20 grudzień 2018

Ochrona danych osobowych. Poradnik dla małych i średnich przedsiębiorców

Udostępnij

Prawidłowe wykonywanie obowiązków związanych z przetwarzaniem danych osobowych wymaga zrozumienia najważniejszych pojęć – definicji z tego obszaru. Na wstępie warto zaznaczyć, że RODO1[nbsp]jest kolejnym krokiem w ewolucji systemu ochrony danych osobowych, dlatego większość użytych w nim definicji nie została przez rozporządzenie wprowadzona, ale rozszerzona bądź doprecyzowana.

Prawidłowe wykonywanie obowiązków związanych z przetwarzaniem danych osobowych wymaga zrozumienia najważniejszych pojęć – definicji z tego obszaru. Na wstępie warto zaznaczyć, że RODO1[nbsp]jest kolejnym krokiem w ewolucji systemu ochrony danych osobowych, dlatego większość użytych w nim definicji nie została przez rozporządzenie wprowadzona, ale rozszerzona bądź doprecyzowana.



Pojęcia użyte w RODO mogą rodzić wiele pytań. Już sama kluczowa dla omawianego tematu definicja, czyli dane osobowe, wymaga szerszej i bardziej dogłębnej analizy. To dlatego, że na podstawie określonych kryteriów niektóre informacje w poszczególnych sytuacjach mogą zostać uznane za dane osobowe, a w innych sytuacjach tak się nie stanie. Celem niniejszej publikacji nie jest wyłącznie przedstawienie samej definicji, ale pokazanie odpowiednich mechanizmów, które pozwolą przedsiębiorcy samodzielnie rozpoznać, kiedy ma on do czynienia z danymi osobowymi, a kiedy nie (…).

Definicja danych osobowych

Pojęcie danych osobowych zostało zawarte w RODO i jest zbieżne z uprzednio obowiązującym w polskiej ustawie. Zgodnie z treścią rozporządzenia dane osobowe oznaczają „(…) informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, (…) możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej” (art. 4 ust. 1 RODO).

Wskazując najważniejsze elementy definicji, należy wyróżnić:

1)[nbsp]„informacje dotyczące”

‒ należy to rozumieć bardzo szeroko. Informacją może być wygląd, imię i nazwisko, numer PESEL, kolor oczu, odciski palców, styl ubierania się, pozycja społeczna itd. Jednakże wymienione informacje będą mogły zostać uznane za dane osobowe dopiero wtedy, kiedy zostaną ze sobą powiązane w taki sposób, że dzięki nim będzie możliwa identyfikacja konkretnej osoby. Samo imię i nazwisko, numer identyfikacyjny czy piastowane stanowisko w miejscu zatrudnienia, w oderwaniu od innych informacji, nie będzie daną osobową.

2) „zidentyfikowanej lub możliwej do zidentyfikowania”

‒ oznacza to możliwość ustalenia czyjejś tożsamości w sposób niebudzący wątpliwości, czyli wykluczający jakiekolwiek przypuszczenia lub domniemania w tym zakresie. Rozporządzenie wskazuje, że „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”(motyw 26 RODO). Informacji nie uważa się zatem za umożliwiającą określenie tożsamości osoby, jeżeli pomimo poniesionych kosztów, poświęconego czasu lub podjętych działań wykorzystanie tej informacji do zidentyfikowania osoby byłoby utrudnione. Klauzule generalne, czyli koszty, czas itd., zostaną doprecyzowane przez orzecznictwo sądowe (…).

RODO nie odnosi się do przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej (motyw 14 RODO) (…).

Szczególne kategorie danych

W dotychczas obowiązującej ustawie mieliśmy do czynienia z danymi wrażliwymi, zwanymi także danymi sensytywnymi. Wyodrębniono je na zasadzie wyjątku, czyli zostały enumeratywnie wyliczone, a ich lista była zamknięta. W RODO prawodawca europejski używa pojęcia „szczególna kategoria danych”.Będą to wyłącznie dane, które ustawodawca europejski bezpośrednio zakwalifikował do tej kategorii.

W art. 9 RODO wskazano, że szczególną kategorię danych tworzą informacje:

  • ujawniające pochodzenie rasowe lub etniczne,
  • ujawniające poglądy polityczne,
  • ujawniające przekonania religijne lub światopoglądowe,
  • ujawniające przynależność do związków zawodowych,
  • dotyczące przetwarzania danych genetycznych,
  • ujawniające dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • ujawniające dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby (...).

