Kartki świąteczne – co na to RODO?

Wraz z nadchodzącymi Świętami Bożego Narodzenia w wielu firmach rozpoczęła się akcja wysyłania kartek świątecznych lub upominków do partnerów biznesowych. Zwyczajowo tego rodzaju przesyłki adresowane są do konkretnych osób, a nie na dane adresowe organizacji, firmy czy organu publicznego. Powód jest dosyć oczywisty – firma to ludzie i trudno sobie wyobrazić podtrzymywanie relacji biznesowych z organizacją jako całością.

Nie da się ukryć, że RODO wywarło wpływ na praktycznie każdy aspekt działania organizacji i nie ominęło również tego obszaru. Aktualnie otrzymujemy wiele pytań czy chcąc działać zgodnie z przepisami RODO należy wprowadzić zmiany w tej stosowanej od lat praktyce, czy też całkowicie jej zaniechać. Odpowiedź na to pytanie w dużej mierze zależy od ogólnego podejścia organizacji do wdrożenia przepisów RODO.

Argumenty na „nie”.

Przy podejściu ostrożnościowym można argumentować, iż wysyłając kartki świąteczne dotykamy bardzo prywatnej sfery życia adresata. Nierzadko możemy posiadać informacje czy jest to osoba wierząca i w ten sposób próbować wywierać wpływ na podejmowane przez nią decyzje. W konsekwencji takiego spojrzenia należałoby przyjąć, iż takie działania wykraczają poza standardowy kontakt biznesowy i tym samym jako firma kierująca przesyłkę, nie mamy podstawy prawnej do jej wysłania.

Warto również zastanowić się czy tego rodzaju przesyłka spełnia definicję informacji handlowej. Zgodnie z ustawą o świadczeniu usług drogą elektroniczną jest to informacja, która w szczególności ma bezpośrednio lub pośrednio promować wizerunek przedsiębiorcy. Nie da się ukryć, że celem tego rodzaju przesyłki jest osiągnięcie efektu handlowego w przyszłości – budowanie pozytywnego wizerunku, w celu np. sprzedaży dodatkowych usług.

Jeżeli jest to informacja handlowa to – szczególnie wysyłając kartkę w formie elektronicznej – nie możemy jej wysłać bez posiadania zgody od adresata.

Argumenty na „tak”.

Przy pro-biznesowym podejściu do przepisów RODO operacja nie wygląda już na tak ryzykowną. Podkreśla się, że celem RODO nie jest niszczenie relacji międzyludzkich. Życzenia świąteczne wiążą się z przyjemnym dla większości osób czasem i trudno doszukiwać się w tym kontekście naruszenia praw i wolności adresata.

Można spotkać się również z argumentacją, iż imię i nazwisko naszego partnera biznesowego w połączeniu z adresem jego biura to wyłącznie tzw. „dane służbowe”. Tego rodzaju dane na gruncie motywu 14. RODO są wyłączone spod jego przepisów, a więc możemy bez przeszkód wykorzystywać je w działalności marketingowej. Dodatkowo – w motywie 47. – RODO wprost stwierdza, że działalność marketingowa jest przykładem działalności mieszczącej się w prawnie uzasadnionym interesie administratora, co jest legalną podstawą do przetwarzania danych osobowych.

Co zrobić?

Jak przy wielu innych pytaniach o zgodność z przepisami RODO każdy administrator powinien dokonać własnej analizy ryzyka i odpowiedzieć sobie na pytanie, czy w jego organizacji wysyłanie kartek świątecznych do pracowników kontrahentów może naruszać ich prawa i wolności, czy jednak stanowi jedynie pozytywny aspekt współpracy biznesowej.

Współadministrowanie danymi osobowymi

Podstawowym obowiązkiem wynikającym z RODO,  jest zapewnienie należytej ochrony praw i wolności osób których dane przetwarzamy. Odpowiedzialność w tym zakresie spoczywa na administratorze, który zazwyczaj jest samodzielną organizacją. Jeżeli natomiast co najmniej dwóch administratorów wspólnie ustala cele i środki przetwarzania, są oni określani mianem współadministratorów wg art. 26 RODO. Warunkiem współadministrowania jest wspólne podejmowanie decyzji, a nie tylko sam udział więcej niż jednego podmiotu w procesie przetwarzania.

Sama definicja administratora wskazuje, że  może on  ustalać cele i środki przetwarzania samodzielnie, lub wspólnie z innymi podmiotami. Fundamentem współadministrowania jest właśnie owe wspólne ustalenie celów i sposobów przetwarzania danych osobowych.

