1. Reforma ochrony danych osobowych w Unii Europejskiej i w Polsce – geneza, cele i podstawowe założenia

Zainicjowana wnioskiem Komisji Europejskiej z dnia 25 stycznia 2012 r. reforma ochrony danych osobowych w Unii Europejskiej całkowicie zmienia stan prawny w tym obszarze zarówno w Unii Europejskiej, jak i w każdym państwie członkowskim. Z dniem 25 maja 2018 r. dotychczasowe regulacje, w tym przede wszystkim ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wykonująca dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, zostaną zastąpione zupełnie nowym systemem prawnym, opierającym się na ściślejszej harmonizacji ochrony danych osobowych w Unii Europejskiej.

Komisja Europejska wskazała dwa główne cele reformy. Pierwszy to zapewnienie większej stabilności i pewności prawa o ochronie danych osobowych i jego stosowania. Ma to szczególne znaczenie dla przedsiębiorców prowadzących działalność na unijnym rynku wewnętrznym, gdyż przekłada się na zwiększenie ich konkurencyjności w globalnej gospodarce. Stworzony zostaje stan pewności prawa opartego na jednym akcie w miejsce mozaiki 27 krajowych regulacji prawnych. W założeniu ma nastąpić także uproszczenie środowiska regulacyjnego (spójne działanie organów ochrony danych osobowych) i przyjęcie jasnych reguł w międzynarodowym transferze danych. Drugim celem reformy jest zagwarantowanie wysokiego poziomu ochrony praw jednostek (osób, których dane dotyczą). Ten poziom praw osoby fizycznej ma zapewnić przede wszystkim rozszerzenie praw informacyjnych jednostek oraz uprawnień gwarantujących im większą kontrolę nad przetwarzaniem ich własnych danych osobowych.

Na pakiet normatywny reformujący ochronę danych osobowych w Unii Europejskiej składają się dwa akty prawne:

1) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz

2) dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (państwa członkowskie mają przyjąć i opublikować przepisy wykonujące dyrektywę do dnia 6 maja 2018 r., czyli wcześniej niż zaczyna obowiązywać RODO).

Rozporządzenie Parlamentu Europejskiego i Rady ma zasięg ogólny, wiąże w całości co do wszystkich zawartych w nim postanowień i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

2. Zakres zastosowania RODO

2.1 Pojęcie danych osobowych

Pojęcie danych osobowych ma kluczowe znaczenie w prawie ochrony danych osobowych. Termin „dane osobowe” zdefiniowano w art. 4 pkt 1 RODO w następujący sposób: informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Zakres pojęcia danych osobowych jest bardzo szeroki. Celem takiego ujęcia tego terminu jest zapewnienie osobom fizycznym jak najpełniejszej ochrony w związku z przetwarzaniem ich danych osobowych.

Można wyróżnić cztery elementy powyższej definicji:

• informacje;
• dotyczące;
• zidentyfikowanej lub możliwej do zidentyfikowania;
• osoby fizycznej.

Przez „informacje” rozumieć należy wszelkie stwierdzenia na temat osoby. Treść informacji może dotyczyć życia prywatnego sensu stricto danej osoby, a także wszelkich innych okoliczności, takich jak działalność zawodowa, zachowania ekonomiczne lub społeczne konkretnej osoby. Chodzi tu zarówno o informacje obiektywne (np. wiek, wzrost), jak i o informacje subiektywne (np. opinie na temat osoby fizycznej). Nie ma przy tym znaczenia, czy informacje te są prawdziwe. Informacje mogą być dostępne w jakiejkolwiek formie, w tym pisemnej (alfabetycznej, liczbowej), graficznej lub akustycznej.

Odnosząc się do określenia „dotyczące”, należy przyjąć, że konkretna informacja dotyczy danej osoby, jeżeli jest to informacja na temat tej osoby. Informacja może dotyczyć osoby fizycznej w szczególności ze względu na swoją treść, ale także ze względu na swój cel lub swój skutek.

Kryterium „zidentyfikowana lub możliwa do zidentyfikowania” dotyczy możliwości odróżnienia konkretnej osoby od innych osób w danej grupie. Osoba fizyczna jest zidentyfikowana, jeśli można ją odróżnić od wszystkich innych członków grupy. Natomiast osoba fizyczna „możliwa do zidentyfikowania” nie została jeszcze zidentyfikowana, jednak jej identyfikacja jest możliwa.

Najczęściej występującą informacją pozwalającą na bezpośrednią identyfikację osoby fizycznej jest jej imię i nazwisko. W definicji danych osobowych jako czynniki identyfikujące wskazane są także: numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Wyliczenie zawarte w definicji ma charakter przykładowy.

Ostatni element definicji – „osoba fizyczna” – wskazuje, że ochronę wynikającą z przepisów RODO stosuje się do osób fizycznych. Prawo do ochrony danych osobowych jest prawem uniwersalnym, tj. mającym zastosowanie do wszystkich ludzi, a nie tylko do – przykładowo – obywateli danego państwa.

Zgodnie z tą definicją ochrona wynikająca z przepisów o ochronie danych osobowych nie przysługuje osobom prawnym.

Rodzaje danych osobowych

Na podstawie RODO można wyróżnić trzy rodzaje danych osobowych:

• tzw. dane zwykłe,
• szczególne kategorie danych osobowych,
• dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Do ostatniej kategorii zalicza się – zgodnie z art. 10 RODO – dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

Szczególne kategorie danych określono w art. 9 ust. 1 RODO. Są to: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Niektóre ze szczególnych kategorii danych zdefiniowano w art. 4 pkt 13–1 5 RODO:

• dane genetyczne oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
• dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
• dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Natomiast wszelkie inne dane osobowe określa się jako zwykłe dane osobowe. Innymi słowy, dane zwykłe są danymi osobowymi, które nie należą ani do szczególnych kategorii danych, ani nie dotyczą wyroków skazujących lub naruszeń prawa.

2.2 Przedmiotowy zakres stosowania RODO

Przedmiotowy zakres stosowania ogólnego rozporządzenia określono w art. 2 RODO. Zgodnie z art. 2 ust. 1 RODO ogólne rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Znaczenie dla określenia przedmiotowego zakresu stosowania RODO mają zatem definicje następujących pojęć: „przetwarzanie”, „dane osobowe” oraz „zbiór”.

Termin „przetwarzanie” zdefiniowano w art. 4 pkt 2 RODO jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Zakres pojęciowy przetwarzania jest zatem bardzo szeroki, a wyliczenie operacji w powyższej definicji ma charakter przykładowy.

Natomiast „zbiór danych” określono w art. 4 pkt 6 RODO w następujący sposób: uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Należy pamiętać, że pojęcie zbioru danych odnosi się tylko do ręcznego przetwarzania danych osobowych.

Na podstawie przepisu art. 2 ust. 1 RODO można wyróżnić dwa rodzaje operacji przetwarzania:

• przetwarzanie całkowicie lub częściowo zautomatyzowane, oraz
• przetwarzanie ręczne danych osobowych stanowiących część zbioru lub mających stanowić część zbioru.

Przetwarzanie całkowicie lub częściowo zautomatyzowane jest przetwarzaniem z wykorzystaniem technologii – w przeciwieństwie do przetwarzania ręcznego, którego dokonuje się bez użycia jakichkolwiek technologii. Pojęcia „zautomatyzowane przetwarzanie” nie zdefiniowano, ponieważ zgodnie z motywem 15 RODO ochrona danych osobowych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Typowym przetwarzaniem zautomatyzowanym będzie przetwarzanie danych z użyciem systemów informatycznych.

Przetwarzaniem ręcznym jest natomiast przetwarzanie danych wyłącznie w formie papierowej. Należy przy tym pamiętać, że prawo ochrony danych ma zastosowanie do przetwarzania ręcznego tylko wówczas, gdy przetwarzane dane znajdują się lub mają się znaleźć w zbiorze danych. Innymi słowy chodzi o takie dane osobowe, które są uporządkowane według określonych kryteriów.

2.3 Podmiotowy zakres stosowania RODO

Podmiotowy zakres stosowania RODO określono w art. 3 RODO. Zgodnie z art. 3 ust. 1 RODO ogólne rozporządzenie ma zastosowanie do przetwarzania danych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

Znaczenie dla określenia podmiotowego zakresu stosowania RODO mają definicje pojęć: „przetwarzanie danych w związku z działalnością prowadzoną przez jednostkę organizacyjną”, „jednostka organizacyjna”, „administrator” oraz „podmiot przetwarzający”.

„Przetwarzanie danych w związku z działalnością prowadzoną przez jednostkę organizacyjną” nie oznacza, że przetwarzania musi dokonywać właśnie ta jednostka. Wystarczające jest, aby istniał związek pomiędzy czynnością przetwarzania danych a działalnością danej jednostki organizacyjnej znajdującej się na obszarze Unii Europejskiej.

„Jednostka organizacyjna” stanowi tłumaczenie angielskiego pojęcia „establishment”. Ogólne rozporządzenie nie zawiera definicji legalnej pojęcia „jednostka organizacyjna”. Pojęcia tego nie należy utożsamiać z prowadzeniem działalności gospodarczej, pojęciem siedziby, miejsca zamieszkania, oddziału lub przedstawicielstwa przedsiębiorcy. Jak wskazuje motyw 22 RODO, pojęcie „jednostka organizacyjna” zakłada skuteczne i faktyczne prowadzenie działalności gospodarczej poprzez stabilne struktury. Forma prawna takich struktur – niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobowość prawną – nie jest w tym względzie czynnikiem decydującym. W motywie tym podkreślono, że forma prawna jednostki organizacyjnej nie jest decydująca dla uznania, że dane przetwarzanie jest objęte zakresem podmiotowym stosowania RODO.

2.4 Rodzaje podmiotów obowiązane do ochrony danych osobowych (administrator, współadministrator, podmiot przetwarzający)

Ogólne rozporządzenie wyróżnia trzy kategorie podmiotów obowiązanych do ochrony danych osobowych: administrator, współadministrator oraz podmiot przetwarzający.

Zgodnie z art. 4 pkt 7 RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Dopuszczalne jest również określenie celów i sposobów przetwarzania w prawie Unii lub w prawie państwa członkowskiego. W takim przypadku administrator może zostać wyznaczony lub mogą zostać określone konkretne kryteria jego wyznaczania w prawie Unii lub w prawie państwa członkowskiego.

Definicja pojęcia „administrator” składa się z trzech elementów:

1) element podmiotowy, czyli adresat przepisu: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot;

2) sposób działania dopuszczający możliwość współdecydowania o przetwarzaniu danych osobowych: samodzielnie lub wspólnie ustala cele i sposoby przetwarzania;

3) zakres decyzyjny: ustala cele i sposoby przetwarzania.

Zakres podmiotowy pojęcia „administrator” jest szeroki. Administratorem może być osoba fizyczna, osoba prawna (np. spółka akcyjna lub spółka z ograniczoną odpowiedzialnością), organ publiczny, jednostka lub inny podmiot. W zakres tych dwóch ostatnich kategorii mogą wchodzić m.in. jednostki organizacyjne nieposiadające osobowości prawnej, takie jak spółka jawna, spółka partnerska, spółka komandytowa lub spółka komandytowo-akcyjna. Aby posiadać status administratora, podmiot nie musi przetwarzać danych osobowych samodzielnie, może dokonać zlecenia przetwarzania podmiotowi przetwarzającemu. O statusie administratora decyduje możliwość ustalania celów i sposobów przetwarzania.

„Współadministrator” jest podkategorią pojęcia „administrator”. „Współadministrator” to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Konstrukcję współadministratorów dopuszcza art. 26 ust. 1 RODO, zgodnie z którym: Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. Ogólne rozporządzenie w ramach współadministrowania nie narzuca sztywnych ram na ustalanie celów i sposobów przez współadministratorów. Współudział może polegać zarówno na ścisłej i skoordynowanej współpracy, jak i na częściowym współdziałaniu. Jeżeli strony ustalą, że w ramach prowadzonych przez nie działań dochodzi do współadministrowania, to powinny w sposób przejrzysty uzgodnić zakresy swojej odpowiedzialności dotyczącej wykonywania obowiązków z RODO. Uzgodnienia te powinny dotyczyć w szczególności wykonywania przez osobę, której dane dotyczą, jej praw, a także realizowania obowiązków współadministratorów co do spełniania obowiązków informacyjnych. Współadministratorzy mogą również utworzyć wspólny punkt kontaktowy dla podmiotów danych. Zgodnie z art. 4 pkt 8 RODO „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Tak jak w przypadku pojęcia „administrator” definicja ta obejmuje szeroki zakres podmiotów.

W przeciwieństwie do poprzednich regulacji prawnych, w RODO podmiot przetwarzający (zwany również procesorem) jest bezpośrednim adresatem wielu norm – zarówno tych określających obowiązki, jak i tych regulujących sankcje za naruszenie przepisów o ochronie danych osobowych.

Zgodnie z art. 28 ust. 1 RODO administrator odpowiada za poprawność wyboru podmiotu powierzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych spełniających wymogi RODO oraz chroniących prawa podmiotów danych. Na podstawie art. 28 ust. 3 lit. a) RODO podmiot przetwarzający może działać wyłącznie na udokumentowane polecenie administratora. Działanie podmiotu powierzającego w imieniu administratora oznacza również, że jest on związany celami i sposobami przetwarzania wyznaczonymi przez administratora.

