RODO, czyli unijne rozporządzenie regulujące zasady ochrony danych osobowych, zacznie być stosowane 25 maja 2018 r. Anna Kowalska i jej mąż Antoni, którzy są drobnymi przedsiębiorcami i prowadzą odrębne firmy, wprawdzie o nim słyszeli, ale nic do tej pory nie zrobili, aby się do zmian przygotować.
Anna Kowalska trudni się szyciem galanterii na zamówienie klientów. Zamówienia najczęściej pozyskuje przez internet, zarówno za pomocą własnej strony, jak i umieszczając ogłoszenia na różnych portalach. Aby być w stałym kontakcie z klientami, prowadzi newsletter, do którego można się zapisać przez jej stronę internetową. Kilka lat temu zleciła stworzenie kompletnej dokumentacji w zakresie ochrony danych osobowych, rzadko jednak do niej zagląda.
Mąż pani Anny, Antoni Kowalski, prowadzi sklep z akcesoriami samochodowymi. Skala jego działalności również jest niewielka. Zatrudnia dwóch pracowników. Otrzymuje zamówienia zarówno od przedsiębiorców, jak i konsumentów. Dane klientów wpisuje do komputerowej bazy danych. Korzysta z niej głównie do celów wystawiania faktur VAT za sprzedany towar. Niekiedy się zdarza, że dane te potrzebne są mu do dochodzenia przed sądem zapłaty od zalegającego z płatnością klienta.
Początkowo Antoni Kowalski lekceważył temat RODO, uznając, że ono go nie dotyczy, większość towaru sprzedaje bowiem na paragon i żadnych danych od klientów nie zbiera. Zaczął myśleć o rozporządzeniu dopiero niedawno podczas spotkania w gronie rodzinnym z siostrą pana Antoniego - Janiną Nowak, która prowadzi biuro rachunkowe, w ramach którego obsługuje również brata oraz bratową. Jego żona przypomniała mu o bazie stałych klientów, a także danych osobowych pracowników. Uczestnicy spotkania zaczęli wymieniać między sobą spostrzeżenia co do przetwarzanych przez nich danych osobowych czy to klientów, czy też pracowników.
Wraz z rozwojem tematu mnożyły się kolejne pytania: czy trzeba gdzieś te dane zgłosić, co z tymi gigantycznymi karami, czy trzeba mieć zgodę klientów na przechowywanie ich danych osobowych. Pod koniec rozmowy wszyscy zgodnie stwierdzili, że temat wymaga konsultacji ze specjalistą. Widmo wysokich kar pieniężnych skłoniło panią Janinę Nowak do odszukania numeru telefonu radcy prawnego. Zaprosiła go na spotkanie.
● ETAP 1 Zdefiniowanie problemu
Przedsiębiorcy umówili się na spotkanie w biurze Janiny Nowak, licząc na wyjaśnienie ciążących na nich powinności w zakresie ochrony danych osobowych ich klientów, kontrahentów i pracowników. Anna i Antoni Kowalscy mają nadzieję, że traktowany przez nich dotychczas pobocznie temat danych osobowych nie okaże się tak skomplikowany, czasochłonny oraz kosztowny, jak mogłoby to wynikać z licznych informacji w mediach oraz rozmów ze znajomymi.
– Dziękuję, panie Marcinie, za odwiedzenie nas – zwróciła się Janina Nowak do przybyłego na spotkanie radcy prawnego. – Ucieszyła nas informacja, że zajmuje się pan także sprawami ochrony danych osobowych, które ostatnio spędzają nam sen z powiek.
– Mam nadzieję, że będę mógł pomóc, ale przede wszystkim państwa uspokoić – odparł prawnik. – Rzeczywiście przepisy się znacznie zmieniają, pojawiają się nowe obowiązki, inne zostają zmodyfikowane. Jednak przy małej skali działalności nowa regulacja w praktyce oznaczać będzie dla administratorów nieco więcej papierkowej roboty oraz konieczność wyrobienia sobie odpowiednich nawyków.