Do analizy  pozostają następujące kwestie: po pierwsze, ustalenie jak razem realizować prawa osób których dane będą przetwarzane; po drugie, ustalenie  jasnego podziału obowiązków jak i odpowiedzialności pomiędzy współadministratorami.

RODO w art. 26 ust. 1 wskazuje na wspólne „uzgodnienia”, natomiast jest to pojęcie mało szczegółowe, dlatego niezbędny jest podział obowiązków który współadministratorzy powinni  ustalić wg dwóch kryteriów: jako uzgodnienia wewnętrzne (kiedy administratorzy dzielą się swoimi obowiązkami) oraz uzgodnienia zewnętrzne (czyli kierowane bezpośrednio do osób których dane będą przetwarzane, jaki i do organu nadzorczego). Należy się także zastanowić nad punktem kontaktowym. Dla przejrzystości warto wskazać jeden adres mailowy, aby osoby których dane będą  przetwarzane mogły korzystać z przysługujących im praw wynikających z art. 15-22 RODO. W ramach transparentności, podział musi być przejrzysty i aktualny, a co za tym idzie odzwierciedlać stan faktyczny aby należycie chronić prawa i wolności osób których dane będą przetwarzane. Dlatego też motyw 79 RODO wskazuje aby współadministratorzy dokonali jasnego podziału obowiązków.

Uzgodnienia współadministratorów są niezbędne nie tylko w ramach przejrzystości ale także dlatego, że ich zasadnicza  treść będzie udostępniana podmiotom danych. Także organ nadzorczy w ramach ewentualnej kontroli, będzie mógł uzyskać informacje dotyczące podziału obowiązków. Należy mieć na uwadze, że współpraca oparta na współadministrowaniu nie może usprawiedliwiać utraty kontroli na przetwarzanymi danymi czy braku odpowiedzialności przetwarzających. Współadministratorzy muszą jasno określić granice swoich odpowiedzialności. Dodatkowo każdy z współadministratorów powinien  przestrzegać  zobowiązań wynikających z art. 5 ust. 2 RODO.

Relacje jakie zachodzą między współadministratorami mogą być trudne do ustalenia , dlatego każdemu z nich należy przyporządkować odpowiednie role i zakres obowiązków.

Art. 26 RODO nie wskazuje wprost co powinny zawierać uzgodnienia między współadministratorami i jaka powinna być ich forma. Natomiast doktryna niemiecka proponuje, by w tej sytuacji pomocniczo posługiwać się art. 28 ust. 3 RODO, niejako adaptując go do umów między współadministratorami, w takim zakresie, w jakim jest to niezbędne.

Umowa na współadministrowanie powinna zatem określać:

– opis przetwarzania danych (cel, sposób, okres przetwarzania, kategorie danych);

– ogólny opis obowiązków każdego z podmiotów odpowiedzialnych za przetwarzanie;

-informacje który z podmiotów zapewnia odpowiednią dokumentację w ramach rozliczalności;

– zasady realizacji praw osób których dane będą przetwarzane;

– uzgodnienia który z podmiotów i w jakim zakresie odpowiada na żądania osób których dane będą przetwarzane;

– uzgodnienia który z podmiotów i w jakim zakresie odpowiada za zadania wynikające z art. 24, 25,32-36;

– zasady w przypadku transferu danych do państw trzecich;

– zasady współodpowiedzialności w tym min, wynikające z art. 82 RODO;

 

Powyższe informacje są jednym z rozwiązań możliwych do zastosowania w ramach współadministrowania, ponieważ na dzień dzisiejszy nie ma wytycznych które określałyby w jakiej dokładnie formie współadministratorzy mają ustalić swoje obowiązki wynikające z RODO.

 

Potrzebujesz wsparcia w RODO?

Zapraszamy do kontaktu.

Pierwsza kara finansowa nałożona pod rządami RODO

Wystarczyło niespełna 5 miesięcy od kiedy RODO zaczęło obowiązywać na terenie Unii Europejskiej, żeby jeden z krajowych organów nadzorczych nałożył pierwszą w historii karę pieniężną. Mowa tu o austriackim odpowiedniku naszego PUODO, tzn. Datenschutzbehörde (DSB), który zdecydował o ukaraniu jednej ze spółek karą w wysokości 4,800 euro za naruszenie postanowień rozporządzenia. Zgodnie z informacjami uzyskanymi od samego DSB, „informacja o nałożeniu kary jest zgodna z prawdą, jednakże sprawa ta nie została jeszcze zakończona, gdyż spółka ma prawo odwołać się od decyzji o nałożeniu kary w ciągu 4 tygodni od jej nałożenia. W związku z tym, wspomniana wcześniej decyzja nie została dotychczas opublikowana w austriackim systemie informacji prawnych”.