3. Podstawowe zasady ochrony danych osobowych

3.1 Zasady dotyczące przetwarzania danych osobowych (art. 5 RODO)

Wszystkie czynności przetwarzania danych powinny być zgodne z podstawowymi zasadami dotyczącymi przetwarzania danych osobowych, wskazanymi w art. 5 RODO. Są to:

• zasada zgodności z prawem, rzetelności i przejrzystości;
• zasada ograniczenia celu;
• zasada minimalizacji danych;
• zasada prawidłowości danych;
• zasada ograniczenia przechowywania;
• zasada integralności i poufności;
• zasada rozliczalności.

Zasada zgodności z prawem, rzetelności i przejrzystości

Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

Zgodność z prawem przetwarzania oznacza, że podstawą prawną przetwarzania jest jedna z przesłanek wymienionych w art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO, a także, że przetwarzanie jest zgodne z innymi przepisami o ochronie danych osobowych. Rzetelność przetwarzania interpretuje się jako jego ogólną uczciwość oraz proporcjonalność ingerencji w prywatność związaną z przetwarzaniem danych osobowych. Aby natomiast zachować zasadę przejrzystości, należy przekazywać osobom, których dane dotyczą, zrozumiałe i kompletne informacje na temat przetwarzania ich danych osobowych. Dodatkowe wymogi dotyczące zasady przejrzystości sformułowano w art. 12 RODO. Zgodnie z tym przepisem wszelkie informacje i komunikaty przekazywane osobom, których dane dotyczą, powinny być łatwo dostępne i zrozumiałe oraz napisane jasnym i prostym językiem. Celem tej zasady jest zapewnienie, aby osoby, których dane dotyczą, miały pełną wiedzę na temat operacji przetwarzania, w tym konsekwencji przetwarzania ich danych oraz przysługujących im praw związanych z przetwarzaniem danych osobowych.

Zasada ograniczenia celu

Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.

Zasada ograniczenia celu wymusza, po pierwsze, wskazanie określonego, zgodnego z prawem celu przetwarzania w momencie zbierania danych. Po drugie, zgodnie z tą zasadą zabronione jest przetwarzanie w innym celu, chyba że: (i) dalsze przetwarzanie odbywa się na podstawie przepisów prawa unijnego lub prawa krajowego, (ii) administrator uzyskał zgodę osoby, której dane dotyczą, na dalsze przetwarzanie, lub (iii) taki wtórny cel przetwarzania nie jest niezgodny z celem pierwotnym.

Zgodność wtórnego celu przetwarzania z celem pierwotnym ocenia się m.in. na podstawie kryteriów wskazanych w art. 6 ust. 4 RODO, takich jak wszelkie związki między celami, kontekst, w którym zebrano dane osobowe, charakter danych osobowych, a także ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą. Na mocy art. 5 ust. 1 lit. b) RODO dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uważane za niezgodne z pierwotnym celem przetwarzania.

Zasada minimalizacji danych

Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Zgodnie z tą zasadą administrator danych może zbierać tylko takie dane osobowe, które są mu konieczne do osiągnięcia celu ich zebrania. Zakazane jest zatem zbieranie danych niepotrzebnych w konkretnym celu, czy też zbieranie danych „na zapas”. Zasada ta powiązana jest z zasadą ograniczenia celu, ponieważ to cel przetwarzania determinuje zakres danych potrzebnych do osiągnięcia tego celu.

Zasada prawidłowości danych

Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane.

Powyższa zasada odnosi się do poprawności danych i ich zgodności z prawdą. Zgodnie z zasadą prawidłowości danych, jakiekolwiek nieprawidłowe (niepoprawne, nieprawdziwe) dane osobowe powinny być jak najszybciej usunięte lub poprawione.

Zasada ograniczenia przechowywania

Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Zgodnie z zasadą ograniczenia przechowywania, przetwarzanie danych osobowych jest dopuszczalne tylko tak długo, jak jest to konieczne do osiągnięcia celów przetwarzania danych. Zakazane jest bowiem przechowywanie danych osobowych w nieskończoność. W konsekwencji administratorzy muszą ustalić okresy przechowywania danych lub – gdy ustalenie z góry okresu przechowywania nie jest możliwe – kryteria ustalania takich okresów.

Na podstawie art. 5 ust. 1 lit. e) RODO dopuszczalne jest przechowywanie danych osobowych po osiągnięciu (pierwotnych) celów przetwarzania, pod warunkiem że dane będą przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Przetwarzanie danych w tych celach po upływie pierwotnego okresu przetwarzania wymaga jednak wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony praw i wolności osób, których dane dotyczą.

Zasada integralności i poufności

Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Powyższa zasada nakłada na podmioty przetwarzające dane osobowe obowiązek odpowiedniego zabezpieczenia danych osobowych, tak aby zachowane zostały właściwości integralności i poufności danych.

Zasada rozliczalności

Zgodnie z zasadą rozliczalności administrator danych jest odpowiedzialny za przestrzeganie zasad przetwarzania danych oraz musi być w stanie wykazać ich przestrzeganie. Konieczne jest zatem wdrożenie odpowiednich wewnętrznych procedur w celu spełniania wymogów RODO oraz stworzenie dokumentacji, dzięki której można wykazać (udowodnić) spełnianie tych wymogów.

3.2 Podstawy prawne przetwarzania danych osobowych

Zgodnie z zasadą zgodności z prawem przetwarzanie danych osobowych musi być oparte o podstawę prawną wskazaną w RODO. W zależności od rodzaju danych osobowych zastosowanie mogą mieć różne przesłanki legalizujące przetwarzanie: inne podstawy przetwarzania mają zastosowanie do szczególnych kategorii danych, a inne – do tzw. danych zwykłych oraz danych dotyczących wyroków skazujących i naruszeń prawa (rodzaje danych osobowych omówiono w podrozdziale 2.1).

Poniżej wymienione są wszystkie możliwe podstawy prawne przetwarzania danych osobowych.

Tzw. dane zwykłe

Podstawy prawne przetwarzania tzw. danych zwykłych uregulowano w art. 6 ust. 1 RODO. Zgodnie z tym przepisem przetwarzanie danych jest legalne, jeżeli spełniony jest co najmniej jeden z poniższych warunków:

1) Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

Zgoda taka musi być dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (zgodnie z definicją zgody zawartą w art. 4 pkt 11 RODO).

2) Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

W tym kontekście należy zwrócić szczególną uwagę na kryterium niezbędności danych do zawarcia lub wykonania umowy – pojęcie to powinno być interpretowane wąsko. Jeżeli zatem jakaś informacja nie jest potrzebna do zawarcia lub wykonywania umowy, podstawą jej przetwarzania nie może być powyższa przesłanka.

3) Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

W tym przypadku podstawa prawna przetwarzania musi być określona w prawie unijnym lub w prawie krajowym, a cel przetwarzania powinien wynikać z tych przepisów.

4) Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

5) Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

W tym przypadku podstawa prawna przetwarzania musi być określona w prawie unijnym lub w prawie krajowym, a celem przetwarzania powinno być wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.

6) Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Jeżeli przetwarzanie danych ma być oparte o powyższą przesłankę, konieczne jest przeprowadzenie tzw. testu równowagi, czyli analizy, czy w danej sytuacji interes administratora w przetwarzaniu danych jest nadrzędny wobec interesów, praw i wolności osoby fizycznej.

Szczególne kategorie danych

Przetwarzanie szczególnych kategorii danych (np. danych o stanie zdrowia, danych ujawniających pochodzenie etniczne lub poglądy religijne) jest co do zasady zabronione.

Na zasadzie wyjątku od ogólnego zakazu przetwarzanie szczególnych kategorii danych dozwolone jest w następujących przypadkach:

1) Osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach.

2) Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem unijnym bądź krajowym lub porozumieniem zbiorowym na mocy prawa krajowego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

3) Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.

4) Przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.

5) Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

6) Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.

7) Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa unijnego lub krajowego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

8) Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa unijnego lub krajowego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem dodatkowych warunków i zabezpieczeń.

9) Przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa unijnego lub krajowego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.

10) Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie prawa unijnego lub krajowego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

4. Szczegółowe obowiązki administratora

4.1 Zastrzeżenie dotyczące możliwości ograniczenia obowiązków administratora związanych z uprawnieniami osób, których dane dotyczą, w prawie krajowym

Artykuł 23 RODO wprowadza możliwość ograniczenia w prawie państw członkowskich lub Unii Europejskiej zakresu niektórych obowiązków i praw przewidzianych w RODO.

Zgodnie z art. 23 ust. 1 RODO prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 (prawa osób, których dane dotyczą) i w art. 34 (zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych), a także w art. 5 RODO (zasady dotyczące przetwarzania danych osobowych) – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 RODO – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

1. a) bezpieczeństwu narodowemu;
2. b) obronie;
3. c) bezpieczeństwu publicznemu;
4. d) zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
5. e) innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;
6. f) ochronie niezależności sądów i postępowania sądowego;
7. g) zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;
8. h) funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa w lit. a)–e) oraz g);
9. i) ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
10. j) egzekucji roszczeń cywilnoprawnych.

Chociaż art. 23 ust. 1 RODO dopuszcza możliwość ograniczenia określonych obowiązków i praw w drodze krajowych przepisów prawnych, to jednocześnie art. 23 ust. 2 RODO stawia podstawie prawnej

takich ograniczeń szereg wymagań. Stosownie do tego przepisu podstawa prawna wprowadzająca ograniczenia praw i obowiązków, o których mowa w art. 23 ust. 1 RODO, musi zawierać szczegółowe przepisy przynajmniej – w stosownym przypadku – o:

1. a) celach przetwarzania lub kategorii przetwarzania;
2. b) kategoriach danych osobowych;
3. c) zakresie wprowadzonych ograniczeń;
4. d) zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;
5. e) określeniu administratora lub kategorii administratorów;
6. f) okresach przechowywania oraz mających zastosowanie zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;
7. g) ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; oraz
8. h) prawie osób, której dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.

4.2 Obowiązki informacyjne

Jednym z głównych obowiązków administratora danych na podstawie RODO jest przekazanie osobom, których dane dotyczą, informacji na temat przetwarzania ich danych osobowych.

Na podstawie art. 13 i 14 RODO można wyróżnić dwie sytuacje spełniania obowiązku informacyjnego:

• kiedy dane zbierane są bezpośrednio od osoby, której dane dotyczą (tę sytuację reguluje art.

13 RODO), oraz

• kiedy dane zbierane są od podmiotu trzeciego (tę sytuację reguluje art. 14 RODO).

W zależności od sposobu zbierania danych (bezpośrednio czy niebezpośrednio) różnią się:

• zakres informacji, które należy przekazać osobie, której dane dotyczą;
• moment przekazania informacji; oraz
• okoliczności wyłączające obowiązek informacyjny.

Jeśli chodzi o moment spełnienia obowiązku informacyjnego, w sytuacji gdy dane zbierane są bezpośrednio od osoby, której dane dotyczą, administrator musi jej przekazać informacje dotyczące przetwarzania danych w momencie zbierania danych. Natomiast jeżeli dane zbierane są od osoby trzeciej, wówczas zgodnie z art. 14 ust. 3 RODO obowiązek informacyjny powinien być spełniony w rozsądnym terminie po pozyskaniu danych osobowych, biorąc pod uwagę konkretne okoliczności przetwarzania danych osobowych, ale nie później niż w ciągu miesiąca od uzyskania danych. Jeżeli dane osobowe mają być wykorzystane do komunikacji z osobą, której dane dotyczą, wówczas obowiązek informacyjny należy spełnić przy pierwszej komunikacji z osobą, której dane dotyczą, nawet jeżeli nie upłynął jeszcze miesiąc od uzyskania danych. Podobnie jeżeli administrator planuje ujawnić dane osobowe innemu odbiorcy, obowiązek informacyjny powinien być spełniony najpóźniej przy pierwszym ujawnieniu danych, nawet jeżeli nie upłynął jeszcze miesiąc od uzyskania danych.

W przypadku gdy administrator zbiera dane bezpośrednio od osoby, której dane dotyczą, obowiązek informacyjny jest wyłączony tylko w jednej sytuacji – jeżeli osoba ta już dysponuje wszystkimi informacjami, które mają być jej przekazane na mocy art. 13 ust. 1–2 RODO.

Natomiast art. 14 ust. 5 RODO – dotyczący zbierania danych od podmiotu trzeciego – przewiduje cztery sytuacje, w których spełnienie obowiązku informacyjnego nie jest wymagane:

• osoba, której dane dotyczą, dysponuje już informacjami wymienionymi w art. 14 ust. 1–2 RODO;
• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
• pozyskiwanie lub ujawnianie danych osobowych jest wyraźnie uregulowane prawem unijnym lub krajowym przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie unijnym lub krajowym, w tym ustawowym obowiązkiem zachowania tajemnicy.

4.3 Obowiązki związane z realizacją uprawnień osób, których dane dotyczą

Rodzaje uprawnień osób, których dane dotyczą

Oprócz prawa do informacji, które zostało omówione powyżej, osobie, której dane dotyczą, przysługują uprawnienia, o których mowa w art. 15–22 RODO. Należą do nich:

• prawo dostępu, w tym prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu (art. 15 RODO);
• prawo do sprostowania lub uzupełnienia danych (art. 16 RODO);
• prawo do usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO);
• prawo do ograniczenia przetwarzania (art. 18 RODO);
• obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO);
• prawo do przenoszenia danych (art. 20 RODO);
• prawo do sprzeciwu (art. 21 RODO)
• prawo do niepodlegania zautomatyzowanej decyzji, w tym profilowaniu (art. 22 RODO).