– Dla administratorów, czyli kogo? – dopytywał się Antoni Kowalski.
– W przypadku osób prowadzących działalność gospodarczą, tak jak w przypadku państwa, przedsiębiorca pełni funkcję administratora – wyjaśnił prawnik.
– Przed kilku laty wprowadziłam politykę bezpieczeństwa ochrony danych osobowych oraz instrukcję zarządzania systemem informatycznym. Czy to mi wystarczy także po zmianach? – zapytała Anna Kowalska.
● ETAP 2 Przedstawienie rozwiązań
CO NA TO PRAWO? RADA 1
– Polityka wymagać będzie z pewnością uzupełnień, jak już wspomniałem w nowych przepisach pojawiają się także nowe obowiązki. RODO nie wspomina o konieczności posiadania instrukcji zarządzania. Natomiast nakazuje administratorowi danych osobowych zapewnienie odpowiedniego poziomu bezpieczeństwa danych. Poza tym pojawi się nowy obowiązek, który nie występuje obecnie: konieczność prowadzenia rejestru czynności przetwarzania.
– A skąd mam wiedzieć, czy zapewniam odpowiedni poziom bezpieczeństwa danych? – od razu dopytał Antoni Kowalski.
– Temu służyć ma projektowanie ochrony danych osobowych. Mówiąc najprościej, polegać ma ono na tym, że w momencie gdy administrator będzie wdrażał jakiś proces, np. nową usługę, w której wykorzystywane są dane osobowe, administrator będzie zobligowany prześledzić ją pod kątem możliwych do pojawienia się zagrożeń dla ich bezpieczeństwa, np. wycieku danych osobowych. Następnie będzie na nim ciążył obowiązek doboru odpowiednich środków mających temu przeciwdziałać. W przypadku zaś administratorów przetwarzających dane osobowe w większym zakresie może pojawić się konieczność przeprowadzenia bardziej skomplikowanej oceny skutków takiego procesu, a nawet konsultacji z Urzędem Ochrony Danych Osobowych.
– Brzmi to logicznie, obecne wymogi są bowiem mało życiowe i w naszym przypadku najczęściej na wyrost – skomentowała Anna Kowalska. – A czy mógłby pan powiedzieć, jak ten nowy rejestr powinien wyglądać?
– Oczywiście – kontynuował radca prawny. – Będzie on dość prosty, np. w formie tabeli, do której administratorzy bądź procesorzy, czyli przetwarzający dane na zlecenie administratora, będą wpisywali podstawowe informacje odnoszące się do poszczególnych zbiorów danych osobowych. Przykładowo: cele przetwarzania, kategorię danych osobowych, a także ogólny opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych przez dany podmiot. Od razu dodam, bo wiele osób o to pyta, że do rejestru nie przepisujemy danych osobowych, jedynie zamieszczamy w nim wymagane przez RODO informacje o każdym ze zbiorów danych osobowych, który istnieje w danym podmiocie. Rejestr taki prowadzić będzie musiał każdy podmiot przetwarzający dane osobowe.
– A co z obowiązkiem rejestracji zbioru danych osobowych u generalnego inspektora ochrony danych osobowych? – dopytywała Anna Kowalska.
CO NA TO PRAWO? RADA 2
– Obowiązek ten znika – odrzekł prawnik. – Żadne zbiory danych osobowych, nawet te zawierające dane wrażliwe, nie będą podlegały rejestracji. W zamian pojawia się m.in. wspomniany już wcześniej rejestr czynności przetwarzania.
– Kolejna dobra wiadomość – wtrącił Antoni Kowalski. – Gdzieś czytałem o jakimś inspektorze ochrony danych. Czy to jakiś nowy urzędnik, czy może mam go powołać w firmie tak, jak inspektora BHP?