DSB miało interweniować w sprawie niezgodnego z prawem monitoringu CCTV prowadzonego przez ukaraną spółkę, której kamera została ustawiona tak, że obejmowała poza wejściem do biura, również dużą część chodnika (przestrzeni publicznej). Organ wskazał ponadto, że system monitoringu miał być niezgodny z wynikającą z RODO regułą przejrzystości (transparency), gdyż ukarany nie zadbał o właściwe oznaczenie kamer.

O ile wysokość tej kary nie jest imponująca (zwłaszcza w porównaniu z maksymalnymi stawkami, które mogą nakładać krajowe organy), to o wiele ciekawszy wydaje się fakt, iż spółka została finansowo ukarana bez wcześniejszego ostrzeżenia ze strony DSB. Zgodnie z 148 motywem RODO, organy nadzorcze dostały inne narzędzia poza możliwością nakładania kar pieniężnych, niezbędnych do skutecznego egzekwowania przepisów rozporządzenia. Przykładem może być udzielane w pierwszym kroku upomnienie.  Jednak jak twierdzą przedstawiciele naszego krajowego organu nadzorczego, administratorzy danych którzy znani byli wcześniej z łamania przepisów o ochronie danych osobowych, nie powinni liczyć na taryfę ulgową, lecz mogą spodziewać się właśnie nakładania kar finansowych bez wcześniejszego uprzedzenia.

Nie może też dziwić, że to akurat w Austrii odnotowano pierwszy przypadek ukarania pod rządami RODO. Znany jest fakt przywiązania władz oraz obywateli tego kraju do ochrony prywatności oraz danych osobowych. Wystarczy wspomnieć, że Austria w związku z rygorystyczną polityką prywatności, jest dziś jedną z ostatnich białych plam w Europie w aplikacji Google Street View. Amerykańska firma nie była w stanie spełnić wymagań strony austriackiej w związku z czym, poza kilkoma szczególnymi punktami nie zobaczymy w tym systemie ulic miast i wsi Austrii.

Nie wiemy dziś czy kara ta zostanie utrzymana, jednak w przypadku podtrzymania wydanej przez DSB decyzji możemy spodziewać się nawet lawiny kar w całej Europie w związku z przetwarzaniem danych z wykorzystaniem monitoringu CCTV. Administratorzy, na przykładzie ukaranej organizacji, muszą mieć zatem na uwadze takie kwestie jak odpowiednie oznaczenie kamer, czy też nagrywanie jedynie własnego terenu z wyłączeniem miejsc publicznych znajdujących się w pobliżu spółki.

Prawo do ograniczenia przetwarzania danych

Zgodnie z art. 18 RODO prawo żądania od administratora ograniczenia przetwarzania danych występuje w przypadkach gdy:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych;
  • osoba, której dane dotyczą sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania, a przetwarzanie jest niezgodne z prawem;
  • dane osobowe nie są już potrzebne do celów, w jakich zostały zgromadzone, ale nie można ich usunąć z uwagi na obowiązujące przepisy;
  • osoba, która wniosła sprzeciw wobec przetwarzania danych, czeka na wydanie decyzji w tej sprawie.

Ograniczenie oznacza, że jedyną dopuszczalną czynnością przetwarzania danych osobowych jest ich przechowywanie, wyłącznie za zgodą osoby, której dane dotyczą, w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na względy interesu publicznego UE lub państwa członkowskiego UE.

Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym podmiot danych, który żądał ograniczenia. W szczególności, informacja powinna być prowadzona w zwięzłej, przejrzystej i dostępnej formie. Informacji udziela się na piśmie, w tym dozwolona jest forma elektroniczna. Administrator danych nie pobiera co do zasady opłat za podejmowanie działań związanych z realizacją praw podmiotów danych oraz komunikację z nimi.

Motyw 67 preambuły RODO podaje przykładowe metody pozwalające ograniczyć przetwarzanie danych:

  • czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania;
  • uniemożliwienie użytkownikom dostępu do wybranych danych;
  • czasowe usunięcie opublikowanych danych ze strony internetowej.