Powyższe uprawnienia rodzą po stronie administratora określone obowiązki, w tym generalny obowiązek ułatwienia osobie, której dane dotyczą, wykonania przysługujących jej na mocy art. 15–22 RODO praw.

Tryb realizacji uprawnień

RODO określa nie tylko rodzaje uprawnień przysługujących osobom, których dane dotyczą, lecz również tryb, w jakim administrator powinien je realizować. Artykuł 12 RODO wskazuje, w jaki sposób administrator powinien prowadzić komunikację z podmiotami danych, oraz wprowadza terminy, w jakich administrator zobowiązany jest do podjęcia działań w odpowiedzi na żądanie podmiotu danych dotyczące przyznanych mu praw.

Komunikacja z osobą, której dane dotyczą

Przede wszystkim administrator, komunikując się z osobą, której dane dotyczą, w zakresie przysługujących jej na mocy art. 15–22 RODO uprawnień, powinien udzielać jej niezbędnych informacji w zwięzłej, przejrzystej i łatwo zrozumiałej formie. Powinien używać jasnego i prostego języka oraz unikać skomplikowanych struktur językowych, tak aby dla osoby, której dane dotyczą, jasny był sens kierowanego do niej komunikatu.

Administrator może udzielić informacji osobie, której dane dotyczą, na piśmie lub w inny sposób, w tym elektronicznie. Na wyraźne żądanie osoby, której dane dotyczą, administrator może udzielić jej informacji ustnie, pod warunkiem że potwierdzi jej tożsamość w inny sposób (tj. nie ustnie). Co do zasady jeżeli osoba, której dane dotyczą, zgłasza swoje żądanie na podstawie art. 15–22 RODO elektronicznie, to administrator powinien udzielić jej odpowiedzi w tej samej formie, chyba że osoba ta zażąda innej formy.

Terminy odpowiedzi na żądania osób, których dane dotyczą

W odpowiedzi na żądanie osoby, której dane dotyczą, administrator powinien bez zbędnej zwłoki – nie później jednak niż w terminie jednego miesiąca od otrzymania żądania – udzielić jej informacji o działaniach podjętych w związku z tym żądaniem.

Administrator powinien zatem w terminie jednego miesiąca dokonać oceny zasadności żądania i je zrealizować (np. dokonać sprostowania danych) lub odmówić realizacji.

Ze względu na skomplikowany charakter żądania lub liczbę żądań, jednomiesięczny termin można wydłużyć o dodatkowe dwa miesiące. Administrator ma zatem maksymalnie trzy miesiące na udzielenie odpowiedzi na żądanie podmiotu danych.

Powinien on jednak poinformować osobę, której dane dotyczą, o przedłużeniu terminu i jego przyczynach w ciągu jednego miesiąca od otrzymania żądania.

Jeżeli w związku z żądaniem osoby, której dane dotyczą, administrator nie podejmuje żadnych działań, to zobowiązany jest do niezwłocznego (najpóźniej w terminie jednego miesiąca od otrzymania żądania) poinformowania osoby, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Weryfikacja tożsamości osoby zgłaszającej żądanie

Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej, która zgłasza żądanie na podstawie art. 15–22 RODO, może zażądać od niej dodatkowych informacji  niezbędnych do potwierdzenia jej tożsamości.

Możliwość pobierania opłat

Co do zasady komunikacja i działania podejmowane na podstawie art. 15–22 RODO przez administratora są wolne od opłat. Od tej zasady RODO przewiduje dwa wyjątki. Jeżeli żądania osoby, której dane dotyczą, są (i) ewidentnie nieuzasadnione lub (ii) nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

• pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
• odmówić podjęcia działań w związku z żądaniem.

Ciężar wykazania, że zgłoszone żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

Jeżeli administrator zdecydował się odmówić podjęcia działań objętych treścią żądania, powinien wskazać przyczyny takiej decyzji i poinformować o nich osobę, która zgłosiła żądanie.

Odmowa realizacji żądania osoby, której dane dotyczą

Administrator może odmówić podjęcia działań w odpowiedzi na żądanie osoby, której dane dotyczą, w dwóch przypadkach:

1) jeśli mają one ewidentnie nieuzasadniony lub nadmierny charakter; lub

2) jeżeli administrator dokonuje przetwarzania niewymagającego identyfikacji i wykaże, iż nie jest w stanie zidentyfikować występującej z takim żądaniem osoby.

4.4 Zakres obowiązków związanych z realizacją praw osób, których dane dotyczą

Prawo dostępu do danych osobowych (art. 15 RODO)

Zgodnie z art. 15 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do tych danych oraz następujących informacji:

1. a) cele przetwarzania;
2. b) kategorie odnośnych danych osobowych;
3. c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
4. d) w miarę możliwości – planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe – kryteria ustalania tego okresu;
5. e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
6. f) informacje o prawie wniesienia skargi do organu nadzorczego;
7. g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
8. h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
9. i) jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej – informacje o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.

Elementem prawa dostępu jest także również prawo do uzyskania od administratora kopii danych osobowych podlegających przetwarzaniu. Co do zasady realizacja prawa do uzyskania kopii danych osobowych nie powinna wiązać się z koniecznością ponoszenia opłat przez osobę, której dane dotyczą.

Niemniej jednak administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych za wszelkie kolejne kopie, o które zwróci się podmiot danych. Realizując prawo dostępu do danych osobowych, osoba, której dane dotyczą, może uzyskać kopię danych osobowych we wskazanym przez siebie formacie. Jeżeli jednak zwróci się ona o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, administrator udziela informacji powszechnie stosowaną drogą elektroniczną.

Prawo do uzyskania kopii nie może jednak niekorzystnie wpływać na prawa i wolności innych.

Prawo do sprostowania lub uzupełnienia danych (art. 16 RODO)

Zgodnie z art. 16 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Przepis ten przyznaje zatem osobie, której dane dotyczą, dwa typy uprawnień:

1) uprawnienie do sprostowania nieprawidłowych danych osobowych,

2) uprawnienie do uzupełnienia niekompletnych danych osobowych.

Związany z omawianym uprawnieniem obowiązek administratora nie ma charakteru bezwzględnego –   administrator w określonych sytuacjach może odmówić sprostowania danych. Dla przykładu: stosownie do art. 11 ust. 2 RODO administrator nie musi realizować żądania sprostowania, jeżeli może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, a która zgłasza żądanie. W takiej sytuacji art. 16 RODO nie znajdzie zastosowania, chyba że osoba, której dane dotyczą, w celu wykonania przysługującego jej prawa dostarczy dodatkowe informacje, które pozwolą ją zidentyfikować.

Prawo do usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO)

Artykuł 17 RODO przyznaje osobie, której dane dotyczą, prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, tzw. prawo do bycia zapomnianym. Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe objęte żądaniem, jeżeli:

1. a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane, lub w inny sposób przetwarzane;
2. b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania;
3. c) osoba, której dane dotyczą, wnosi na mocy art. 21 ust. 1 RODO sprzeciw wobec przetwarzania danych osobowych jej dotyczących i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub wnosi na mocy art. 21 ust. 2 RODO sprzeciw wobec przetwarzania danych osobowych jej dotyczących na potrzeby marketingu bezpośredniego;
4. d) dane osobowe były przetwarzane niezgodnie z prawem;
5. e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w przepisach prawa, którym podlega administrator;
6. f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

Jeżeli administrator upublicznił dane osobowe (np. opublikował je na ogólnodostępnej stronie internetowej), a na mocy art. 17 RODO ma obowiązek je usunąć, to zobowiązany jest do podjęcia rozsądnych działań, aby poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Obowiązek powiadomienia dotyczy przy tym nie tylko osób trzecich, którym dane zostały ujawnione przez administratora, ale także administratorów, którzy uzyskali dane w inny sposób (tj. z innego źródła niż administrator, na którym spoczywa obowiązek przekazania informacji).

Zgodnie z art. 17 ust. 3 RODO powyższe obowiązki są wyłączone w zakresie, w jakim przetwarzanie jest niezbędne:

1. a) do korzystania z prawa do wolności wypowiedzi i informacji;
2. b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy przepisów prawa, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
3. c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h)–i) oraz art. 9 ust. 3 RODO;
4. d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
5. e) do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do ograniczenia przetwarzania (art. 18 RODO)

Na mocy art. 18 RODO osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania, jeżeli:

1. a) kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
2. b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
3. c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
4. d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Zgodnie z art. 4 pkt 3 RODO przez ograniczenie przetwarzania należy rozumieć oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.  Sprowadza się to do tego, że jeżeli przetwarzanie zostało ograniczone, to administrator nie może dokonywać na danych innych operacji niż przechowywanie.

Dane osobowe mogą być w takim przypadku przetwarzane wyłącznie:

• za zgodą osoby, której dane dotyczą, lub
• w celu ustalenia, dochodzenia lub obrony roszczeń, lub
• w celu ochrony praw innej osoby fizycznej lub prawnej, lub
• z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

W przypadku ograniczenia przetwarzania dane osobowe nie mogą być przetwarzane w celu, dla którego zostały zebrane. Przed uchyleniem ograniczenia przetwarzania administrator zobowiązany jest do poinformowania o tym osobę, która zgłosiła żądanie ograniczenia przetwarzania.

Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO)

Na mocy art. 19 RODO jeżeli administrator dokona, na żądanie osoby, której dane dotyczą:

• sprostowania nieprawidłowych danych osobowych,
• uzupełnienia niekompletnych danych osobowych,
• usunięcia danych osobowych lub
• ograniczenia przetwarzania danych osobowych,

zobowiązany jest do poinformowania każdego odbiorcy, któremu ujawniono dane osobowe, o dokonanej zmianie. Przez odbiorcę danych rozumie się przy tym osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego,  czy jest stroną trzecią (w tym podmiotem przetwarzającym lub innym administratorem, któremu udostępniono dane osobowe). Odbiorcami danych nie są natomiast organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania na mocy przepisów prawa (np. sąd).

Obowiązek ten skorelowany jest z innym obowiązkiem administratora, wyrażonym w art. 5 ust. 1 lit. d) RODO, tj. zapewnieniem prawidłowości przetwarzanych danych osobowych, w tym również w zakresie, w jakim dane te zostały ujawnione odbiorcom. Stąd jeżeli treść lub zakres danych osobowych przetwarzanych przez administratora ulega zmianie, powinien o tym wiedzieć również odbiorca tych danych osobowych.

Obowiązek ten nie znajdzie jednak zastosowania, jeżeli powiadomienie okaże się niemożliwe lub będzie wymagać od administratora niewspółmiernie dużego wysiłku. Niemniej warto pamiętać, że ciężar wykazania, iż powiadomienie odbiorców jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku, obciąża administratora.

Jednocześnie administrator zobowiązany jest również do poinformowania osoby, której dane dotyczą, o tych odbiorcach, jeżeli osoba ta tego zażąda.

Prawo do przenoszenia danych (art. 20 RODO)

Artykuł 20 RODO przyznaje osobie, której dane dotyczą, prawo do otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe.

Prawo to znajduje zastosowanie, wyłącznie jeżeli:

1. a) przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy oraz
2. b) przetwarzanie odbywa się w sposób zautomatyzowany.

Wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest  to technicznie możliwe. Prawo do przenoszenia danych nie może jednocześnie niekorzystnie wpływać na prawa i wolności innych osób. Wykonanie prawa do przenoszenia danych pozostaje bez uszczerbku dla prawa do usunięcia danych, o którym mowa w art. 17 RODO.

Prawo do przenoszenia danych nie znajdzie zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Prawo do sprzeciwu (art. 21 RODO)

Artykuł 21 RODO przyznaje osobie, której dane dotyczą, uprawnienie do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych. Osoba, której dane dotyczą, może wnieść sprzeciw:

1) wobec przetwarzania danych osobowych, w tym profilowania, którego podstawą prawną jest:

1. a) niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź
2. b) niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z przyczyn związanych z jej szczególną sytuacją. W razie wniesienia sprzeciwu administrator nie może już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

2) wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego, w tym profilowania, w dowolnym momencie, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania danych osobowych do celów marketingu bezpośredniego, administrator nie może ich dalej przetwarzać do takich celów.

3) wobec przetwarzania danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z przyczyn związanych z jej szczególną sytuacją, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

Skorzystanie przez osobę, której dane dotyczą, z prawa do sprzeciwu co do zasady uniemożliwia przetwarzanie danych o osobie, której dane dotyczą.

W przypadku sprzeciwu wobec przetwarzania danych osobowych do celów marketingu bezpośredniego, w tym związanego z nim profilowania, administrator zobowiązany jest bezwzględnie do zaprzestania przetwarzania danych objętych sprzeciwem w celach marketingowych (art. 21 ust. 2 RODO). W pozostałych sytuacjach administrator może wykazać istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, które są nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń (art. 21 ust. 1 RODO) – dochodzi zatem do ważenia podstaw do przetwarzania, na które powołuje się administrator, z interesami, prawami i wolnościami osoby, której dane dotyczą.

Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, administrator wyraźnie informuje się ją o prawie do sprzeciwu, oraz przedstawia je jasno i odrębnie od wszelkich innych informacji.

Osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

Prawo do niepodlegania zautomatyzowanej decyzji, w tym profilowaniu (art. 22 RODO)

Stosownie do art. 22 RODO osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji,

która:

• opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, oraz
• wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Uprawnienie to nie znajdzie zastosowania, jeżeli ta decyzja:

1. a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
2. b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
3. c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

W przypadku gdy decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem lub gdy opiera się ona na wyraźnej zgodzie osoby, której dane dotyczą, administrator zobowiązany jest do wdrożenia właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do  zakwestionowania tej

decyzji.

W przypadku szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, RODO przewiduje generalny zakaz podejmowania zautomatyzowanych decyzji w oparciu o takie dane.

Niemniej jednak dozwolone jest zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach w oparciu o szczególne kategorie danych, pod warunkiem że istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a przetwarzanie takich danych odbywa się na podstawie art. 9 ust. 1 lit. a) RODO (wyraźna zgoda osoby, której dane dotyczą) lub art. 9 ust. 2 lit. g) RODO (przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym).

4.5 Powierzenie przetwarzania danych osobowych

Powierzenie przetwarzania danych ma miejsce, jeżeli administrator zleca przetwarzanie danych w swoim imieniu innemu podmiotowi – tzw. podmiotowi przetwarzającemu (zwanemu też procesorem).

Jeżeli administrator ma zamiar powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu, zgodnie z art. 28 RODO musi podjąć dwa rodzaje działań:

• W pierwszej kolejności administrator powinien zweryfikować, czy podmiot, któremu ma zamiar powierzyć przetwarzanie danych, zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
• W przypadku pozytywnej weryfikacji administrator musi zawrzeć z podmiotem przetwarzającym umowę powierzenia przetwarzania. Umowa ta powinna zawierać wszystkie elementy określone w art. 28 ust. 3 RODO (omówione poniżej).

RODO nie zawiera żadnych przepisów wyłączających powyższe obowiązki.

4.6 Przetwarzanie danych na polecenie administratora

W art. 29 RODO przewiduje się, że każda osoba działająca z upoważnienia administratora i mająca dostęp do danych osobowych przetwarza dane wyłącznie na polecenie administratora, chyba że inaczej wynika z wymogów określonych w przepisach prawa (prawa krajowego lub prawa Unii Europejskiej).

Bezpośrednio przepis ten wyznacza obowiązek każdej osoby wewnątrz jednostki organizacyjnej –  niezależnie od rodzaju łączącego ją z administratorem stosunku prawnego – do wykonywania czynności na danych jedynie w zakresie poleceń administratora. Jednak wcześniej administrator musi ustalić, kto i w jakim zakresie pozostaje upoważniony do przetwarzania danych osobowych w jego jednostce organizacyjnej. Taki obowiązek ustalenia osób upoważnionych do przetwarzania danych osobowych wynika również z generalnej zasady integralności i poufności, zgodnie z którą przetwarzanie powinno się odbywać w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (art. 5 ust. 1 lit. f) RODO).

4.7 Rejestrowanie czynności przetwarzania

Obowiązek prowadzenia rejestru czynności określono w art. 30 RODO dla administratora (ust. 1) oraz dla podmiotu przetwarzającego (ust. 2). Celem prowadzenia rejestrów jest przede wszystkim:

1) w przypadku rejestru administratora – identyfikacja czynności przetwarzania, za które administrator jest odpowiedzialny, oraz opis podstawowych zagadnień dotyczących tych czynności w celu zapewnienia zgodności z RODO;

2) w przypadku rejestru podmiotu przetwarzającego – identyfikacja administratorów oraz czynności przetwarzania, w związku z którymi nastąpiło powierzenie przetwarzania danych osobowych, wraz z podstawowymi informacjami dotyczącymi tych czynności w celu zapewnienia zgodności z RODO.

Zgodnie z art. 30 ust. 5 RODO obowiązek jest wyłączony w stosunku do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że występuje przynajmniej jedna z trzech wymienionych sytuacji: 1) przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą; 2) przetwarzanie nie ma charakteru sporadycznego; 3) przetwarzanie obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

4.8 Zabezpieczenie danych osobowych

RODO wprowadza do ochrony danych osobowych dwie naczelne zasady: zasadę podejścia opartego na ryzyku (ang. risk-based approach) oraz zasadę rozliczalności. Zasada podejścia opartego na ryzyku zakłada, że im większe jest ryzyko związane z przetwarzaniem danych osobowych, tym większy powinien być zakres obowiązków ciążących na administratorze. Jednocześnie RODO nie zawiera (w przeciwieństwie do obecnych polskich przepisów o ochronie danych osobowych) wyliczenia konkretnych środków zabezpieczających dane osobowe, które powinny zostać zastosowane w danej sytuacji. Zasadę rozliczalności omówiono w podrozdziale 4.1.

Artykuł 32 ust. 1 RODO, dotyczący bezpieczeństwa przetwarzania, wskazuje wyłącznie na czynniki, które zarówno administrator, jak i podmiot przetwarzający powinien brać pod uwagę przy  doborze odpowiednich (adekwatnych do ryzyka) środków technicznych i organizacyjnych. Te czynniki to:

1. a) stan wiedzy technicznej;
2. b) koszt wdrożenia;
3. c) charakter, kontekst i cele przetwarzania;
4. d) ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

RODO zawiera w art. 32 ust. 1 listę przykładowych środków technicznych i organizacyjnych, jednak to do administratora lub podmiotu przetwarzającego zależy wybór środków, jakie zostaną zastosowane.

Administrator lub podmiot przetwarzający powinien dobierać środki adekwatnie do potrzeb wynikających z szacowania ryzyka.

Przykładowe środki to:

1. a) pseudonimizacja (przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – art. 4 pkt 5 RODO) i szyfrowanie danych osobowych;
2. b) zdolność do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
3. c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
4. d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

4.9 Obowiązki związane z naruszeniami ochrony danych

Rozporządzenie ogólne przewiduje również obowiązki administratora w przypadku naruszenia ochrony danych osobowych. Pod pojęciem „naruszenie ochrony danych” rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO).

Obowiązki administratora związane z naruszeniami można podzielić na trzy kategorie:

1) zgłaszanie przez administratora naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1–4 RODO);

2) dokumentowanie przez administratora naruszeń ochrony danych osobowych (art. 33 ust. 5 RODO);

3) zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 RODO).

Zgłaszanie przez administratora naruszenia ochrony danych osobowych organowi nadzorczemu

Artykuł 33 ust. 1 RODO przewiduje, że w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia – zgłasza je właściwemu organowi nadzorczemu. W przypadku dokonania zgłoszenia po upływie 72 godzin od stwierdzenia naruszenia administrator powinien załączyć wyjaśnienie przyczyn opóźnienia.

Zgłoszenie nie jest wymagane, jeżeli jest mało prawdopodobne, że naruszenie skutkowałoby naruszeniem praw lub wolności osób fizycznych, co oznacza, że obowiązek zgłaszania naruszeń nie ma charakteru bezwzględnego. Jednakże to na administratorze ciąży obowiązek oceny, czy doszło do naruszenia praw lub wolności osób fizycznych. Jako przykłady sytuacji, w których bez wątpienia dochodzi do takiego naruszenia, należy wymienić sytuacje, w których dochodzi do:

• utraty kontroli nad własnymi danymi,
• negatywnych konsekwencji wizerunkowych,
• negatywnego odbioru społecznego związanego z upublicznieniem danych osobowych.

Minimalne wymogi treści zgłoszenia naruszenia ochrony danych osobowych

Zgodnie z art. 33 ust. 3 RODO zgłoszenie naruszenia ochrony danych osobowych musi co najmniej:

• opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

W przypadku gdy nie jest możliwe udzielenie wszystkich wyżej wskazanych informacji w jednym zgłoszeniu, administrator może przekazywać te dane organowi nadzorczemu sukcesywnie bez zbędnej zwłoki (art. 33 ust. 4 RODO).

Dokumentowanie przez administratora naruszeń ochrony danych osobowych

Artykuł 33 ust. 5 RODO przewiduje obowiązek administratora dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym w szczególności okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Sporządzona dokumentacja musi umożliwić organowi nadzorczemu weryfikację przestrzegania obowiązków z art. 33 RODO.

W praktyce regulacja ta oznacza, że administrator powinien przewidzieć w ramach wewnętrznej procedury dotyczącej zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu procedurę rejestrowania naruszeń w rejestrze, który spełni określone wyżej wymagania.

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Kolejnym obowiązkiem nałożonym na administratora w związku z naruszeniem ochrony danych osobowych jest zawiadomienie osoby, której dane dotyczą. Zgodnie z art. 34 ust. 1 RODO, jeżeli naruszenie ochrony danych może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Konieczność zawiadomienia osoby, której dane dotyczą, aktualizuje się, jeżeli zostaną kumulatywnie spełnione dwie przesłanki: zaistnieje ryzyko naruszenia praw lub wolności oraz to ryzyko jest wysokie. Ogólne rozporządzenie nie precyzuje pojęcia „wysokie ryzyko”.

Wymogi co do treści zawiadomienia osoby, której dane dotyczą

Zawiadomienie skierowane do osoby, której dane dotyczą, powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych (art. 33 ust. 2 RODO). Zawiadomienie osoby, której dane dotyczą, musi co najmniej:

• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Wyłączenia co do zawiadamiania osoby, której dane dotyczą

Zawiadomienie osoby, której dane dotyczą, nie jest wymagane, jeżeli wystąpi co najmniej jeden z trzech wymienionych przypadków (art. 34 ust. 3 RODO):

• administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
• administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
• wymagałoby ono niewspółmiernie dużego wysiłku – w takim przypadku wydaje się publiczny komunikat lub stosuje się podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

W przypadku gdy administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy może (biorąc pod uwagę prawdopodobieństwo, że naruszenie spowoduje wysokie ryzyko naruszenia):

• zażądać zawiadomienia osoby, której dane dotyczą, lub
• stwierdzić, że został spełniony jeden z warunków wyłączających obowiązek zawiadomienia.

4.10 Ocena skutków dla ochrony danych i uprzednie konsultacje

Ogólne rozporządzenie znosi ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych, który był przewidziany w dyrektywie 95/46/WE. Na gruncie prawa polskiego oznacza to zniesienie obowiązku rejestracji zbiorów danych do organu nadzorczego. Jak wskazano w

motywie 89 RODO, obowiązek zawiadamiania o przetwarzaniu danych osobowych powodował obciążenia finansowe i administracyjne, a mimo to nie przyczyniał się w oczekiwanym zakresie do poprawy ochrony danych osobowych. W konsekwencji prawodawca unijny uznał, że ogólne obowiązki zawiadamiania należy zastąpić skutecznymi procedurami i mechanizmami, które będą się koncentrować na tych operacjach przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Przeprowadzanie oceny skutków dla ochrony danych jest jednym z elementów zarządzania ryzykiem związanym z przetwarzaniem danych.

Ocenę skutków należy podzielić na dwa etapy. W pierwszym etapie administrator dokonuje oceny, czy dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój zakres kontekst lub cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 RODO). Jeżeli odpowiedź jest twierdząca, administrator powinien przystąpić do drugiego etapu oceny skutków. Dokonując oceny skutków, administrator jest zobowiązany do podjęcia konsultacji z inspektorem ochrony danych, jeżeli został powołany. Zasady powoływania inspektora ochrony danych omówiono szerzej w podrozdziale 5.10.

Zakres czynności, które powinny się znaleźć w ocenie skutków, został określony w art. 35 ust. 7 RODO:

1. a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym – gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
2. b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
3. c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
4. d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

4.11 Inspektor ochrony danych

W RODO przewiduje się funkcję inspektora ochrony danych (IOD), która służy wspieraniu administratora (podmiotu przetwarzającego) w wykonywaniu jego obowiązków określonych w RODO.

Powyższą funkcję (zakres obowiązków) może wykonywać pracownik lub osoba świadcząca usługę na podstawie umowy cywilnoprawnej.

W RODO wskazuje się trzy sytuacje, w których wyznaczenie IOD jest obowiązkowe. W pozostałych sytuacjach wyznaczenie IOD pozostawiono uznaniu administratora lub podmiotu przetwarzającego .

W szczególności administrator lub podmiot przetwarzający musi to uczynić, gdy:

• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
• gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (określonych w art. 9 lub 10 RODO).

Zaistnienie dużej skali przetwarzania danych ustala się w oparciu o następujące kryteria:

• liczby osób, których dane dotyczą (jako konkretnej liczby, bądź jako proporcji odpowiedniej populacji);
• ilości danych lub zakresu różnych kategorii danych, jakie poddawane są przetwarzaniu;
• okresu czy trwałości czynności przetwarzania danych;
• geograficznego zakresu czynności przetwarzania.

Dalsze wyjaśnienie tych kryteriów znajduje się w wytycznych Grupy Roboczej Artykułu 29 dotyczących inspektorów ochrony danych (WP 243), przyjętych ostatecznie w dniu 5 kwietnia 2017 r.

Do zadań IOD należy:

1. a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie (art. 39 ust. 1 lit. a) RODO);
2. b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty (art. 39 ust. 1 lit. b) RODO);
3. c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO (art. 39 ust. 1 lit. c) RODO);
4. d) współpraca z organem nadzorczym (art. 39 ust. 1 lit. d) RODO);
5. e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (art. 39 ust. 1 lit. e) RODO);
6. f) pełnienie funkcji punktu kontaktowego wobec osób, których dane dotyczą (art. 38 ust. 4 RODO).