CO NA TO PRAWO? RADA 3
– Tu mogły nałożyć się dwie kwestie – zaczął wyjaśniać mecenas. – Pierwsza to nowy organ państwowy odpowiedzialny za ochronę danych osobowych. Obecnie jest nim GIODO, po zmianie zaś będzie się on nazywał prezesem Urzędu Ochrony Danych Osobowych. Organ ten mieć będzie również szersze kompetencje kontrolne. Inspektor ochrony danych osobowych będzie natomiast odpowiednikiem administratora bezpieczeństwa informacji. Podobnie jak obecnie, jego powołanie przez przedsiębiorców, w zdecydowanej większości przypadków, będzie fakultatywne. W przypadku państwa działalności – nie będzie to konieczne.
– Ja z kolei słyszałam – rozpoczęła Janina Nowak – że przedsiębiorcy będą musieli mieć odpowiednie certyfikaty. Nawet dostałam już ofertę, że jakiś instytut mi taki certyfikat wyda i z niego będzie wynikać, że spełniam wymogi nowych przepisów. Czy to prawda?
CO NA TO PRAWO? RADA 4
– Niestety zamieszanie i szum, jaki powstał wokół RODO, to także pole działania dla oszustów – zaczął odpowiedź prawnik. – Co prawda, faktycznie nowe przepisy wprowadzają procedurę certyfikacji i każdy podmiot będzie mógł taki certyfikat otrzymać. Będą one jednak wydawane przez prezesa Urzędu Ochrony Danych Osobowych oraz podmioty akredytowane przez Polskie Centrum Akredytacji. Co więcej: nie będą one obligatoryjne. Potwierdzą, że dany podmiot wdrożył we właściwy sposób procedury ochrony danych osobowych. Można je przyrównać do procedur ISO – dobrze świadczą one o podmiocie, który je posiada, jednakże nie ma generalnego obowiązku ich wdrażania. Na razie ustawa jest procedowana w Sejmie i żaden podmiot takiej akredytacji nie dostał. Zatem trzeba ostrożnie podchodzić do takich ofert.
– Miałabym jeszcze prośbę o wyjaśnienie – kontynuowała Janina Nowak. – Czy dane osobowe można przetwarzać wyłącznie po uzyskaniu zgody osoby, której te dane dotyczą? Czy też nie mamy obowiązku odbierania tego typu zgód? Słyszałam na ten temat sprzeczne informacje.
– Dane osobowe można przetwarzać wyłącznie na podstawie jednej z ustawowych przesłanek – zaczął swoją odpowiedź radca prawy. – Podstawową z nich jest zgoda danej osoby. Niemniej jednak istnieją również przypadki, w których dane osobowe mogą być legalnie przetwarzane bez uzyskiwania zgody. Przykładem może być konieczność ich przetwarzania na potrzeby zawartej z klientem umowy. Jeżeli pani Anna Kowalska otrzymuje zamówienie, to dane osobowe wykorzystuje m.in. do wysyłki towaru czy też wystawienia rachunku. Pan Antoni może ich natomiast potrzebować w związku z dochodzeniem od kontrahentów zapłaty za towar. Jeszcze inną przesłanką umożliwiającą przetwarzanie danych jest korzystanie z nich – jak to określa RODO w art. 6 – dla prawnie uzasadnionych celów, a takim może być np. marketing bezpośredni.
– Czyli już sam fakt wykonywania umowy pozwala mi na legalne korzystanie z danych osobowych? – dopytywał Pan Antoni Kowalski.
– W istocie uprawnienie takie pojawia się jeszcze przed zawarciem umowy, gdy osoba fizyczna zwraca się do nas o podjęcie rokowań, przesłanie informacji o warunkach transakcji, itp. – uzupełnił swoją wypowiedź radca prawny.
CO NA TO PRAWO? RADA 5
– A co z marketingiem bezpośrednim – zapytała Anna Kowalska. – Czy mogę pozyskać dane osobowe dowolnej osoby oraz wysyłać do niej reklamy swojej działalności gospodarczej?
