Ustawa dostosowująca do RODO podpisana

3 kwietnia 2019 roku, Prezydent Andrzej Duda podpisał ustawę z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Niemal rok od rozpoczęcia stosowania RODO (25 maja 2018 r.) oraz wejścia w życie nowej, krajowej Ustawy o ochronie danych osobowych (10 maja 2018 r.), doczekaliśmy się dostosowania krajowych przepisów do Rozporządzenia. Zmiany objęły około 170 obowiązujących aktów prawnych.

Na szczególną uwagę zasługują przede wszystkim zmienione przepisy w Kodeksie Pracy (uregulowana została m.in. kwestia kategorii danych osobowych niezbędnych do pozyskania pracownika, pozyskiwania danych wrażliwych pracowników, czy też monitoringu w pomieszczeniach socjalnych), oraz przepisy dotyczące praw pacjenta, a także sektora bankowego i ubezpieczeniowego.

Tak długi termin oczekiwania na ustawę dostosowującą przepisy prawa polskiego do RODO, należy po części tłumaczyć szerokością i złożonością materii, jaką objęły prace nad ustawą. Liczymy, że powód wydłużonego termin postępowania legislacyjnego uchroni nas przed kolejnymi nowelizacjami zmienianych ustaw, a wprowadzone zmiany okażą się adekwatne i stabilne.

Pozostaje mieć także nadzieję, że powstające od tej pory przepisy, zostaną objęte wskazaną w RODO procedurą „privacy by design” i nie nastąpi w przyszłości konieczność uchwalania kolejnego, tak obszernego i rozbudowanego pakietu przepisów.

Ustawa wejdzie w życie po upływie 14 dni od jej ogłoszenia.

Sejm powołał nowego Prezesa Urzędu Ochrony Danych Osobowych

W dniu 4 kwietnia 2019 roku Sejm powołał nowego Prezesa Urzędu Ochrony Danych Osobowych.

Dotychczasową Prezes, Edytę Bielak – Jomaę (wcześniej GIODO, od 25 maja 2018 r. PUODO), zastąpi Jan Nowak, który był jedynym kandydatem na to stanowisko. Wybrany przez Sejm przyszły Prezes to wieloletni pracownik instytucji związanych z ochroną danych osobowych w Polsce – od stycznia 2008 roku pełnił funkcję Dyrektora Biura Generalnego Inspektora Ochrony Danych Osobowych, następnie od 25 maja 2018 roku zajmował stanowisko Dyrektora Urzędu Ochrony Danych Osobowych.

Wybór kandydata musi zostać dodatkowo zatwierdzony przez Senat, co zgodnie z terminarzem powinno nastąpić na najbliższym posiedzeniu 11 lub 12 kwietnia. Kadencja obecnej Prezes UODO rozpoczęła się 22 kwietnia 2015 roku i kończy się w kwietniu 2019. Wtedy też na stanowisku zastąpi ją Jan Nowak.

Kartki świąteczne – co na to RODO?

Wraz z nadchodzącymi Świętami Bożego Narodzenia w wielu firmach rozpoczęła się akcja wysyłania kartek świątecznych lub upominków do partnerów biznesowych. Zwyczajowo tego rodzaju przesyłki adresowane są do konkretnych osób, a nie na dane adresowe organizacji, firmy czy organu publicznego. Powód jest dosyć oczywisty – firma to ludzie i trudno sobie wyobrazić podtrzymywanie relacji biznesowych z organizacją jako całością.

Nie da się ukryć, że RODO wywarło wpływ na praktycznie każdy aspekt działania organizacji i nie ominęło również tego obszaru. Aktualnie otrzymujemy wiele pytań czy chcąc działać zgodnie z przepisami RODO należy wprowadzić zmiany w tej stosowanej od lat praktyce, czy też całkowicie jej zaniechać. Odpowiedź na to pytanie w dużej mierze zależy od ogólnego podejścia organizacji do wdrożenia przepisów RODO.

Argumenty na „nie”.

Przy podejściu ostrożnościowym można argumentować, iż wysyłając kartki świąteczne dotykamy bardzo prywatnej sfery życia adresata. Nierzadko możemy posiadać informacje czy jest to osoba wierząca i w ten sposób próbować wywierać wpływ na podejmowane przez nią decyzje. W konsekwencji takiego spojrzenia należałoby przyjąć, iż takie działania wykraczają poza standardowy kontakt biznesowy i tym samym jako firma kierująca przesyłkę, nie mamy podstawy prawnej do jej wysłania.