IOD może wykonywać również inne zadania i obowiązki, jednak administrator musi przestrzegać zasady, aby takie zadania i obowiązki nie powodowały konfliktu interesów. IOD wykonuje swoje zadania z uwzględnieniem ryzyka związanego z operacjami przetwarzania danych.

Przepisy RODO określają organizacyjne warunki pełnienia funkcji oraz wymogi kwalifikacyjne stawiane osobie wykonującej funkcję, o czym piszemy poniżej w części „Wykonanie obowiązku”.

1. Reforma ochrony danych osobowych w Unii Europejskiej i w Polsce – geneza, cele i podstawowe założenia
Zainicjowana wnioskiem Komisji Europejskiej z dnia 25 stycznia 2012 r. reforma ochrony danych osobowych w Unii Europejskiej całkowicie zmienia stan prawny w tym obszarze zarówno w Unii Europejskiej, jak i w każdym państwie członkowskim. Z dniem 25 maja 2018 r. dotychczasowe regulacje, w tym przede wszystkim ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wykonująca dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, zostaną zastąpione zupełnie nowym systemem prawnym, opierającym się na ściślejszej harmonizacji ochrony danych osobowych w Unii Europejskiej.
Komisja Europejska wskazała dwa główne cele reformy. Pierwszy to zapewnienie większej stabilności i pewności prawa o ochronie danych osobowych i jego stosowania. Ma to szczególne znaczenie dla przedsiębiorców prowadzących działalność na unijnym rynku wewnętrznym, gdyż przekłada się na zwiększenie ich konkurencyjności w globalnej gospodarce. Stworzony zostaje stan pewności prawa opartego na jednym akcie w miejsce mozaiki 27 krajowych regulacji prawnych. W założeniu ma nastąpić także uproszczenie środowiska regulacyjnego (spójne działanie organów ochrony danych osobowych) i przyjęcie jasnych reguł w międzynarodowym transferze danych. Drugim celem reformy jest zagwarantowanie wysokiego poziomu ochrony praw jednostek (osób, których dane dotyczą). Ten poziom praw osoby fizycznej ma zapewnić przede wszystkim rozszerzenie praw informacyjnych jednostek oraz uprawnień gwarantujących im większą kontrolę nad przetwarzaniem ich własnych danych osobowych.
Na pakiet normatywny reformujący ochronę danych osobowych w Unii Europejskiej składają się dwa akty prawne:
1) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz
2) dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (państwa członkowskie mają przyjąć i opublikować przepisy wykonujące dyrektywę do dnia 6 maja 2018 r., czyli wcześniej niż zaczyna obowiązywać RODO).
Rozporządzenie Parlamentu Europejskiego i Rady ma zasięg ogólny, wiąże w całości co do wszystkich zawartych w nim postanowień i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
2. Zakres zastosowania RODO
2.1 Pojęcie danych osobowych
Pojęcie danych osobowych ma kluczowe znaczenie w prawie ochrony danych osobowych. Termin „dane osobowe” zdefiniowano w art. 4 pkt 1 RODO w następujący sposób: informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Zakres pojęcia danych osobowych jest bardzo szeroki. Celem takiego ujęcia tego terminu jest zapewnienie osobom fizycznym jak najpełniejszej ochrony w związku z przetwarzaniem ich danych osobowych.
Można wyróżnić cztery elementy powyższej definicji:
• informacje;
• dotyczące;
• zidentyfikowanej lub możliwej do zidentyfikowania;
• osoby fizycznej.
Przez „informacje” rozumieć należy wszelkie stwierdzenia na temat osoby. Treść informacji może dotyczyć życia prywatnego sensu stricto danej osoby, a także wszelkich innych okoliczności, takich jak działalność zawodowa, zachowania ekonomiczne lub społeczne konkretnej osoby. Chodzi tu zarówno o informacje obiektywne (np. wiek, wzrost), jak i o informacje subiektywne (np. opinie na temat osoby fizycznej). Nie ma przy tym znaczenia, czy informacje te są prawdziwe. Informacje mogą być dostępne w jakiejkolwiek formie, w tym pisemnej (alfabetycznej, liczbowej), graficznej lub akustycznej.
Odnosząc się do określenia „dotyczące”, należy przyjąć, że konkretna informacja dotyczy danej osoby, jeżeli jest to informacja na temat tej osoby. Informacja może dotyczyć osoby fizycznej w szczególności ze względu na swoją treść, ale także ze względu na swój cel lub swój skutek.
Kryterium „zidentyfikowana lub możliwa do zidentyfikowania” dotyczy możliwości odróżnienia konkretnej osoby od innych osób w danej grupie. Osoba fizyczna jest zidentyfikowana, jeśli można ją odróżnić od wszystkich innych członków grupy. Natomiast osoba fizyczna „możliwa do zidentyfikowania” nie została jeszcze zidentyfikowana, jednak jej identyfikacja jest możliwa.
Najczęściej występującą informacją pozwalającą na bezpośrednią identyfikację osoby fizycznej jest jej imię i nazwisko. W definicji danych osobowych jako czynniki identyfikujące wskazane są także: numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Wyliczenie zawarte w definicji ma charakter przykładowy.
Ostatni element definicji – „osoba fizyczna” – wskazuje, że ochronę wynikającą z przepisów RODO stosuje się do osób fizycznych. Prawo do ochrony danych osobowych jest prawem uniwersalnym, tj. mającym zastosowanie do wszystkich ludzi, a nie tylko do – przykładowo – obywateli danego państwa.
Zgodnie z tą definicją ochrona wynikająca z przepisów o ochronie danych osobowych nie przysługuje osobom prawnym.
Rodzaje danych osobowych
Na podstawie RODO można wyróżnić trzy rodzaje danych osobowych:
• tzw. dane zwykłe,
• szczególne kategorie danych osobowych,
• dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Do ostatniej kategorii zalicza się – zgodnie z art. 10 RODO – dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.
Szczególne kategorie danych określono w art. 9 ust. 1 RODO. Są to: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Niektóre ze szczególnych kategorii danych zdefiniowano w art. 4 pkt 13–1 5 RODO:
• dane genetyczne oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
• dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
• dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.
Natomiast wszelkie inne dane osobowe określa się jako zwykłe dane osobowe. Innymi słowy, dane zwykłe są danymi osobowymi, które nie należą ani do szczególnych kategorii danych, ani nie dotyczą wyroków skazujących lub naruszeń prawa.
2.2 Przedmiotowy zakres stosowania RODO
Przedmiotowy zakres stosowania ogólnego rozporządzenia określono w art. 2 RODO. Zgodnie z art. 2 ust. 1 RODO ogólne rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Znaczenie dla określenia przedmiotowego zakresu stosowania RODO mają zatem definicje następujących pojęć: „przetwarzanie”, „dane osobowe” oraz „zbiór”.
Termin „przetwarzanie” zdefiniowano w art. 4 pkt 2 RODO jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Zakres pojęciowy przetwarzania jest zatem bardzo szeroki, a wyliczenie operacji w powyższej definicji ma charakter przykładowy.
Natomiast „zbiór danych” określono w art. 4 pkt 6 RODO w następujący sposób: uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Należy pamiętać, że pojęcie zbioru danych odnosi się tylko do ręcznego przetwarzania danych osobowych.
Na podstawie przepisu art. 2 ust. 1 RODO można wyróżnić dwa rodzaje operacji przetwarzania:
• przetwarzanie całkowicie lub częściowo zautomatyzowane, oraz
• przetwarzanie ręczne danych osobowych stanowiących część zbioru lub mających stanowić część zbioru.
Przetwarzanie całkowicie lub częściowo zautomatyzowane jest przetwarzaniem z wykorzystaniem technologii – w przeciwieństwie do przetwarzania ręcznego, którego dokonuje się bez użycia jakichkolwiek technologii. Pojęcia „zautomatyzowane przetwarzanie” nie zdefiniowano, ponieważ zgodnie z motywem 15 RODO ochrona danych osobowych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Typowym przetwarzaniem zautomatyzowanym będzie przetwarzanie danych z użyciem systemów informatycznych.
Przetwarzaniem ręcznym jest natomiast przetwarzanie danych wyłącznie w formie papierowej. Należy przy tym pamiętać, że prawo ochrony danych ma zastosowanie do przetwarzania ręcznego tylko wówczas, gdy przetwarzane dane znajdują się lub mają się znaleźć w zbiorze danych. Innymi słowy chodzi o takie dane osobowe, które są uporządkowane według określonych kryteriów.
2.3 Podmiotowy zakres stosowania RODO
Podmiotowy zakres stosowania RODO określono w art. 3 RODO. Zgodnie z art. 3 ust. 1 RODO ogólne rozporządzenie ma zastosowanie do przetwarzania danych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.
Znaczenie dla określenia podmiotowego zakresu stosowania RODO mają definicje pojęć: „przetwarzanie danych w związku z działalnością prowadzoną przez jednostkę organizacyjną”, „jednostka organizacyjna”, „administrator” oraz „podmiot przetwarzający”.
„Przetwarzanie danych w związku z działalnością prowadzoną przez jednostkę organizacyjną” nie oznacza, że przetwarzania musi dokonywać właśnie ta jednostka. Wystarczające jest, aby istniał związek pomiędzy czynnością przetwarzania danych a działalnością danej jednostki organizacyjnej znajdującej się na obszarze Unii Europejskiej.
„Jednostka organizacyjna” stanowi tłumaczenie angielskiego pojęcia „establishment”. Ogólne rozporządzenie nie zawiera definicji legalnej pojęcia „jednostka organizacyjna”. Pojęcia tego nie należy utożsamiać z prowadzeniem działalności gospodarczej, pojęciem siedziby, miejsca zamieszkania, oddziału lub przedstawicielstwa przedsiębiorcy. Jak wskazuje motyw 22 RODO, pojęcie „jednostka organizacyjna” zakłada skuteczne i faktyczne prowadzenie działalności gospodarczej poprzez stabilne struktury. Forma prawna takich struktur – niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobowość prawną – nie jest w tym względzie czynnikiem decydującym. W motywie tym podkreślono, że forma prawna jednostki organizacyjnej nie jest decydująca dla uznania, że dane przetwarzanie jest objęte zakresem podmiotowym stosowania RODO.
2.4 Rodzaje podmiotów obowiązane do ochrony danych osobowych (administrator, współadministrator, podmiot przetwarzający)
Ogólne rozporządzenie wyróżnia trzy kategorie podmiotów obowiązanych do ochrony danych osobowych: administrator, współadministrator oraz podmiot przetwarzający.
Zgodnie z art. 4 pkt 7 RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Dopuszczalne jest również określenie celów i sposobów przetwarzania w prawie Unii lub w prawie państwa członkowskiego. W takim przypadku administrator może zostać wyznaczony lub mogą zostać określone konkretne kryteria jego wyznaczania w prawie Unii lub w prawie państwa członkowskiego.
Definicja pojęcia „administrator” składa się z trzech elementów:
1) element podmiotowy, czyli adresat przepisu: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot;
2) sposób działania dopuszczający możliwość współdecydowania o przetwarzaniu danych osobowych: samodzielnie lub wspólnie ustala cele i sposoby przetwarzania;
3) zakres decyzyjny: ustala cele i sposoby przetwarzania.
Zakres podmiotowy pojęcia „administrator” jest szeroki. Administratorem może być osoba fizyczna, osoba prawna (np. spółka akcyjna lub spółka z ograniczoną odpowiedzialnością), organ publiczny, jednostka lub inny podmiot. W zakres tych dwóch ostatnich kategorii mogą wchodzić m.in. jednostki organizacyjne nieposiadające osobowości prawnej, takie jak spółka jawna, spółka partnerska, spółka komandytowa lub spółka komandytowo-akcyjna. Aby posiadać status administratora, podmiot nie musi przetwarzać danych osobowych samodzielnie, może dokonać zlecenia przetwarzania podmiotowi przetwarzającemu. O statusie administratora decyduje możliwość ustalania celów i sposobów przetwarzania.
„Współadministrator” jest podkategorią pojęcia „administrator”. „Współadministrator” to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Konstrukcję współadministratorów dopuszcza art. 26 ust. 1 RODO, zgodnie z którym: Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. Ogólne rozporządzenie w ramach współadministrowania nie narzuca sztywnych ram na ustalanie celów i sposobów przez współadministratorów. Współudział może polegać zarówno na ścisłej i skoordynowanej współpracy, jak i na częściowym współdziałaniu. Jeżeli strony ustalą, że w ramach prowadzonych przez nie działań dochodzi do współadministrowania, to powinny w sposób przejrzysty uzgodnić zakresy swojej odpowiedzialności dotyczącej wykonywania obowiązków z RODO. Uzgodnienia te powinny dotyczyć w szczególności wykonywania przez osobę, której dane dotyczą, jej praw, a także realizowania obowiązków współadministratorów co do spełniania obowiązków informacyjnych. Współadministratorzy mogą również utworzyć wspólny punkt kontaktowy dla podmiotów danych. Zgodnie z art. 4 pkt 8 RODO „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Tak jak w przypadku pojęcia „administrator” definicja ta obejmuje szeroki zakres podmiotów.
W przeciwieństwie do poprzednich regulacji prawnych, w RODO podmiot przetwarzający (zwany również procesorem) jest bezpośrednim adresatem wielu norm – zarówno tych określających obowiązki, jak i tych regulujących sankcje za naruszenie przepisów o ochronie danych osobowych.
Zgodnie z art. 28 ust. 1 RODO administrator odpowiada za poprawność wyboru podmiotu powierzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych spełniających wymogi RODO oraz chroniących prawa podmiotów danych. Na podstawie art. 28 ust. 3 lit. a) RODO podmiot przetwarzający może działać wyłącznie na udokumentowane polecenie administratora. Działanie podmiotu powierzającego w imieniu administratora oznacza również, że jest on związany celami i sposobami przetwarzania wyznaczonymi przez administratora.