– Niestety, sprawa jest nieco bardziej skomplikowana – rozpoczął prawnik. – Przede wszystkim należy pamiętać o obowiązkach wynikających z innych ustaw. Ustawa o świadczeniu usług drogą elektroniczną zabrania np. przesyłania niezamówionych informacji handlowych bez zgody adresata. Podobny przepis znajduje się w prawie telekomunikacyjnym i zakazuje wykonywania marketingu bezpośredniego za pomocą m.in. połączeń telefonicznych bez zgody odbiorcy. Nie wiemy jeszcze dokładnie, jak ostatecznie zmienią się te przepisy, prace nad ustawą wdrażającą nową ustawę o ochronie danych osobowych i zmieniającą powyższe akty prawne wciąż trwają. Co więcej: RODO nakazuje administratorowi po pozyskaniu danych osobowych poinformować o tym osobę, której dane dotyczą, oraz przekazać jej wiele informacji wynikających z przepisów prawa. Osobie takiej przysługuje prawo sprzeciwu co do przetwarzania jej danych osobowych na cele marketingowe. Jego zgłoszenie uniemożliwia dalsze korzystanie z tych danych osobowych w tym celu.
– Niestety, tak jak myślałam – zaripostowała Anna Kowalska. – Nie będzie łatwo korzystać z danych osobowych w ten sposób. Zainteresował mnie obowiązek informowania o przetwarzaniu. Na czym on polega?
CO NA TO PRAWO? RADA 6
– To jeden z tych obowiązków, które przewiduje obecna ustawa, a który przez wielu administratorów nie jest wykonywany prawidłowo – zaczął radca prawny. – Nowe przepisy uzupełniają go o dalsze informacje, wynikające m.in. z rozszerzenia katalogu uprawnień osób, których dane dotyczą. Konieczne stanie się wskazywanie prawdopodobnego okresu przetwarzania danych czy też przekazywanie informacji o możliwości cofnięcia zgody na przetwarzanie oraz prawie wniesienia skargi na administratora. Informacje powinny być przekazane podczas pozyskiwania danych, a gdy nie są one uzyskiwane bezpośrednio od tej osoby, najpóźniej w ciągu miesiąca od ich zebrania.
– Kończy nam się czas – wtrąciła Janina Nowak – a chciałam jeszcze dopytać o kwestię powierzenia danych osobowych. Jako że prowadzę biuro księgowości, otrzymuję takie dane od swoich klientów i wykorzystuję do rozliczania ich pracowników. Wiem, że jestem w tym momencie procesorem. Czy w tym zakresie zajdą jakieś zmiany?
– Tak. RODO zawiera zdecydowanie bardziej rozbudowane przepisy poświęcone powierzeniu przetwarzania danych osobowych – odparł prawnik. – Nowością jest w szczególności konieczność uzyskania przez procesora zgody na dalsze powierzenie przetwarzania danych osobowych, np. jego podwykonawcom. Zgody takiej udzielać będzie administrator danych osobowych, nie zaś osoba, której dane są przetwarzane. Samo bowiem powierzenie nie wymaga zgody takiej osoby.
– Trochę to mi skomplikuje pracę – odpowiedziała Janina Nowak. – Niemniej bardzo dziękuję za przekazanie cennych informacji. Sporo nam pan wyjaśnił. Tematu zapewne nie wyczerpaliśmy, jednak jesteśmy na dobrej ku temu drodze. Miło nam było pana gościć.
– Cieszę się, że mogłem pomóc – odrzekł prawnik. – Domyślam się, że pojawić się mogą dalsze pytania. Dlatego zapraszam do kontaktu. Do widzenia.
RADA 1 Co to jest rejestr czynności przetwarzania i w jakiej formie należy go prowadzić?