Przetwarzanie wyżej wymienionych kategorii danych co do zasady jest zabronione. Odstępstwa są możliwe tylko w sytuacjach, w których RODO tak stanowi (…).

Przetwarzanie danych w zbiorze

Prawodawca unijny zdefiniował również pojęcie przetwarzania danych (art. 4 ust. 2 RODO). Oznacza ono operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Są to w szczególności:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesłanie,
  • rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowywanie lub łączenie,
  • ograniczanie,
  • usuwanie lub niszczenie.

Trudno znaleźć w prawie szerszą definicję. Należy uznać, że faktycznie każda czynność, jakiej zostały poddane dane osobowe, będzie oznaczać ich przetwarzanie (…).

Przetwarzanie danych w dużej skali

Dotychczasowy obowiązek zawiadamiania organu nadzorczego (od 25 maja 2018 r. ma być to Urząd Ochrony Danych Osobowych) o przetwarzaniu danych osobowych zostaje przez RODO zniesiony. Europejski ustawodawca uznał, że tego typu działanie jest nie tylko niepotrzebne, ale przede wszystkim nieskuteczne. W RODO zostały uwypuklone szczególne rodzaje przetwarzania danych. Jednym z nich jest przetwarzanie danych w dużej skali. W przypadku dokonywania takiej czynności na przedsiębiorcę zostały nałożone nowe obowiązki, takie jak np. poddanie przez administratora ocenie skutków takiego przetwarzania (…).

RODO nie definiuje, czym jest duża skala przetwarzania. Grupa Art. 29 zauważa, że pojęcie dużej skali nie może być oparte na kryterium ilościowym, w każdej sytuacji należy to rozpoznawać indywidualnie. Można jednak założyć, że im mocniej działalność przedsiębiorcy jest związana z siecią internetową, np. prowadzi on sklep internetowy, tym bardziej prawdopodobne stanie się, że przetwarzanie odbywa się w dużej skali. Podobnie będzie w przypadku, kiedy usługa świadczona przez przedsiębiorcę polega na dostarczaniu tzw. inteligentnych urządzeń, np. aut, które same parkują, lub liczników poboru ciepła, które sprawdzają, czy domownicy są w domu. W tego typu przypadkach będzie można mówić o przetwarzaniu danych na dużą skalę (...).

Podstawy prawne przetwarzania danych

RODO określa niezależne i autonomiczne podstawy przetwarzania danych osobowych. Każda z powyższych przesłanek uzasadnia zbieranie danych w innej sytuacji i wszystkie są od siebie niezależne. Oznacza to, że przetwarzanie jest zgodne z prawem, jeżeli została spełniona przynajmniej jedna z poniższych przesłanek:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą;

c)przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (chodzi np. o obowiązek przekazania danych osobowych organom ścigania) (…).

Uważa się, że zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Za jego sprawą osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 ust. 11 RODO) (...)

Obowiązek informacyjny administratora danych

Obowiązek informacyjny został określony w art. 13 RODO. Wymienia on elementy, o jakich należy poinformować osobę, której dane dotyczą. Są to:

a) tożsamość i dane kontaktowe administratora oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania;

d) prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (...).

Zmiana celu przetwarzania danych

Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, to przed takim dalszym przetwarzaniem powinien on poinformować osobę, której dane dotyczą, o swoim zamiarze (…).

Administrator danych

Pojęcie administratora należy do kluczowych w obszarze ochrony danych. Jest nim osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymiustala cele i sposoby przetwarzania danych osobowych (art. 4 ust. 7 RODO) (…).

Obowiązki administratora danych

Uznanie podmiotu (np. przedsiębiorstwa) za administratora przesądza o tym, że musi on wypełniać określone obowiązki. Chodzi o:

[nbsp]

  1. dbanie o zgodność przetwarzania danych z rozporządzeniem RODO oraz o to, by administrator był w stanie wykazać, że tak postępuje – zasada rozliczalności;
  2. obowiązek informacyjny wypełniany przy zbieraniu danych osobowych;
  3. oszacowanie na podstawie obiektywnej oceny, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko naruszenia; może to być przydatne przy opracowaniu oceny skutków dla ochrony danych, jeśli zajdzie taka konieczność;
  4. zapewnienie bezpieczeństwa przetwarzania, wynikające z obowiązku stosowania środków technicznych (np. szafy zamykane na klucz) i organizacyjnych (zasady wydawania pracownikom kluczy do pomieszczeń służbowych) zapewniających ochronę przetwarzanych danych osobowych;
  5. opracowanie rejestru czynności przetwarzania, jeśli zajdzie przesłanka wskazana w RODO;
  6. współpraca z organem nadzorczym, np. poprzez zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 RODO);
  7. zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (...).