3. Podstawowe zasady ochrony danych osobowych
3.1 Zasady dotyczące przetwarzania danych osobowych (art. 5 RODO)
Wszystkie czynności przetwarzania danych powinny być zgodne z podstawowymi zasadami dotyczącymi przetwarzania danych osobowych, wskazanymi w art. 5 RODO. Są to:
• zasada zgodności z prawem, rzetelności i przejrzystości;
• zasada ograniczenia celu;
• zasada minimalizacji danych;
• zasada prawidłowości danych;
• zasada ograniczenia przechowywania;
• zasada integralności i poufności;
• zasada rozliczalności.
Zasada zgodności z prawem, rzetelności i przejrzystości
Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Zgodność z prawem przetwarzania oznacza, że podstawą prawną przetwarzania jest jedna z przesłanek wymienionych w art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO, a także, że przetwarzanie jest zgodne z innymi przepisami o ochronie danych osobowych. Rzetelność przetwarzania interpretuje się jako jego ogólną uczciwość oraz proporcjonalność ingerencji w prywatność związaną z przetwarzaniem danych osobowych. Aby natomiast zachować zasadę przejrzystości, należy przekazywać osobom, których dane dotyczą, zrozumiałe i kompletne informacje na temat przetwarzania ich danych osobowych. Dodatkowe wymogi dotyczące zasady przejrzystości sformułowano w art. 12 RODO. Zgodnie z tym przepisem wszelkie informacje i komunikaty przekazywane osobom, których dane dotyczą, powinny być łatwo dostępne i zrozumiałe oraz napisane jasnym i prostym językiem. Celem tej zasady jest zapewnienie, aby osoby, których dane dotyczą, miały pełną wiedzę na temat operacji przetwarzania, w tym konsekwencji przetwarzania ich danych oraz przysługujących im praw związanych z przetwarzaniem danych osobowych.
Zasada ograniczenia celu
Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Zasada ograniczenia celu wymusza, po pierwsze, wskazanie określonego, zgodnego z prawem celu przetwarzania w momencie zbierania danych. Po drugie, zgodnie z tą zasadą zabronione jest przetwarzanie w innym celu, chyba że: (i) dalsze przetwarzanie odbywa się na podstawie przepisów prawa unijnego lub prawa krajowego, (ii) administrator uzyskał zgodę osoby, której dane dotyczą, na dalsze przetwarzanie, lub (iii) taki wtórny cel przetwarzania nie jest niezgodny z celem pierwotnym.
Zgodność wtórnego celu przetwarzania z celem pierwotnym ocenia się m.in. na podstawie kryteriów wskazanych w art. 6 ust. 4 RODO, takich jak wszelkie związki między celami, kontekst, w którym zebrano dane osobowe, charakter danych osobowych, a także ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą. Na mocy art. 5 ust. 1 lit. b) RODO dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uważane za niezgodne z pierwotnym celem przetwarzania.
Zasada minimalizacji danych
Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Zgodnie z tą zasadą administrator danych może zbierać tylko takie dane osobowe, które są mu konieczne do osiągnięcia celu ich zebrania. Zakazane jest zatem zbieranie danych niepotrzebnych w konkretnym celu, czy też zbieranie danych „na zapas”. Zasada ta powiązana jest z zasadą ograniczenia celu, ponieważ to cel przetwarzania determinuje zakres danych potrzebnych do osiągnięcia tego celu.
Zasada prawidłowości danych
Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane.
Powyższa zasada odnosi się do poprawności danych i ich zgodności z prawdą. Zgodnie z zasadą prawidłowości danych, jakiekolwiek nieprawidłowe (niepoprawne, nieprawdziwe) dane osobowe powinny być jak najszybciej usunięte lub poprawione.
Zasada ograniczenia przechowywania
Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Zgodnie z zasadą ograniczenia przechowywania, przetwarzanie danych osobowych jest dopuszczalne tylko tak długo, jak jest to konieczne do osiągnięcia celów przetwarzania danych. Zakazane jest bowiem przechowywanie danych osobowych w nieskończoność. W konsekwencji administratorzy muszą ustalić okresy przechowywania danych lub – gdy ustalenie z góry okresu przechowywania nie jest możliwe – kryteria ustalania takich okresów.
Na podstawie art. 5 ust. 1 lit. e) RODO dopuszczalne jest przechowywanie danych osobowych po osiągnięciu (pierwotnych) celów przetwarzania, pod warunkiem że dane będą przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Przetwarzanie danych w tych celach po upływie pierwotnego okresu przetwarzania wymaga jednak wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony praw i wolności osób, których dane dotyczą.
Zasada integralności i poufności
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Powyższa zasada nakłada na podmioty przetwarzające dane osobowe obowiązek odpowiedniego zabezpieczenia danych osobowych, tak aby zachowane zostały właściwości integralności i poufności danych.
Zasada rozliczalności
Zgodnie z zasadą rozliczalności administrator danych jest odpowiedzialny za przestrzeganie zasad przetwarzania danych oraz musi być w stanie wykazać ich przestrzeganie. Konieczne jest zatem wdrożenie odpowiednich wewnętrznych procedur w celu spełniania wymogów RODO oraz stworzenie dokumentacji, dzięki której można wykazać (udowodnić) spełnianie tych wymogów.
3.2 Podstawy prawne przetwarzania danych osobowych
Zgodnie z zasadą zgodności z prawem przetwarzanie danych osobowych musi być oparte o podstawę prawną wskazaną w RODO. W zależności od rodzaju danych osobowych zastosowanie mogą mieć różne przesłanki legalizujące przetwarzanie: inne podstawy przetwarzania mają zastosowanie do szczególnych kategorii danych, a inne – do tzw. danych zwykłych oraz danych dotyczących wyroków skazujących i naruszeń prawa (rodzaje danych osobowych omówiono w podrozdziale 2.1).
Poniżej wymienione są wszystkie możliwe podstawy prawne przetwarzania danych osobowych.
Tzw. dane zwykłe
Podstawy prawne przetwarzania tzw. danych zwykłych uregulowano w art. 6 ust. 1 RODO. Zgodnie z tym przepisem przetwarzanie danych jest legalne, jeżeli spełniony jest co najmniej jeden z poniższych warunków:
1) Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
Zgoda taka musi być dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (zgodnie z definicją zgody zawartą w art. 4 pkt 11 RODO).
2) Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
W tym kontekście należy zwrócić szczególną uwagę na kryterium niezbędności danych do zawarcia lub wykonania umowy – pojęcie to powinno być interpretowane wąsko. Jeżeli zatem jakaś informacja nie jest potrzebna do zawarcia lub wykonywania umowy, podstawą jej przetwarzania nie może być powyższa przesłanka.
3) Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
W tym przypadku podstawa prawna przetwarzania musi być określona w prawie unijnym lub w prawie krajowym, a cel przetwarzania powinien wynikać z tych przepisów.
4) Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
5) Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
W tym przypadku podstawa prawna przetwarzania musi być określona w prawie unijnym lub w prawie krajowym, a celem przetwarzania powinno być wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.
6) Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Jeżeli przetwarzanie danych ma być oparte o powyższą przesłankę, konieczne jest przeprowadzenie tzw. testu równowagi, czyli analizy, czy w danej sytuacji interes administratora w przetwarzaniu danych jest nadrzędny wobec interesów, praw i wolności osoby fizycznej.
Szczególne kategorie danych
Przetwarzanie szczególnych kategorii danych (np. danych o stanie zdrowia, danych ujawniających pochodzenie etniczne lub poglądy religijne) jest co do zasady zabronione.
Na zasadzie wyjątku od ogólnego zakazu przetwarzanie szczególnych kategorii danych dozwolone jest w następujących przypadkach:
1) Osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach.
2) Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem unijnym bądź krajowym lub porozumieniem zbiorowym na mocy prawa krajowego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.
3) Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.
4) Przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.
5) Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.
6) Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.
7) Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa unijnego lub krajowego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
8) Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa unijnego lub krajowego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem dodatkowych warunków i zabezpieczeń.
9) Przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa unijnego lub krajowego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
10) Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie prawa unijnego lub krajowego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
4. Szczegółowe obowiązki administratora
4.1 Zastrzeżenie dotyczące możliwości ograniczenia obowiązków administratora związanych z uprawnieniami osób, których dane dotyczą, w prawie krajowym
Artykuł 23 RODO wprowadza możliwość ograniczenia w prawie państw członkowskich lub Unii Europejskiej zakresu niektórych obowiązków i praw przewidzianych w RODO.
Zgodnie z art. 23 ust. 1 RODO prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 (prawa osób, których dane dotyczą) i w art. 34 (zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych), a także w art. 5 RODO (zasady dotyczące przetwarzania danych osobowych) – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 RODO – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:
a) bezpieczeństwu narodowemu;
b) obronie;
c) bezpieczeństwu publicznemu;
d) zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
e) innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;
f) ochronie niezależności sądów i postępowania sądowego;
g) zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;
h) funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa w lit. a)–e) oraz g);
i) ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
j) egzekucji roszczeń cywilnoprawnych.
Chociaż art. 23 ust. 1 RODO dopuszcza możliwość ograniczenia określonych obowiązków i praw w drodze krajowych przepisów prawnych, to jednocześnie art. 23 ust. 2 RODO stawia podstawie prawnej
takich ograniczeń szereg wymagań. Stosownie do tego przepisu podstawa prawna wprowadzająca ograniczenia praw i obowiązków, o których mowa w art. 23 ust. 1 RODO, musi zawierać szczegółowe przepisy przynajmniej – w stosownym przypadku – o:
a) celach przetwarzania lub kategorii przetwarzania;
b) kategoriach danych osobowych;
c) zakresie wprowadzonych ograniczeń;
d) zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;
e) określeniu administratora lub kategorii administratorów;
f) okresach przechowywania oraz mających zastosowanie zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;
g) ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; oraz
h) prawie osób, której dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.