Nowa regulacja nie przewiduje już obowiązku rejestracji zbiorów danych osobowych w publicznym rejestrze. Dotychczas prowadzony rejestr zostanie w całości przekazany do archiwum państwowego. Przypomnijmy, że obowiązująca do tej pory ustawa o ochronie danych osobowych przewiduje, iż administrator danych osobowych może rozpocząć przetwarzanie danych osobowych niewrażliwych po zgłoszeniu zbioru do rejestru, danych osobowych wrażliwych zaś dopiero po wpisaniu zbioru do rejestru. RODO, znosząc ww. obowiązek, pozwala na szybsze rozpoczęcie przetwarzania danych osobowych.
Administratorzy danych osobowych oraz podmioty przetwarzające dane osobowe na mocy powierzenia (procesorzy) zobowiązani zostali do samodzielnego prowadzenia nieskomplikowanych rejestrów. Mają w nich być wpisywane podstawowe informacje na temat przetwarzanych zbiorów danych osobowych, m.in.: cele przetwarzania, kategoria danych osobowych, a także ogólny opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych przez dany podmiot. Rejestr powinien być prowadzony w formie pisemnej, w tym elektronicznej, w praktyce przybrać może kształt tabeli.
Należy zwrócić szczególną uwagę na konieczność rozróżnienia rejestrów prowadzonych przez administratorów danych osobowych i procesorów. Podmiot pełniący obie te role względem różnych zbiorów danych osobowych zobligowany będzie zatem do zaprowadzenia dwóch odrębnych rejestrów. Jeden – jako administrator danych osobowych, drugi – jako podmiot przetwarzający.
RADA 2 Kto ma obowiązek prowadzenia rejestru przetwarzania?
Przepisy nie są precyzyjne. Zgodnie z art. 30 ust. 5 RODO obowiązek prowadzania rejestru czynności i rejestru kategorii czynności nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że czynności przetwarzania, które wykonują:
1) mogą powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
2) nie mają charakteru sporadycznego lub obejmują szczególne kategorie danych osobowych (np. dane o stanie zdrowia, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przynależność do związków zawodowych), lub
3) dotyczą wyroków skazujących i naruszeń prawa.
Rzecz w tym, że w praktyce trudno przywołać przykłady przedsiębiorców, którzy przetwarzają dane osobowe tylko sporadycznie. W efekcie nowy obowiązek dotyczył będzie niemal wszystkich administratorów. Nawet przedsiębiorca prowadzący jednoosobową działalność gospodarczą polegającą na oferowaniu towarów klientom, którzy sporadycznie proszą o wystawienie faktury, gromadzi dane swoich kontrahentów i przetwarza je w sposób ciągły. Dlatego z dużym prawdopodobieństwem nie skorzysta z tego wąskiego zwolnienia. W najbliższym czasie Grupa Robocza Art. 29 ma przestawić szczegółowe wytyczne na temat obowiązku prowadzenia rejestru.
RADA 3 Jakie zadania ma inspektor ochrony danych osobowych?
Podobnie, jak w przypadku administratora bezpieczeństwa informacji, konieczne jest jego powołanie tylko przez niektóre kategorie podmiotów. Oprócz organów administracji publicznej oraz jednostek samorządu terytorialnego, a także wielu innych podmiotów ze sfery publicznej, obowiązek taki ciąży m.in. na samodzielnych publicznych zakładach opieki zdrowotnej. Pozostałe podmioty mogą go powołać na podstawie własnej decyzji. Inspektora może powołać podmiot będący zarówno administratorem danych osobowych, jak i procesorem.