Warto również zastanowić się czy tego rodzaju przesyłka spełnia definicję informacji handlowej. Zgodnie z ustawą o świadczeniu usług drogą elektroniczną jest to informacja, która w szczególności ma bezpośrednio lub pośrednio promować wizerunek przedsiębiorcy. Nie da się ukryć, że celem tego rodzaju przesyłki jest osiągnięcie efektu handlowego w przyszłości – budowanie pozytywnego wizerunku, w celu np. sprzedaży dodatkowych usług.

Jeżeli jest to informacja handlowa to – szczególnie wysyłając kartkę w formie elektronicznej – nie możemy jej wysłać bez posiadania zgody od adresata.

Argumenty na „tak”.

Przy pro-biznesowym podejściu do przepisów RODO operacja nie wygląda już na tak ryzykowną. Podkreśla się, że celem RODO nie jest niszczenie relacji międzyludzkich. Życzenia świąteczne wiążą się z przyjemnym dla większości osób czasem i trudno doszukiwać się w tym kontekście naruszenia praw i wolności adresata.

Można spotkać się również z argumentacją, iż imię i nazwisko naszego partnera biznesowego w połączeniu z adresem jego biura to wyłącznie tzw. „dane służbowe”. Tego rodzaju dane na gruncie motywu 14. RODO są wyłączone spod jego przepisów, a więc możemy bez przeszkód wykorzystywać je w działalności marketingowej. Dodatkowo – w motywie 47. – RODO wprost stwierdza, że działalność marketingowa jest przykładem działalności mieszczącej się w prawnie uzasadnionym interesie administratora, co jest legalną podstawą do przetwarzania danych osobowych.

Co zrobić?

Jak przy wielu innych pytaniach o zgodność z przepisami RODO każdy administrator powinien dokonać własnej analizy ryzyka i odpowiedzieć sobie na pytanie, czy w jego organizacji wysyłanie kartek świątecznych do pracowników kontrahentów może naruszać ich prawa i wolności, czy jednak stanowi jedynie pozytywny aspekt współpracy biznesowej.

Współadministrowanie danymi osobowymi

Podstawowym obowiązkiem wynikającym z RODO,  jest zapewnienie należytej ochrony praw i wolności osób których dane przetwarzamy. Odpowiedzialność w tym zakresie spoczywa na administratorze, który zazwyczaj jest samodzielną organizacją. Jeżeli natomiast co najmniej dwóch administratorów wspólnie ustala cele i środki przetwarzania, są oni określani mianem współadministratorów wg art. 26 RODO. Warunkiem współadministrowania jest wspólne podejmowanie decyzji, a nie tylko sam udział więcej niż jednego podmiotu w procesie przetwarzania.

Sama definicja administratora wskazuje, że  może on  ustalać cele i środki przetwarzania samodzielnie, lub wspólnie z innymi podmiotami. Fundamentem współadministrowania jest właśnie owe wspólne ustalenie celów i sposobów przetwarzania danych osobowych.

Do analizy  pozostają następujące kwestie: po pierwsze, ustalenie jak razem realizować prawa osób których dane będą przetwarzane; po drugie, ustalenie  jasnego podziału obowiązków jak i odpowiedzialności pomiędzy współadministratorami.

RODO w art. 26 ust. 1 wskazuje na wspólne „uzgodnienia”, natomiast jest to pojęcie mało szczegółowe, dlatego niezbędny jest podział obowiązków który współadministratorzy powinni  ustalić wg dwóch kryteriów: jako uzgodnienia wewnętrzne (kiedy administratorzy dzielą się swoimi obowiązkami) oraz uzgodnienia zewnętrzne (czyli kierowane bezpośrednio do osób których dane będą przetwarzane, jaki i do organu nadzorczego). Należy się także zastanowić nad punktem kontaktowym. Dla przejrzystości warto wskazać jeden adres mailowy, aby osoby których dane będą  przetwarzane mogły korzystać z przysługujących im praw wynikających z art. 15-22 RODO. W ramach transparentności, podział musi być przejrzysty i aktualny, a co za tym idzie odzwierciedlać stan faktyczny aby należycie chronić prawa i wolności osób których dane będą przetwarzane. Dlatego też motyw 79 RODO wskazuje aby współadministratorzy dokonali jasnego podziału obowiązków.