4.2 Obowiązki informacyjne
Jednym z głównych obowiązków administratora danych na podstawie RODO jest przekazanie osobom, których dane dotyczą, informacji na temat przetwarzania ich danych osobowych.
Na podstawie art. 13 i 14 RODO można wyróżnić dwie sytuacje spełniania obowiązku informacyjnego:
• kiedy dane zbierane są bezpośrednio od osoby, której dane dotyczą (tę sytuację reguluje art.
13 RODO), oraz
• kiedy dane zbierane są od podmiotu trzeciego (tę sytuację reguluje art. 14 RODO).
W zależności od sposobu zbierania danych (bezpośrednio czy niebezpośrednio) różnią się:
• zakres informacji, które należy przekazać osobie, której dane dotyczą;
• moment przekazania informacji; oraz
• okoliczności wyłączające obowiązek informacyjny.
Jeśli chodzi o moment spełnienia obowiązku informacyjnego, w sytuacji gdy dane zbierane są bezpośrednio od osoby, której dane dotyczą, administrator musi jej przekazać informacje dotyczące przetwarzania danych w momencie zbierania danych. Natomiast jeżeli dane zbierane są od osoby trzeciej, wówczas zgodnie z art. 14 ust. 3 RODO obowiązek informacyjny powinien być spełniony w rozsądnym terminie po pozyskaniu danych osobowych, biorąc pod uwagę konkretne okoliczności przetwarzania danych osobowych, ale nie później niż w ciągu miesiąca od uzyskania danych. Jeżeli dane osobowe mają być wykorzystane do komunikacji z osobą, której dane dotyczą, wówczas obowiązek informacyjny należy spełnić przy pierwszej komunikacji z osobą, której dane dotyczą, nawet jeżeli nie upłynął jeszcze miesiąc od uzyskania danych. Podobnie jeżeli administrator planuje ujawnić dane osobowe innemu odbiorcy, obowiązek informacyjny powinien być spełniony najpóźniej przy pierwszym ujawnieniu danych, nawet jeżeli nie upłynął jeszcze miesiąc od uzyskania danych.
W przypadku gdy administrator zbiera dane bezpośrednio od osoby, której dane dotyczą, obowiązek informacyjny jest wyłączony tylko w jednej sytuacji – jeżeli osoba ta już dysponuje wszystkimi informacjami, które mają być jej przekazane na mocy art. 13 ust. 1–2 RODO.
Natomiast art. 14 ust. 5 RODO – dotyczący zbierania danych od podmiotu trzeciego – przewiduje cztery sytuacje, w których spełnienie obowiązku informacyjnego nie jest wymagane:
• osoba, której dane dotyczą, dysponuje już informacjami wymienionymi w art. 14 ust. 1–2 RODO;
• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
• pozyskiwanie lub ujawnianie danych osobowych jest wyraźnie uregulowane prawem unijnym lub krajowym przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie unijnym lub krajowym, w tym ustawowym obowiązkiem zachowania tajemnicy.
4.3 Obowiązki związane z realizacją uprawnień osób, których dane dotyczą
Rodzaje uprawnień osób, których dane dotyczą
Oprócz prawa do informacji, które zostało omówione powyżej, osobie, której dane dotyczą, przysługują uprawnienia, o których mowa w art. 15–22 RODO. Należą do nich:
• prawo dostępu, w tym prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu (art. 15 RODO);
• prawo do sprostowania lub uzupełnienia danych (art. 16 RODO);
• prawo do usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO);
• prawo do ograniczenia przetwarzania (art. 18 RODO);
• obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO);
• prawo do przenoszenia danych (art. 20 RODO);
• prawo do sprzeciwu (art. 21 RODO)
• prawo do niepodlegania zautomatyzowanej decyzji, w tym profilowaniu (art. 22 RODO).
Powyższe uprawnienia rodzą po stronie administratora określone obowiązki, w tym generalny obowiązek ułatwienia osobie, której dane dotyczą, wykonania przysługujących jej na mocy art. 15–22 RODO praw.
Tryb realizacji uprawnień
RODO określa nie tylko rodzaje uprawnień przysługujących osobom, których dane dotyczą, lecz również tryb, w jakim administrator powinien je realizować. Artykuł 12 RODO wskazuje, w jaki sposób administrator powinien prowadzić komunikację z podmiotami danych, oraz wprowadza terminy, w jakich administrator zobowiązany jest do podjęcia działań w odpowiedzi na żądanie podmiotu danych dotyczące przyznanych mu praw.
Komunikacja z osobą, której dane dotyczą
Przede wszystkim administrator, komunikując się z osobą, której dane dotyczą, w zakresie przysługujących jej na mocy art. 15–22 RODO uprawnień, powinien udzielać jej niezbędnych informacji w zwięzłej, przejrzystej i łatwo zrozumiałej formie. Powinien używać jasnego i prostego języka oraz unikać skomplikowanych struktur językowych, tak aby dla osoby, której dane dotyczą, jasny był sens kierowanego do niej komunikatu.
Administrator może udzielić informacji osobie, której dane dotyczą, na piśmie lub w inny sposób, w tym elektronicznie. Na wyraźne żądanie osoby, której dane dotyczą, administrator może udzielić jej informacji ustnie, pod warunkiem że potwierdzi jej tożsamość w inny sposób (tj. nie ustnie). Co do zasady jeżeli osoba, której dane dotyczą, zgłasza swoje żądanie na podstawie art. 15–22 RODO elektronicznie, to administrator powinien udzielić jej odpowiedzi w tej samej formie, chyba że osoba ta zażąda innej formy.
Terminy odpowiedzi na żądania osób, których dane dotyczą
W odpowiedzi na żądanie osoby, której dane dotyczą, administrator powinien bez zbędnej zwłoki – nie później jednak niż w terminie jednego miesiąca od otrzymania żądania – udzielić jej informacji o działaniach podjętych w związku z tym żądaniem.
Administrator powinien zatem w terminie jednego miesiąca dokonać oceny zasadności żądania i je zrealizować (np. dokonać sprostowania danych) lub odmówić realizacji.
Ze względu na skomplikowany charakter żądania lub liczbę żądań, jednomiesięczny termin można wydłużyć o dodatkowe dwa miesiące. Administrator ma zatem maksymalnie trzy miesiące na udzielenie odpowiedzi na żądanie podmiotu danych.
Powinien on jednak poinformować osobę, której dane dotyczą, o przedłużeniu terminu i jego przyczynach w ciągu jednego miesiąca od otrzymania żądania.
Jeżeli w związku z żądaniem osoby, której dane dotyczą, administrator nie podejmuje żadnych działań, to zobowiązany jest do niezwłocznego (najpóźniej w terminie jednego miesiąca od otrzymania żądania) poinformowania osoby, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
Weryfikacja tożsamości osoby zgłaszającej żądanie
Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej, która zgłasza żądanie na podstawie art. 15–22 RODO, może zażądać od niej dodatkowych informacji niezbędnych do potwierdzenia jej tożsamości.
Możliwość pobierania opłat
Co do zasady komunikacja i działania podejmowane na podstawie art. 15–22 RODO przez administratora są wolne od opłat. Od tej zasady RODO przewiduje dwa wyjątki. Jeżeli żądania osoby, której dane dotyczą, są (i) ewidentnie nieuzasadnione lub (ii) nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:
• pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
• odmówić podjęcia działań w związku z żądaniem.
Ciężar wykazania, że zgłoszone żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.
Jeżeli administrator zdecydował się odmówić podjęcia działań objętych treścią żądania, powinien wskazać przyczyny takiej decyzji i poinformować o nich osobę, która zgłosiła żądanie.
Odmowa realizacji żądania osoby, której dane dotyczą
Administrator może odmówić podjęcia działań w odpowiedzi na żądanie osoby, której dane dotyczą, w dwóch przypadkach:
1) jeśli mają one ewidentnie nieuzasadniony lub nadmierny charakter; lub
2) jeżeli administrator dokonuje przetwarzania niewymagającego identyfikacji i wykaże, iż nie jest w stanie zidentyfikować występującej z takim żądaniem osoby.
4.4 Zakres obowiązków związanych z realizacją praw osób, których dane dotyczą
Prawo dostępu do danych osobowych (art. 15 RODO)
Zgodnie z art. 15 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do tych danych oraz następujących informacji:
a) cele przetwarzania;
b) kategorie odnośnych danych osobowych;
c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
d) w miarę możliwości – planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe – kryteria ustalania tego okresu;
e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
f) informacje o prawie wniesienia skargi do organu nadzorczego;
g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
i) jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej – informacje o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, związanych z przekazaniem.
Elementem prawa dostępu jest także również prawo do uzyskania od administratora kopii danych osobowych podlegających przetwarzaniu. Co do zasady realizacja prawa do uzyskania kopii danych osobowych nie powinna wiązać się z koniecznością ponoszenia opłat przez osobę, której dane dotyczą.
Niemniej jednak administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych za wszelkie kolejne kopie, o które zwróci się podmiot danych. Realizując prawo dostępu do danych osobowych, osoba, której dane dotyczą, może uzyskać kopię danych osobowych we wskazanym przez siebie formacie. Jeżeli jednak zwróci się ona o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, administrator udziela informacji powszechnie stosowaną drogą elektroniczną.
Prawo do uzyskania kopii nie może jednak niekorzystnie wpływać na prawa i wolności innych.
Prawo do sprostowania lub uzupełnienia danych (art. 16 RODO)
Zgodnie z art. 16 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
Przepis ten przyznaje zatem osobie, której dane dotyczą, dwa typy uprawnień:
1) uprawnienie do sprostowania nieprawidłowych danych osobowych,
2) uprawnienie do uzupełnienia niekompletnych danych osobowych.
Związany z omawianym uprawnieniem obowiązek administratora nie ma charakteru bezwzględnego – administrator w określonych sytuacjach może odmówić sprostowania danych. Dla przykładu: stosownie do art. 11 ust. 2 RODO administrator nie musi realizować żądania sprostowania, jeżeli może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, a która zgłasza żądanie. W takiej sytuacji art. 16 RODO nie znajdzie zastosowania, chyba że osoba, której dane dotyczą, w celu wykonania przysługującego jej prawa dostarczy dodatkowe informacje, które pozwolą ją zidentyfikować.
Prawo do usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO)
Artykuł 17 RODO przyznaje osobie, której dane dotyczą, prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, tzw. prawo do bycia zapomnianym. Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe objęte żądaniem, jeżeli:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane, lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi na mocy art. 21 ust. 1 RODO sprzeciw wobec przetwarzania danych osobowych jej dotyczących i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub wnosi na mocy art. 21 ust. 2 RODO sprzeciw wobec przetwarzania danych osobowych jej dotyczących na potrzeby marketingu bezpośredniego;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w przepisach prawa, którym podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

