekazywanie danych do państw trzecich i organizacji międzynarodowych może się odbywać wyłącznie w pełnej zgodzie z niniejszym rozporządzeniem. Przekazywanie może mieć miejsce wyłącznie w przypadkach, gdy administrator lub podmiot przetwarzający przestrzegają warunków określonych w przepisach niniejszego rozporządzenia dotyczących przekazywania danych osobowych państwom trzecim lub organizacjom międzynarodowym”.
Regulacje dotyczące przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych znajdują się w rozdziale V RODO. Jedną z podstaw tzw. transferów danych jest m.in. decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony. Do lata 2020 r. przekazywanie danych osobowych do USA miało swoją podstawę właśnie w takiej decyzji – z dnia 12 lipca 2016 r. w sprawie odpowiedniej ochrony danych osobowych (Program Tarcza Prywatności UE-USA, określany często mianem Privacy Shield).
W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości w wyroku w sprawie C 311/18 Data Protection Commissioner/ Maximillian Schrems i Facebook Ireland stwierdził nieważność ww. decyzji. W konsekwencji transfer danych od tego dnia powinien odbywać się na innej z podstaw wskazanych w art. 46 RODO, w tym np. w oparciu o standardowe klauzule umowne.
podstawa prawna: art. 45 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. Urz. UE L z 2016 r. nr 119/1
Artykuł ukazał się w internetowym i papierowym wydaniu dziennika ,,Rzeczpospolita”