Należy zauważyć, że  zgodnie z RODO administrator danych bez zbędnej zwłoki w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem ograniczenia przetwarzania. Termin jednak może, z uzasadnionych przez administratora przyczyn zostać przedłużony.

Należy zwrócić uwagę, że naruszenie prawa do ograniczenia przetwarzania  podlega administracyjnej karze pieniężnej w wysokości do 20 mln euro, a w sytuacji przedsiębiorstw w wysokości do 4% jego całkowitego rocznego obrotu  z poprzedniego roku obrotowego w  zależności od tego, która kwota jest wyższa.

Projekt zmian w kodeksie pracy

W związku z rozpoczęciem stosowania przepisów RODO, pojawiła się konieczność dostosowania wielu ustaw funkcjonujących w polskich systemie prawnym do nowej regulacji przetwarzania danych osobowych. Na długo przed 25 maja 2018 roku pojawiały się w mediach głosy ekspertów, które mówiły o kilkuset ustawach, których zmiana będzie konieczna. Aktualny projekt ustawy dostosowującej wpływa na 160 obowiązujących ustaw. Jedną z nich jest Kodeks pracy, którym zajmę się w niniejszym tekście.

Nie ulega wątpliwości, iż obecne brzmienie Kodeksu pracy w zakresie przetwarzania danych osobowych pracowników oraz kandydatów do pracy jest archaiczne, a co za tym idzie trudne do stosowania. Dość powiedzieć, że pracodawca w obecnym stanie prawnym nie ma prawa żądać od kandydata do pracy podania numeru telefonu lub adresu e-mail, w celu ewentualnego zaproszenia na rozmowę rekrutacyjną (!). Z drugiej strony ma prawo żądać, aby kandydat podał imiona swoich rodziców – informacje, których istotność dla procesu rekrutacji można słusznie kwestionować. Dodatkowo, praktyczne problemy stwarza wylistowanie na liście danych osobowych kandydata „wykształcenia”, ale pominięcie takich kategorii jak „umiejętności” albo „doświadczenie”.

Wspomniany projekt ustawy przywraca równowagę w przyrodzie w zakresie informacji, jakie pracodawca może pobierać od kandydata do pracy, dodając do katalogu:

  1. dane kontaktowe wskazane przez kandydata – słusznie, bez ograniczania się do adresu e-mail lub telefonu,
  2. kwalifikacje zawodowe – dobre sformułowanie, pozwalające na objęcie nim doświadczenia, umiejętności, certyfikatów, szkoleń itp.

Inaczej wygląda sprawa nowelizacji w zakresie podstawy prawnej do przetwarzania danych osobowych pracownika lub kandydata do pracy. Projekt stanowi, iż „§1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika.”. Przepis nie dopuszcza zatem innej podstawy prawnej do przetwarzania innych danych osobowych, niż te które są w nim wymienione. Taka sztywna regulacja może prowadzić do praktycznych problemów, jeśli przyjrzymy się treści §3. tego samego przepisu. Stanowi on, iż „Przetwarzanie, o którym mowa w § 1, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Nietrudno wyobrazić sobie sytuację, w której kandydaci do pracy zamieszczają w CV szerszy zakres danych osobowych, niż jest wymieniony w nowelizowanym przepisie. Nagminne jest chociażby zamieszczanie zdjęć, a można również znaleźć CV zawierające numery PESEL kandydatów. W konsekwencji pracodawca będzie zmuszony do odbierania dodatkowych zgód na przetwarzanie „nadmiarowych” danych osobowych, w sytuacji gdy nie ma żadnego wpływu na to, co kandydat zamieszcza w CV. Proszenie o zamieszczeni stosownych klauzul w treści CV nie jest z reguły najlepszym rozwiązaniem, ponieważ jako pracodawca nie mamy wpływu na to, czy dany kandydat taką klauzulę zamieści. Co w sytuacji, gdy trafi do nas ciekawe CV ze zdjęciem, bez klauzuli? Pracodawca ma zamazać zdjęcie?

Wydaje się zatem, iż kierunek nowelizacji, który nie dopuszcza innej podstawy prawnej do przetwarzania danych osobowych, które kandydat sam podaje w CV (zdając sobie przecież sprawę, że będzie ono analizowane przez różne osoby w organizacji), może prowadzić do problemów w praktyce jej stosowania lub spowoduje, iż szybko przepis stanie się martwy.