Decydując się na ustanowienie inspektora ochrony danych osobowych, należy pamiętać o konieczności odpowiedniego umiejscowienia go w strukturze podmiotu oraz zadbać o jego kompetencje. Do najważniejszych obowiązków przedsiębiorcy wobec inspektora należą:
● zapewnienie zasobów niezbędnych do wykonania jego zadań oraz dostępu do danych osobowych i operacji przetwarzania,
● umiejscowienie stanowiska inspektora tak, aby bezpośrednio podlegał administratorowi lub procesorowi,
● zawiadomienie w terminie 14 dni prezesa UODO o wyznaczeniu inspektora, z podaniem jego imienia i nazwiska, adresu poczty elektronicznej lub numeru telefonu.
Inspektor mieć będzie szerokie kompetencje z zakresu ochrony danych osobowych, wśród których należy wskazać:
● monitorowanie przestrzegania przepisów prawa przez podmiot, który go powołał,
● udzielanie na żądanie zaleceń w zakresie ochrony danych osobowych,
● pełnienie funkcji punktu kontaktowego dla organu nadzorczego,
● szkolenie pracowników,
● prowadzenie rejestrów wymaganych przez prawo.
Funkcja dotychczasowego administratora bezpieczeństwa informacji znika na rzecz inspektora ochrony danych osobowych o szerszych kompetencjach. Ustawodawca przewidział przepisy przejściowe regulujące status administratora bezpieczeństwa informacji po zmianie prawa. Osoba pełniąca 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji staje się z mocy ustawy inspektorem ochrony danych i pełni swoją funkcje do 1 września 2018 r., chyba że do tego dnia administrator zawiadomi prezesa UODO o wyznaczeniu innej osoby na stanowisko inspektora ochrony danych. Osoba taka może zostać odwołana przez administratora danych bez zawiadomienia prezesa UODO o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy na podstawie RODO administrator danych nie ma obowiązku wyznaczenia inspektora ochrony danych. Osoba, która stała się inspektorem ochrony danych, pełni swoją funkcję także po 1 września 2018 r., jeżeli do tego dnia administrator zawiadomił o niej prezesa UODO.
RADA 4 Na czym polega certyfikacja i czy jest ona obowiązkowa?
Certyfikacja jest dobrowolnym urzędowym postępowaniem, w ramach którego administrator danych osobowych lub procesor mogą uzyskać potwierdzenie zgodności z RODO operacji przetwarzania prowadzonych przez te podmioty. Odmowa udzielenia certyfikacji następuje, w drodze decyzji, w przypadku stwierdzenia, że administrator lub podmiot przetwarzający nie spełnia kryteriów certyfikacji. Od takiej decyzji przysługiwać będzie skarga do wojewódzkiego sądu administracyjnego.
Certyfikat wydawany jest maksymalnie na trzy lata przez podmioty certyfikujące. W Polsce podmiotem takim jest prezes UODO. Za czynności związane z postępowaniem o udzielenie certyfikacji prezes pobiera opłatę w wysokości czterokrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim, ogłaszanego przez prezesa Głównego Urzędu Statystycznego.
RADA 5 Czy tylko zgoda uprawnia do przetwarzania danych osobowych?
Chociaż udzielenie zgody przez osobę, której dane osobowe podlegać będą przetwarzaniu, jest podstawową przesłanką legalizującą ten proces, to zarówno obecna ustawa, jak i RODO przewidują wiele równorzędnych podstaw uprawniających administratora danych osobowych do ich przetwarzania. W przypadku zatem, gdy administrator legitymuje się inną aniżeli zgoda przesłanką przetwarzania danych osobowych, to przetwarzanie takie nadal jest legalne. Zgodnie z art. 6 ust. RODO chodzi o następujące warunkami:
1) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (np. marketing własnych towarów lub usług), z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Należy w tym miejscu nadmienić, że RODO wprowadza wyraźną możliwość cofnięcia zgody na przetwarzanie danych osobowych. Co więcej, administrator w wykonaniu obowiązku informacyjnego zobligowany jest do przekazanie osobie, której dane dotyczą, wyraźnego komunikatu, że ma ona prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
W kontekście powyższego cofnięcie zgody nie będzie skutkowało nielegalnością przetwarzania danych osobowych przez administratora, gdy istnieć będzie nadal inna przesłanka legalizująca, np. dane osobowe będą konieczne do wykonania łączącej strony umowy albo do dochodzenia roszczeń z niej wynikających.