[nbsp]

Ocena skutków dla ochrony danych

W związku ze zniesieniem konieczności rejestrowania zbiorów danych w przepisach RODO pojawił się nowy instrument – ocena skutków dla ochrony danych (Data Protection Impact Assessment, DPIA) (...). Jest to oszacowanie prawdopodobieństwa i powagi naruszenia bezpieczeństwa danych osobowych, szczególnie w sytuacji, gdy dane osobowe są zbierane na dużą skalę oraz gdy są wprowadzane nowatorskie technologie, zwłaszcza te, które wykorzystują dane genetyczne bądź biometryczne lub inteligentny monitoring, który może automatycznie rozpoznawać twarze.

Przeprowadzenie oceny skutków dla ochrony danych jest zatem wymagane w szczególności w przypadku:

a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;

c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (...).

Zgodnie z treścią art. 35 ust. 7 RODO ocena powinna zawierać co najmniej:

[nbsp]

  1. systematyczny opis planowanych operacji przetwarzania danych i celów przetwarzania, czyli w jaki sposób oraz w jakim celu przedsiębiorca przetwarza dane osobowe pomiędzy poszczególnymi zbiorami;
  2. ocenę niezbędności i proporcjonalności przetwarzania w stosunku do celów, tj. wskazanie, czy określonego potencjalnie ryzykownego działania można uniknąć lub jeśli nie ma takiej możliwości, jakie środki zastosowano, aby ryzyko zostało zminimalizowane;
  3. ocenę ryzyka naruszenia praw i wolności podmiotów danych, w szczególności aby przedsiębiorca zdawał sobie sprawę z ryzyka, jakie niesie wykorzystywana technologia;
  4. środki planowane w celu zaradzenia ryzyku oraz wykazania zgodności operacji przetwarzania danych z RODO (...).

[nbsp]

Rejestrowanie czynności przetwarzania

Istotnym obowiązkiem, jaki został nałożony na administratorów, jest rejestrowanie (ewidencjonowanie) czynności przetwarzania danych. Polega to na prowadzeniu dokumentacji, która zawiera wszystkie istotne z punktu widzenia przetwarzania informacje. Elementy składowe w większości już wcześniej musiały być uwzględnione w polityce bezpieczeństwa danych osobowych. Rejestr czynności przetwarzania opracowany przez inspektora ochrony danych powinien stanowić vademecum dla każdego pracownika w zakresie ochrony danych. Sporządza się go w wersji papierowej oraz w wersji elektronicznej (art. 30 RODO).

W rejestrze czynności zamieszcza się następujące informacje:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie, przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania danych osobowych, czyli np. marketing produktów i usług własnych, realizacja obowiązków zbierania danych nałożona przez przepisy prawa, np. przez Kodeks pracy;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych. Do kategorii osób będą należeli pracownicy, uczniowie, członkowie, klienci. Możliwe jest przetwarzanie dwóch kategorii danych, tj. danych zwykłych (np. imię, nazwisko, adres zamieszkania, data urodzenia), jak i danych szczególnie chronionych (np. stan zdrowia);

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (definicja odbiorcy znajduje się w art. 4 pkt 9 RODO);

e) gdy ma to zastosowanie, fakt przekazania danych osobowych do państwa trzeciego, czyli poza Unię Europejską. Komisja Europejska ma tu na myśli przede wszystkim Stany Zjednoczone Ameryki Północnej. Przekazywanie tam danych osobowych jest dozwolone, o ile kontrahenci z USA należą do programu Privacy Shield. Lista podmiotów uczestniczących jest dostępna pod linkiem https://www.privacyshield.gov/list. Za każdym razem, kiedy dane osobowe są przekazywane poza Unię Europejską, trzeba to zaznaczyć w rejestrze czynności przetwarzania;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których jest mowa w art. 32 ust. 1. (…).

[nbsp]

Co istotne, wskazany obowiązek prowadzenia rejestru czynności przetwarzania co do zasady ma zastosowanie do przedsiębiorców lub podmiotów zatrudniających więcej niż 250 osób. Jednakże RODO przewiduje od tego wyjątki. Prowadzenie rejestru czynności będzie obowiązkowe również dla małego i średniego przedsiębiorcy, jeśli:

  • przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego lub,
  • obejmuje szczególne kategorie danych osobowych (art. 30 ust. 5) (...).