PUODO – stary/nowy organ nadzorczy

Z dniem rozpoczęcia stosowania rozporządzenia unijnego o ochronie danych osobowych (RODO), w miejsce Generalnego Inspektora Ochrony Danych Osobowych (GIODO) został powołany nowy organ nadzorczy, którym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Podobnie jak GIODO, Prezes UODO pełni funkcję właściwego organu w sprawie ochrony danych osobowych, a także jest organem nadzorczym w rozumieniu Rozporządzenia o ochronie danych osobowych oraz Rozporządzenia w sprawie Agencji Unii Europejskiej ds. Współpracy organów Ścigania (Europol). RODO podkreśla niezależność organu nadzorczego w wypełnianiu swoich zadań i uprawnień wynikających z Rozporządzenia.

Szczegółowy zakres zadań, które realizuje polski organ nadzorczy, wskazany został w art. 57 RODO ust. 1. Należą do nich m.in.:

  • monitorowanie i egzekwowanie zapisów Rozporządzenia;
  • działania edukacyjne w kwestiach związanych z ochroną danych osobowych, w tym działania skierowane do administratorów i podmiotów przetwarzających;
  • działania doradcze dla instytucji państwowych;
  • rozpatrywanie skarg wniesionych przez osoby, których dane dotyczą;
  • współpraca z innymi organami nadzorczymi;
  • działania certyfikujące;
  • sporządzanie rocznych sprawozdań z działalności PUODO.

Do Prezesa UODO zgłaszane będą naruszenia ochrony danych osobowych oraz inspektorzy ochrony danych. Zgłoszenia należy przesyłać elektronicznie, za pomocą dedykowanego systemu informatycznego, udostępnionego przez Urząd.

W art. 54 ust. 1 Rozporządzenia opisana została procedura powoływania organu nadzorczego. Na gruncie polskich przepisów,  Prezes UODO powoływany i odwoływany jest, podobnie jak GIODO, przez Sejm za zgodą Senatu, ale na wniosek Prezesa Rady Ministrów (art. 34 ust. 3 ustawy o ochronie danych osobowych). Ustawa wskazuje również zakres wymagań, jaki muszą spełnić osoby kandydujące na funkcję Prezesa UODO. Osoba taka powinna m.in.:

  • wyróżniać się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;
  • korzystać z pełni praw publicznych.

Podobnie jak w przypadku kadencji GIODO, kadencja Prezesa UODO trwa 4 lata, a osoba pełniąca tę funkcję może pełnić ją nie dłużej niż przez dwie kadencje. Nie zmieniły się także wskazania co do odwołania PUODO.

Ponadto zgodnie z ustawą o ochronie danych osobowych Prezes UODO może mieć aż trzech zastępców, w stosunku do których wymagania są podobne, jak w stosunku do PUODO.

Ustawa wprowadza także nowy organ, jakim jest Rada do Spraw Ochrony Danych Osobowych. Pełni ona funkcję opiniodawczo-doradczą, a do jej zadań należy:

  • opiniowanie projektów dokumentów, aktów prawnych dot. ochrony danych osobowych;
  • opracowanie kryteriów certyfikacji;
  • opracowanie rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
  • inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze;
  • wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu;
  • wykonywanie innych zadań zleconych przez Prezesa Urzędu.

Przewodniczącego i wiceprzewodniczącego Rady powołuje i odwołuje Prezes UODO. Rada składa się z 8 członków, a ich kandydatury mogą zostać zgłoszone przez:

  1. Radę Ministrów;
  2. Rzecznika Praw Obywatelskich;
  3. izby gospodarcze;
  4. jednostki naukowe w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o zasadach finansowania nauki (Dz. U. z 2018 r. poz. 87);
  5. fundacje i stowarzyszenia wpisane do Krajowego Rejestru Sądowego, których celem statutowym jest działalność na rzecz ochrony danych osobowych.

Kadencja członków Rady trwa 2 lata, a jej skład zostaje powołany przez Prezesa UODO. Ponadto Rada zobowiązana jest do składnia rocznych sprawozdań do Prezesa UODO.