O legalności przetwarzania danych osobowych nie decyduje wszakże jedynie istnienie przesłanki zezwalającej na przetwarzanie danych osobowych, ale także zgodność tejże podstawy z zakresem przetwarzanych danych. Oznacza to, że administrator może przetwarzać dane wyłącznie, gdy:
1) istnieje podstawa prawna uprawniająca administratora danych do ich przetwarzania;
2) dane osobowe przetwarzane są wyłącznie w celu wynikającym z danej podstawy prawnej oraz zakomunikowanym osobie, której dane dotyczą;
3) dane osobowe są gromadzone tylko w zakresie i czasie niezbędnym do realizacji celu, o którym mowa w pkt 2 (po jego wygaśnięciu należy dane usunąć, chyba że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych w innym celu albo istnieje inna podstawa prawna ich przetwarzania).
RADA 6 Na czym polega obowiązek informacyjny?
Obowiązek ten może pojawić się w dwóch sytuacjach: gdy przedsiębiorca zbiera dane osobowe danej osoby fizycznej, oraz gdy ta osoba wystąpi z żądaniem przekazania jej stosownych informacji.
Obowiązek informacyjny związany z gromadzeniem danych osobowych istnieje również pod rządami dotychczasowych przepisów. Ustawodawca rozróżnia go również w ten sam sposób, jaki czyni RODO. Mianowicie, poprzez kryterium podmiotu, od którego dane osobowe są pozyskiwane – czy bezpośrednio od osoby, której dane dotyczą, czy też za pośrednictwem innego podmiotu (np. nabywając bazę danych osobowych). W obu przypadkach występują różnice co do zakresu przekazywanych informacji. W drugim z nich przekazywane są dodatkowo informacje na temat kategorii przetwarzanych danych osobowych oraz o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych. Odmienne są także terminy przekazania każdej z informacji. Jeżeli dane osobowe zbierane są bezpośrednio od osoby, której dotyczą, należy ją przekazać podczas pozyskiwania danych osobowych. W sytuacji, gdy dane zostały pozyskane za pośrednictwem innego podmiotu, informację należy przekazać:
a) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą;
c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu;
d) jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.
Obowiązek informacyjny dotyczy wyłącznie tych informacji, których adresat nie zna. Nie jest konieczne przekazywanie informacji, którymi adresat już dysponuje. W przypadku pośredniego zbierania danych osobowych możliwe jest także niewykonywanie przedmiotowego obowiązku, gdy np. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, bądź dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii Europejskiej lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Istotne jest również, że przedmiotowy obowiązek spoczywa jedynie na administratorze danych osobowych, nie zaś na procesorze. Ponadto RODO nie wymaga do jego zachowania formy pisemnej. Stosowne informacje mogą zostać zatem przekazane również w inny sposób. Należy wszakże zadbać o potwierdzenie ich przekazania.
! PODSUMOWANIE
Spotkanie z radcą prawnym pozwoliło jego uczestnikom uzupełnić dotychczasową wiedzę na temat dozwolonego przetwarzania danych osobowych. Traktowany pobocznie temat okazał się niezwykle istotny, a liczba obowiązków ciążących na mikroprzedsiębiorcach zdziwiła uczestników spotkania.
Dalsza współpraca z prawnikiem zapewnić ma dostosowanie oraz uzupełnienie dokumentacji z zakresu danych osobowych do nowych wymogów. Pozwoli także na praktyczne wdrożenie zasad ochrony danych osobowych w codziennym funkcjonowaniu przedsiębiorców.
Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO, ogólne rozporządzenie o ochronie danych; Dz.Urz. UE z 2016 r. L 119, s. 1).