Inspektor ochrony danych

RODO nie definiuje, kim jest inspektor ochrony danych (IOD). Poprzestaje wyłącznie na zadaniach, jakie ma on wypełniać, oraz jego umiejscowieniu w strukturze przedsiębiorstwa. Należy więc przyjąć, że jest to osoba nadzorująca z upoważnienia administratora przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych oraz wypełnianie przepisów RODO.

Powołanie IOD

W zakresie wyznaczania inspektora ochrony danych RODO nie przyznaje takiej dowolności administratorowi, jak dawała mu ustawa o ochronie danych osobowych w kwestii wyznaczenia administratora bezpieczeństwa informacji (ABI). Zgodnie z przepisami RODO, jeśli administrator spełnia jedną z przesłanek powołania inspektora, to ma obowiązek go powołać. Te przesłanki to:

  1. przetwarzania danych dokonuje organ lub podmiot publiczny;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania na dużą skalę, które, ze względu na swój charakter, zakres lub cele, wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą.

Jest to podstawowa przesłanka powoływania inspektora ochrony danych. Sytuacje, w których powołanie inspektora będzie wymagane, zostaną szczegółowo doprecyzowane przez Prezesa UODO w drodze decyzji administracyjnych. Wydaje się jednak, że będzie to dotyczyć takich podmiotów jak:

  • agencje ochrony,
  • kliniki i szpitale,
  • hotele, które świadczą dodatkowe usługi SPA,
  • właściciele aplikacji internetowych mających na celu zbieranie danych i analizowanie zachowania,
  • właściciele urządzeń zaopatrzonych w inteligentne czytniki (np. spółdzielnia mieszkaniowa, która zainstalowała inteligentne czytniki w domach spółdzielców) (...).

Zadania IOD

Stanowisku inspektora ochrony danych przypisano następujące zadania:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o spoczywających na nich obowiązkach wynikających z RODO oraz z innych przepisów Unii Europejskiej lub przepisów krajowych, i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania przepisów dotyczących danych osobowych, polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;

d) współpraca z organem nadzorczym, tj. z Prezesem Urzędu Ochrony Danych Osobowych, np. zgłaszanie naruszeń ochrony danych;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (art. 39 ust. 1) (...).

Administrator może zadecydować, czy inspektorem będzie pracownik zatrudniony w jego przedsiębiorstwie lub urzędzie, czy też będzie nim osoba z zewnątrz (...).

Artykuł 37 rozporządzenia nie wskazuje konkretnych kwalifikacji zawodowych. Inspektor powinien natomiast posiadać:

  • wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych; powyższe dotyczy nie tylko znajomości przepisów RODO, ale i przepisów sektorowych. W szczególnych gałęziach gospodarki, np. w przypadku spółek telekomunikacyjnych, przepisy sektorowe mogą mieć istotne znaczenie;
  • umiejętności wypełnienia zadań opisanych w dalszej części publikacji.

Oznacza to, że wbrew opiniom, na które można się natknąć w internecie, inspektor nie ma obowiązku legitymować się wykształceniem wyższym, w szczególności wykształceniem prawniczym (...).

Przepisy RODO ustanawiają wysoki stopień niezależności inspektorów. W motywie 97 zostało zapisane, że IOD – bez względu na to, czy są pracownikami administratora, czy też są inspektorami zewnętrznymi – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny, tj. nie otrzymywać instrukcji co do ich wykonywania. Należy jednak pamiętać, że w obszarze niezwiązanym z pełnieniem funkcji inspektora IOD podlega zwykłej odpowiedzialności, np. odpowiedzialności pracowniczej. Odwołanie inspektora może nastąpić, jeżeli doszło do złamania przez niego norm prawa karnego czy prawa pracy, czyli np. kradzieży pracowniczej, mobbingu, lub każdego innego ciężkiego naruszenia obowiązków pracowniczych (...).

[nbsp]

Bartosz Mendyk

Artykuł jest fragmentem publikacji pt. „Ochrona danych osobowych – poradnik dla małych i średnich przedsiębiorców”, która została wydana przez ośrodek Enterprise Europe Network przy Polskiej Agencji Rozwoju Przedsiębiorczości.

[nbsp]


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.