Osoba publiczna a dane osobowe

W związku z wejściem w życie ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych (RODO), pojawiły się liczne pytania dotyczące danych osób publicznych ze szczególnym uwzględnieniem ich ujawniania na wniosek obywatela. Zdecydowania większość instytucji publicznych stanęła przed wyzwaniem, czy pod rządami nowego rozporządzenia, dane ich pracowników wciąż mogą być udostępniane w związku z obowiązującymi przepisami prawa europejskiego oraz krajowego. Należy zauważyć, że kwestia ta jest przede wszystkim istotna ze względu na ilość instytucji zobowiązanych do realizacji obowiązku ujawnienia wnioskodawcom informacji publicznej oraz bardzo szeroki zakres pojęcia „informacja publiczna”, które zostało zdefiniowane między innymi przez NSA w wyroku o sygnaturze II SA 1956/2002. Biorąc natomiast pod uwagę mnogość instytucji zobowiązanych do działania nie można zapomnieć, że dotyczy to nie tylko organów jednostek samorządu terytorialnego ale również między innymi podmiotów, które reprezentują skarb państwa oraz wszystkich innych podmiotów realizujących zadania publiczne.

Właściwym jest zaznaczyć, iż na mocy art. 86 RODO możliwe jest ujawnienie danych osobowych przez organ lub podmiot publiczny dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia. Warto podkreślić, że RODO nie nakazuje udostępnienia danych osobowych, a jedynie nie zakazuje takiego działania, warunkując jego legalność od odpowiedniego prawa krajowego państw członkowskich. W Polsce właściwym aktem prawnym jest Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Ustawa), gdzie w artykule 2 ust. 1 wprost wskazano powszechne prawo do informacji publicznej. W kolejnym podpunkcie tego artykułu zapisano natomiast brak obowiązku wykazania interesu prawnego lub faktycznego przez osobę, która wykazuje swoje prawo do informacji publicznej. Oznacza to, że żądanie takie można skutecznie zgłosić również anonimowo.

Pewnym złagodzeniem powszechnego dostępu do informacji publicznej jest art. 5 ust. 2 Ustawy, który ogranicza wskazane wcześniej prawo ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorstwa. Ograniczenie to nie dotyczy jednak informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji. Dodatkowym ograniczeniem jest obowiązek ochrony ograniczonych ustawowo tajemnic i informacji niejawnych, które mogłyby zawierać dane osobowe. Polskie sądy w swoich orzeczeniach, wskazywały że na mocy przepisów o ochronie danych osobowych również udostępnienie informacji publicznej jest czynnością przetwarzania. W związku z tym, należy też do nich stosować zasady związane z ochroną danych osobowych.

Nie w każdym przypadku jednak, udzielenie odpowiedzi w związku z zapytaniem o informację publiczną będzie wymagało ujawnienia danych osobowych. Przetwarzania danych osobowych można będzie z pewnością uniknąć, ograniczając się jedynie do podania np. informacji statystycznych, które nie zawierają danych osobowych i nie podlegają ochronie na mocy zarówno RODO jak i polskiej Ustawy o ochronie danych osobowych.

Czynności związane z udzieleniem informacji publicznej należy rozpatrywać za każdym razem indywidualnie. Pozwoli to w niektórych przypadkach ograniczyć ujawnianie danych osobowych. Należy jednak pamiętać, że kiedy niezbędne jest ujawnienie danych, należy przestrzegać wszystkich zasad ochrony wynikających z RODO.

Profilowanie w świetle RODO

Art. 4 RODO definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Kwestia profilowania nabrała znaczenia ze względu na rozwój nowych technologii, powstanie Internetu rzeczy, możliwości tworzenia dużych zasobów danych, a przez to, możliwość tworzenia profilów i podejmowania zautomatyzowanych decyzji, co w rozumieniu RODO może istotnie wpływać lub naruszać prawa i wolności osób fizycznych.

W jaki jednak sposób określić czy i kiedy mamy do czynienia z profilowaniem?

  1. Po pierwsze, profilowanie może zachodzić tylko na danych przetwarzanych w systemach informatycznych.
  2. Po drugie, profilowanie dotyczy danych osobowych, a nie np. kalkulacji finansowych, czy danych statystycznych, które nie pozwalają zidentyfikować osoby fizycznej.
  3. Po trzecie, rezultat profilowania stanowi ocena pozyskanych danych o osobie, której dane przetwarzamy.

Aby można było mówić o profilowaniu, musi dojść do oceny danych dotyczących jednej, konkretnej osoby fizycznej. Opracowanie profilów dla grup społecznych, ekonomicznych, czy zawodowych, bez możliwości identyfikacji osoby, której dane przetwarzamy, nie będzie już procesem profilowania. Jeśli natomiast, w wyniku profilowania, jesteśmy w stanie określić, na podstawie np. współpracy z klientem, jakie tenże klient ma potrzeby lub preferencje i na tej podstawie możemy wystosować względem niego konkretną ofertę nowej usługi lub modyfikacji obecnej usługi, to mamy do czynienia z profilowaniem.