Jeżeli administrator upublicznił dane osobowe (np. opublikował je na ogólnodostępnej stronie internetowej), a na mocy art. 17 RODO ma obowiązek je usunąć, to zobowiązany jest do podjęcia rozsądnych działań, aby poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Obowiązek powiadomienia dotyczy przy tym nie tylko osób trzecich, którym dane zostały ujawnione przez administratora, ale także administratorów, którzy uzyskali dane w inny sposób (tj. z innego źródła niż administrator, na którym spoczywa obowiązek przekazania informacji).
Zgodnie z art. 17 ust. 3 RODO powyższe obowiązki są wyłączone w zakresie, w jakim przetwarzanie jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji;
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy przepisów prawa, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h)–i) oraz art. 9 ust. 3 RODO;
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
e) do ustalenia, dochodzenia lub obrony roszczeń.
Prawo do ograniczenia przetwarzania (art. 18 RODO)
Na mocy art. 18 RODO osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania, jeżeli:
a) kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Zgodnie z art. 4 pkt 3 RODO przez ograniczenie przetwarzania należy rozumieć oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania. Sprowadza się to do tego, że jeżeli przetwarzanie zostało ograniczone, to administrator nie może dokonywać na danych innych operacji niż przechowywanie.
Dane osobowe mogą być w takim przypadku przetwarzane wyłącznie:
• za zgodą osoby, której dane dotyczą, lub
• w celu ustalenia, dochodzenia lub obrony roszczeń, lub
• w celu ochrony praw innej osoby fizycznej lub prawnej, lub
• z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.
W przypadku ograniczenia przetwarzania dane osobowe nie mogą być przetwarzane w celu, dla którego zostały zebrane. Przed uchyleniem ograniczenia przetwarzania administrator zobowiązany jest do poinformowania o tym osobę, która zgłosiła żądanie ograniczenia przetwarzania.
Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO)
Na mocy art. 19 RODO jeżeli administrator dokona, na żądanie osoby, której dane dotyczą:
• sprostowania nieprawidłowych danych osobowych,
• uzupełnienia niekompletnych danych osobowych,
• usunięcia danych osobowych lub
• ograniczenia przetwarzania danych osobowych,
zobowiązany jest do poinformowania każdego odbiorcy, któremu ujawniono dane osobowe, o dokonanej zmianie. Przez odbiorcę danych rozumie się przy tym osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią (w tym podmiotem przetwarzającym lub innym administratorem, któremu udostępniono dane osobowe). Odbiorcami danych nie są natomiast organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania na mocy przepisów prawa (np. sąd).
Obowiązek ten skorelowany jest z innym obowiązkiem administratora, wyrażonym w art. 5 ust. 1 lit. d) RODO, tj. zapewnieniem prawidłowości przetwarzanych danych osobowych, w tym również w zakresie, w jakim dane te zostały ujawnione odbiorcom. Stąd jeżeli treść lub zakres danych osobowych przetwarzanych przez administratora ulega zmianie, powinien o tym wiedzieć również odbiorca tych danych osobowych.
Obowiązek ten nie znajdzie jednak zastosowania, jeżeli powiadomienie okaże się niemożliwe lub będzie wymagać od administratora niewspółmiernie dużego wysiłku. Niemniej warto pamiętać, że ciężar wykazania, iż powiadomienie odbiorców jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku, obciąża administratora.
Jednocześnie administrator zobowiązany jest również do poinformowania osoby, której dane dotyczą, o tych odbiorcach, jeżeli osoba ta tego zażąda.
Prawo do przenoszenia danych (art. 20 RODO)
Artykuł 20 RODO przyznaje osobie, której dane dotyczą, prawo do otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe.
Prawo to znajduje zastosowanie, wyłącznie jeżeli:
a) przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy oraz
b) przetwarzanie odbywa się w sposób zautomatyzowany.
Wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Prawo do przenoszenia danych nie może jednocześnie niekorzystnie wpływać na prawa i wolności innych osób. Wykonanie prawa do przenoszenia danych pozostaje bez uszczerbku dla prawa do usunięcia danych, o którym mowa w art. 17 RODO.
Prawo do przenoszenia danych nie znajdzie zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Prawo do sprzeciwu (art. 21 RODO)
Artykuł 21 RODO przyznaje osobie, której dane dotyczą, uprawnienie do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych. Osoba, której dane dotyczą, może wnieść sprzeciw:
1) wobec przetwarzania danych osobowych, w tym profilowania, którego podstawą prawną jest:
a) niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź
b) niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z przyczyn związanych z jej szczególną sytuacją. W razie wniesienia sprzeciwu administrator nie może już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
2) wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego, w tym profilowania, w dowolnym momencie, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania danych osobowych do celów marketingu bezpośredniego, administrator nie może ich dalej przetwarzać do takich celów.
3) wobec przetwarzania danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z przyczyn związanych z jej szczególną sytuacją, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.
Skorzystanie przez osobę, której dane dotyczą, z prawa do sprzeciwu co do zasady uniemożliwia przetwarzanie danych o osobie, której dane dotyczą.
W przypadku sprzeciwu wobec przetwarzania danych osobowych do celów marketingu bezpośredniego, w tym związanego z nim profilowania, administrator zobowiązany jest bezwzględnie do zaprzestania przetwarzania danych objętych sprzeciwem w celach marketingowych (art. 21 ust. 2 RODO). W pozostałych sytuacjach administrator może wykazać istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, które są nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń (art. 21 ust. 1 RODO) – dochodzi zatem do ważenia podstaw do przetwarzania, na które powołuje się administrator, z interesami, prawami i wolnościami osoby, której dane dotyczą.
Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, administrator wyraźnie informuje się ją o prawie do sprzeciwu, oraz przedstawia je jasno i odrębnie od wszelkich innych informacji.
Osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.
Prawo do niepodlegania zautomatyzowanej decyzji, w tym profilowaniu (art. 22 RODO)
Stosownie do art. 22 RODO osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji,
która:
• opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, oraz
• wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
Uprawnienie to nie znajdzie zastosowania, jeżeli ta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
W przypadku gdy decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem lub gdy opiera się ona na wyraźnej zgodzie osoby, której dane dotyczą, administrator zobowiązany jest do wdrożenia właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej
decyzji.
W przypadku szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, RODO przewiduje generalny zakaz podejmowania zautomatyzowanych decyzji w oparciu o takie dane.
Niemniej jednak dozwolone jest zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach w oparciu o szczególne kategorie danych, pod warunkiem że istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a przetwarzanie takich danych odbywa się na podstawie art. 9 ust. 1 lit. a) RODO (wyraźna zgoda osoby, której dane dotyczą) lub art. 9 ust. 2 lit. g) RODO (przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym).
4.5 Powierzenie przetwarzania danych osobowych
Powierzenie przetwarzania danych ma miejsce, jeżeli administrator zleca przetwarzanie danych w swoim imieniu innemu podmiotowi – tzw. podmiotowi przetwarzającemu (zwanemu też procesorem).
Jeżeli administrator ma zamiar powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu, zgodnie z art. 28 RODO musi podjąć dwa rodzaje działań:
• W pierwszej kolejności administrator powinien zweryfikować, czy podmiot, któremu ma zamiar powierzyć przetwarzanie danych, zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
• W przypadku pozytywnej weryfikacji administrator musi zawrzeć z podmiotem przetwarzającym umowę powierzenia przetwarzania. Umowa ta powinna zawierać wszystkie elementy określone w art. 28 ust. 3 RODO (omówione poniżej).
RODO nie zawiera żadnych przepisów wyłączających powyższe obowiązki.
4.6 Przetwarzanie danych na polecenie administratora
W art. 29 RODO przewiduje się, że każda osoba działająca z upoważnienia administratora i mająca dostęp do danych osobowych przetwarza dane wyłącznie na polecenie administratora, chyba że inaczej wynika z wymogów określonych w przepisach prawa (prawa krajowego lub prawa Unii Europejskiej).
Bezpośrednio przepis ten wyznacza obowiązek każdej osoby wewnątrz jednostki organizacyjnej – niezależnie od rodzaju łączącego ją z administratorem stosunku prawnego – do wykonywania czynności na danych jedynie w zakresie poleceń administratora. Jednak wcześniej administrator musi ustalić, kto i w jakim zakresie pozostaje upoważniony do przetwarzania danych osobowych w jego jednostce organizacyjnej. Taki obowiązek ustalenia osób upoważnionych do przetwarzania danych osobowych wynika również z generalnej zasady integralności i poufności, zgodnie z którą przetwarzanie powinno się odbywać w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (art. 5 ust. 1 lit. f) RODO).
4.7 Rejestrowanie czynności przetwarzania
Obowiązek prowadzenia rejestru czynności określono w art. 30 RODO dla administratora (ust. 1) oraz dla podmiotu przetwarzającego (ust. 2). Celem prowadzenia rejestrów jest przede wszystkim:
1) w przypadku rejestru administratora – identyfikacja czynności przetwarzania, za które administrator jest odpowiedzialny, oraz opis podstawowych zagadnień dotyczących tych czynności w celu zapewnienia zgodności z RODO;
2) w przypadku rejestru podmiotu przetwarzającego – identyfikacja administratorów oraz czynności przetwarzania, w związku z którymi nastąpiło powierzenie przetwarzania danych osobowych, wraz z podstawowymi informacjami dotyczącymi tych czynności w celu zapewnienia zgodności z RODO.
Zgodnie z art. 30 ust. 5 RODO obowiązek jest wyłączony w stosunku do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że występuje przynajmniej jedna z trzech wymienionych sytuacji: 1) przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą; 2) przetwarzanie nie ma charakteru sporadycznego; 3) przetwarzanie obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
4.8 Zabezpieczenie danych osobowych
RODO wprowadza do ochrony danych osobowych dwie naczelne zasady: zasadę podejścia opartego na ryzyku (ang. risk-based approach) oraz zasadę rozliczalności. Zasada podejścia opartego na ryzyku zakłada, że im większe jest ryzyko związane z przetwarzaniem danych osobowych, tym większy powinien być zakres obowiązków ciążących na administratorze. Jednocześnie RODO nie zawiera (w przeciwieństwie do obecnych polskich przepisów o ochronie danych osobowych) wyliczenia konkretnych środków zabezpieczających dane osobowe, które powinny zostać zastosowane w danej sytuacji. Zasadę rozliczalności omówiono w podrozdziale 4.1.
Artykuł 32 ust. 1 RODO, dotyczący bezpieczeństwa przetwarzania, wskazuje wyłącznie na czynniki, które zarówno administrator, jak i podmiot przetwarzający powinien brać pod uwagę przy doborze odpowiednich (adekwatnych do ryzyka) środków technicznych i organizacyjnych. Te czynniki to:
a) stan wiedzy technicznej;
b) koszt wdrożenia;
c) charakter, kontekst i cele przetwarzania;
d) ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
RODO zawiera w art. 32 ust. 1 listę przykładowych środków technicznych i organizacyjnych, jednak to do administratora lub podmiotu przetwarzającego zależy wybór środków, jakie zostaną zastosowane.
Administrator lub podmiot przetwarzający powinien dobierać środki adekwatnie do potrzeb wynikających z szacowania ryzyka.
Przykładowe środki to:
a) pseudonimizacja (przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – art. 4 pkt 5 RODO) i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
4.9 Obowiązki związane z naruszeniami ochrony danych
Rozporządzenie ogólne przewiduje również obowiązki administratora w przypadku naruszenia ochrony danych osobowych. Pod pojęciem „naruszenie ochrony danych” rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO).
Obowiązki administratora związane z naruszeniami można podzielić na trzy kategorie:
1) zgłaszanie przez administratora naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1–4 RODO);
2) dokumentowanie przez administratora naruszeń ochrony danych osobowych (art. 33 ust. 5 RODO);
3) zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 RODO).
Zgłaszanie przez administratora naruszenia ochrony danych osobowych organowi nadzorczemu
Artykuł 33 ust. 1 RODO przewiduje, że w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia – zgłasza je właściwemu organowi nadzorczemu. W przypadku dokonania zgłoszenia po upływie 72 godzin od stwierdzenia naruszenia administrator powinien załączyć wyjaśnienie przyczyn opóźnienia.
Zgłoszenie nie jest wymagane, jeżeli jest mało prawdopodobne, że naruszenie skutkowałoby naruszeniem praw lub wolności osób fizycznych, co oznacza, że obowiązek zgłaszania naruszeń nie ma charakteru bezwzględnego. Jednakże to na administratorze ciąży obowiązek oceny, czy doszło do naruszenia praw lub wolności osób fizycznych. Jako przykłady sytuacji, w których bez wątpienia dochodzi do takiego naruszenia, należy wymienić sytuacje, w których dochodzi do:
• utraty kontroli nad własnymi danymi,
• negatywnych konsekwencji wizerunkowych,
• negatywnego odbioru społecznego związanego z upublicznieniem danych osobowych.
Minimalne wymogi treści zgłoszenia naruszenia ochrony danych osobowych
Zgodnie z art. 33 ust. 3 RODO zgłoszenie naruszenia ochrony danych osobowych musi co najmniej:
• opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
W przypadku gdy nie jest możliwe udzielenie wszystkich wyżej wskazanych informacji w jednym zgłoszeniu, administrator może przekazywać te dane organowi nadzorczemu sukcesywnie bez zbędnej zwłoki (art. 33 ust. 4 RODO).
Dokumentowanie przez administratora naruszeń ochrony danych osobowych
Artykuł 33 ust. 5 RODO przewiduje obowiązek administratora dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym w szczególności okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Sporządzona dokumentacja musi umożliwić organowi nadzorczemu weryfikację przestrzegania obowiązków z art. 33 RODO.
W praktyce regulacja ta oznacza, że administrator powinien przewidzieć w ramach wewnętrznej procedury dotyczącej zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu procedurę rejestrowania naruszeń w rejestrze, który spełni określone wyżej wymagania.
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Kolejnym obowiązkiem nałożonym na administratora w związku z naruszeniem ochrony danych osobowych jest zawiadomienie osoby, której dane dotyczą. Zgodnie z art. 34 ust. 1 RODO, jeżeli naruszenie ochrony danych może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Konieczność zawiadomienia osoby, której dane dotyczą, aktualizuje się, jeżeli zostaną kumulatywnie spełnione dwie przesłanki: zaistnieje ryzyko naruszenia praw lub wolności oraz to ryzyko jest wysokie. Ogólne rozporządzenie nie precyzuje pojęcia „wysokie ryzyko”.
Wymogi co do treści zawiadomienia osoby, której dane dotyczą
Zawiadomienie skierowane do osoby, której dane dotyczą, powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych (art. 33 ust. 2 RODO). Zawiadomienie osoby, której dane dotyczą, musi co najmniej:
• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Wyłączenia co do zawiadamiania osoby, której dane dotyczą
Zawiadomienie osoby, której dane dotyczą, nie jest wymagane, jeżeli wystąpi co najmniej jeden z trzech wymienionych przypadków (art. 34 ust. 3 RODO):
• administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
• administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
• wymagałoby ono niewspółmiernie dużego wysiłku – w takim przypadku wydaje się publiczny komunikat lub stosuje się podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
W przypadku gdy administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy może (biorąc pod uwagę prawdopodobieństwo, że naruszenie spowoduje wysokie ryzyko naruszenia):
• zażądać zawiadomienia osoby, której dane dotyczą, lub
• stwierdzić, że został spełniony jeden z warunków wyłączających obowiązek zawiadomienia.
4.10 Ocena skutków dla ochrony danych i uprzednie konsultacje
Ogólne rozporządzenie znosi ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych, który był przewidziany w dyrektywie 95/46/WE. Na gruncie prawa polskiego oznacza to zniesienie obowiązku rejestracji zbiorów danych do organu nadzorczego. Jak wskazano w
motywie 89 RODO, obowiązek zawiadamiania o przetwarzaniu danych osobowych powodował obciążenia finansowe i administracyjne, a mimo to nie przyczyniał się w oczekiwanym zakresie do poprawy ochrony danych osobowych. W konsekwencji prawodawca unijny uznał, że ogólne obowiązki zawiadamiania należy zastąpić skutecznymi procedurami i mechanizmami, które będą się koncentrować na tych operacjach przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Przeprowadzanie oceny skutków dla ochrony danych jest jednym z elementów zarządzania ryzykiem związanym z przetwarzaniem danych.
Ocenę skutków należy podzielić na dwa etapy. W pierwszym etapie administrator dokonuje oceny, czy dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój zakres kontekst lub cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 RODO). Jeżeli odpowiedź jest twierdząca, administrator powinien przystąpić do drugiego etapu oceny skutków. Dokonując oceny skutków, administrator jest zobowiązany do podjęcia konsultacji z inspektorem ochrony danych, jeżeli został powołany. Zasady powoływania inspektora ochrony danych omówiono szerzej w podrozdziale 5.10.
Zakres czynności, które powinny się znaleźć w ocenie skutków, został określony w art. 35 ust. 7 RODO:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym – gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
4.11 Inspektor ochrony danych
W RODO przewiduje się funkcję inspektora ochrony danych (IOD), która służy wspieraniu administratora (podmiotu przetwarzającego) w wykonywaniu jego obowiązków określonych w RODO.
Powyższą funkcję (zakres obowiązków) może wykonywać pracownik lub osoba świadcząca usługę na podstawie umowy cywilnoprawnej.
W RODO wskazuje się trzy sytuacje, w których wyznaczenie IOD jest obowiązkowe. W pozostałych sytuacjach wyznaczenie IOD pozostawiono uznaniu administratora lub podmiotu przetwarzającego .
W szczególności administrator lub podmiot przetwarzający musi to uczynić, gdy:
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
• gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (określonych w art. 9 lub 10 RODO).
Zaistnienie dużej skali przetwarzania danych ustala się w oparciu o następujące kryteria:
• liczby osób, których dane dotyczą (jako konkretnej liczby, bądź jako proporcji odpowiedniej populacji);
• ilości danych lub zakresu różnych kategorii danych, jakie poddawane są przetwarzaniu;
• okresu czy trwałości czynności przetwarzania danych;
• geograficznego zakresu czynności przetwarzania.
Dalsze wyjaśnienie tych kryteriów znajduje się w wytycznych Grupy Roboczej Artykułu 29 dotyczących inspektorów ochrony danych (WP 243), przyjętych ostatecznie w dniu 5 kwietnia 2017 r.
Do zadań IOD należy:
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie (art. 39 ust. 1 lit. a) RODO);
b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty (art. 39 ust. 1 lit. b) RODO);
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO (art. 39 ust. 1 lit. c) RODO);
d) współpraca z organem nadzorczym (art. 39 ust. 1 lit. d) RODO);
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (art. 39 ust. 1 lit. e) RODO);
f) pełnienie funkcji punktu kontaktowego wobec osób, których dane dotyczą (art. 38 ust. 4 RODO).
IOD może wykonywać również inne zadania i obowiązki, jednak administrator musi przestrzegać zasady, aby takie zadania i obowiązki nie powodowały konfliktu interesów. IOD wykonuje swoje zadania z uwzględnieniem ryzyka związanego z operacjami przetwarzania danych.
Przepisy RODO określają organizacyjne warunki pełnienia funkcji oraz wymogi kwalifikacyjne stawiane osobie wykonującej funkcję, o czym piszemy poniżej w części „Wykonanie obowiązku”.