RODO mając na celu ochronę praw osób, których dane przetwarzamy, nakazuje by o stosowaniu profilowania informować. Podmiot danych, będąc świadomym przetwarzania jego danych z wykorzystaniem procesu profilowania, może na podstawie art. 21 ust.1 RODO w każdej chwili się temu profilowaniu sprzeciwić. Administrator zobowiązany jest w przypadku stosowania profilowania, zamieścić tę informację przy realizacji obowiązku informacyjnego.

Ponieważ profilowanie może „istotnie wpłynąć na osobę”, gdyż jego wynikiem, może być nadawanie podmiotom danych „etykiet” lub przydzielanie podmiotów danych do narzuconych schematem grup osób, może dojść do dyskryminacji, ograniczeń konsumenckich, czy też pozbawienia dostępu do usług lub towarów wykluczonych dla zakresu wyprofilowanej grupy.

Przy okazji profilowania warto wspomnieć o podejmowaniu zautomatyzowanych decyzji wobec podmiotów danych, tj. sytuacji, gdzie proces decyzyjny wykonywany jest bez obecności czynnika ludzkiego – w pełni decyduje system. System, który jak wiemy, przyporządkowuje dane zgodnie ze schematem i kryteriami, bez uwzględnienia wyjątków, co w konkretnych przypadkach może dyskryminować osoby fizyczne. Aby uniknąć stosowania decyzyjności przypisanej systemowi informatycznemu, należy uzależnić finalny sposób realizacji procesu biznesowego od decyzji kompetentnej osoby, a nie jedynie wyliczeń i wskazań systemowych.

Niektóre procesy przetwarzania danych oparte na profilowaniu są jednak możliwe na podstawie szczególnych przepisów prawa – tak będzie np. przy administratorach danych, którzy stosują profilowanie przy ocenie zdolności kredytowej podmiotów danych.

Należy pamiętać, że procesy przetwarzania danych osobowych, w których dochodzi do profilowanie i podejmowania zautomatyzowanych decyzji wymagają przeanalizowania ryzyka jakie za sobą niosą, zgodnie z DPIA (art. 35 ust. 3 RODO).

Działanie niepożądane produktu leczniczego – okres przechowywania danych osobowych przez podmiot odpowiedzialny

Zgodnie z definicją zawartą w prawie farmaceutycznym  działaniem niepożądanym badanego produktu leczniczego  jest każde niekorzystne i niezamierzone działanie tego produktu, występujące po zastosowaniu jakiejkolwiek jego dawki.

Działania niepożądane produktów leczniczych zgłasza się Prezesowi Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych lub podmiotowi odpowiedzialnemu (tj. przedsiębiorca sektora farmaceutycznego, który uzyskał pozwolenie na dopuszczenie produktu leczniczego do obrotu).

Zgłoszeń działań niepożądanych produktów leczniczych mogą dokonać osoby wykonujące zawód medyczny oraz pacjenci, przy czym pacjenci (bądź ich opiekunowie) dokonują zgłoszenia osobie wykonującej zawód medyczny, Prezesowi Urzędu lub podmiotowi odpowiedzialnemu.

Prawidłowo wniesione zgłoszenia zawiera m.in.: dane chorego (inicjały, płeć lub inne dane identyfikujące chorego), dane osoby zgłaszającej (imię, nazwisko, sposób kontaktu – adres, telefon, faks, e-mail).  W odniesieniu do danych pacjenta przydatne do oceny są również informacje o wzroście i masie ciała, dotyczy to zwłaszcza dzieci oraz osób dorosłych o nietypowym wzroście i masie ciała. Dane osoby zgłaszającej muszą zostać podane w każdym przypadku, z uwzględnieniem imienia, nazwiska, pełnego adresu lub numeru telefonu, faksu czy też adresu elektronicznego.

Zgodnie z powyższym, w ramach zgłaszania działań niepożądanych produktów leczniczych, dochodzi do przetwarzania danych osobowych, zarówno danych dotyczących stanu zdrowia pacjentów (jeżeli możliwa jest identyfikacja pacjenta) oraz danych zwykłych osób zgłaszających działania niepożądane.

Jedną z podstawowych zasad RODO jest zasada ograniczenia czasowego przechowywania danych, zgodnie z którą dane powinny być przechowywane w formie umożliwiającej identyfikacje osoby, której dotyczą, przez okres nie dłuższy niż jest to niezbędne do osiągnięcia celów, dla których dane te są przetwarzane (retencja).

Na administratorze danych ciąży obowiązek określenia powyższego okresu oraz poinformowania o tym osoby, której dane są przetwarzane.

W zakresie zgłaszania działań niepożądanych brak jest przepisów regulujących okres przechowywania danych przez podmiot odpowiedzialny. Praktyka wskazuje, że najczęściej stosowane są dwa rozwiązania.

Zastosowanie przez analogię art. 8 ust. 8 prawa farmaceutycznego „dokumenty dołączone do wniosku, raporty oraz inne dokumenty i dane gromadzone w postępowaniu o dopuszczenie do obrotu, o przedłużenie terminu ważności pozwolenia, o zmianę danych stanowiących podstawę wydania pozwolenia lub o zmianę w dokumentacji będącej podstawą wydania pozwolenia są przechowywane w Urzędzie Rejestracji przez 10 lat po wygaśnięciu pozwolenia i przyjęcie okresu retencji wynoszącego 10 lat od chwili wygaśnięcia pozwolenia, albo odniesienie się do terminów przechowywania dokumentacji medycznej (por. art. 29 ustawy o prawach pacjenta), co polega na przyjęciu okresu retencji 30 lat od wystąpienia zdarzenia.

Do czasu jednoznacznego uregulowania powyżej kwestii, należy uznać, że okres retencji powinien być dostosowany do konkretnego przypadku, przy uwzględnieniu, że podmioty odpowiedzialne –  zgodnie z RODO – zobowiązane są do minimalizacji przetwarzanych danych np.: anonimizować dane pacjenta (gdy nie są potrzebne), oraz osoby która w imieniu pacjenta dokonała zgłoszenia  a dane lekarza zgłaszającego działanie niepożądane przetwarzać (przechowywać) do czasu wygaśnięcia pozwolenia na dopuszczenie produktu leczniczego do obrotu.

Prawo do sprzeciwu

RODO wprowadziło rozbudowane prawo do wniesienia sprzeciwu przez osobę której dane dotyczą. Warunki skorzystania z prawa do sprzeciwu różnią się w zależności od rodzaju przetwarzania.

Zgodnie z art. 21 ust. 1 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów.

Zgodnie z RODO, prawo do złożenia sprzeciwu dotyczącego  przetwarzania danych może być wniesione w dwóch poniżej opisanych przypadkach:

  1. W przypadku gdy dane przetwarzane są przez Administratora w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi (art. 6 ust. 1 lit. e RODO).
  2. W przypadku gdy dane przetworzone są w celu realizacji prawnie uzasadnionych interesów Administratora (art. 6 ust. 1 lit. f RODO).

Zgłaszając sprzeciw, osoba której dane dotyczą ma obowiązek wskazać swoją szczególną sytuacje z uwagi na którą Administrator nie powinien przetwarzać jej danych osobowych. Administrator może odmówić zaprzestania przetwarzania danych powołując się na:

  • Istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub
  • Istnienie podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Jedyny wyjątek stanowi sytuacja gdy, Administrator danych przetwarza dane osobowe na potrzeby marketingu bezpośredniego. Osoba której dane dotyczą może w każdym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby marketingu, w tym profilowania,  w granicach w jakich przetwarzanie jest związane z marketingiem bezpośrednim. Po wniesieniu sprzeciwu Administrator nie może przetwarzać danych w tym celu. Ponadto, skorzystanie z prawa sprzeciwu jest bezpłatne (powinna istnieć możliwość wniesienia sprzeciwu drogą elektroniczną) i nie wymaga uzasadnienia.

Należy zauważyć, że wykorzystanie prawa do sprzeciwu nie prowadzi do tego,  że Administrator danych usunie dane, lecz jedynie przestanie z nich korzystać. W celu usunięcia danych należy skorzystać z drugiego prawa – do bycia zapomnianym (żądanie do usunięcia danych).

W podsumowaniu należy zaznaczyć, że prawo do wniesienia sprzeciwu nie ma charakteru bezwzględnego i nie można go zastosować w każdym przypadku. Wyjątek stanowi tylko przetwarzanie danych w celach marketingowych, gdzie najwyraźniej prawo do złożenia sprzeciwu  powinno działać zawsze.