Uzgodnienia współadministratorów są niezbędne nie tylko w ramach przejrzystości ale także dlatego, że ich zasadnicza  treść będzie udostępniana podmiotom danych. Także organ nadzorczy w ramach ewentualnej kontroli, będzie mógł uzyskać informacje dotyczące podziału obowiązków. Należy mieć na uwadze, że współpraca oparta na współadministrowaniu nie może usprawiedliwiać utraty kontroli na przetwarzanymi danymi czy braku odpowiedzialności przetwarzających. Współadministratorzy muszą jasno określić granice swoich odpowiedzialności. Dodatkowo każdy z współadministratorów powinien  przestrzegać  zobowiązań wynikających z art. 5 ust. 2 RODO.

Relacje jakie zachodzą między współadministratorami mogą być trudne do ustalenia , dlatego każdemu z nich należy przyporządkować odpowiednie role i zakres obowiązków.

Art. 26 RODO nie wskazuje wprost co powinny zawierać uzgodnienia między współadministratorami i jaka powinna być ich forma. Natomiast doktryna niemiecka proponuje, by w tej sytuacji pomocniczo posługiwać się art. 28 ust. 3 RODO, niejako adaptując go do umów między współadministratorami, w takim zakresie, w jakim jest to niezbędne.

Umowa na współadministrowanie powinna zatem określać:

– opis przetwarzania danych (cel, sposób, okres przetwarzania, kategorie danych);

– ogólny opis obowiązków każdego z podmiotów odpowiedzialnych za przetwarzanie;

-informacje który z podmiotów zapewnia odpowiednią dokumentację w ramach rozliczalności;

– zasady realizacji praw osób których dane będą przetwarzane;

– uzgodnienia który z podmiotów i w jakim zakresie odpowiada na żądania osób których dane będą przetwarzane;

– uzgodnienia który z podmiotów i w jakim zakresie odpowiada za zadania wynikające z art. 24, 25,32-36;

– zasady w przypadku transferu danych do państw trzecich;

– zasady współodpowiedzialności w tym min, wynikające z art. 82 RODO;

 

Powyższe informacje są jednym z rozwiązań możliwych do zastosowania w ramach współadministrowania, ponieważ na dzień dzisiejszy nie ma wytycznych które określałyby w jakiej dokładnie formie współadministratorzy mają ustalić swoje obowiązki wynikające z RODO.

 

Potrzebujesz wsparcia w RODO?

Zapraszamy do kontaktu.

Pierwsza kara finansowa nałożona pod rządami RODO

Wystarczyło niespełna 5 miesięcy od kiedy RODO zaczęło obowiązywać na terenie Unii Europejskiej, żeby jeden z krajowych organów nadzorczych nałożył pierwszą w historii karę pieniężną. Mowa tu o austriackim odpowiedniku naszego PUODO, tzn. Datenschutzbehörde (DSB), który zdecydował o ukaraniu jednej ze spółek karą w wysokości 4,800 euro za naruszenie postanowień rozporządzenia. Zgodnie z informacjami uzyskanymi od samego DSB, „informacja o nałożeniu kary jest zgodna z prawdą, jednakże sprawa ta nie została jeszcze zakończona, gdyż spółka ma prawo odwołać się od decyzji o nałożeniu kary w ciągu 4 tygodni od jej nałożenia. W związku z tym, wspomniana wcześniej decyzja nie została dotychczas opublikowana w austriackim systemie informacji prawnych”.

DSB miało interweniować w sprawie niezgodnego z prawem monitoringu CCTV prowadzonego przez ukaraną spółkę, której kamera została ustawiona tak, że obejmowała poza wejściem do biura, również dużą część chodnika (przestrzeni publicznej). Organ wskazał ponadto, że system monitoringu miał być niezgodny z wynikającą z RODO regułą przejrzystości (transparency), gdyż ukarany nie zadbał o właściwe oznaczenie kamer.

O ile wysokość tej kary nie jest imponująca (zwłaszcza w porównaniu z maksymalnymi stawkami, które mogą nakładać krajowe organy), to o wiele ciekawszy wydaje się fakt, iż spółka została finansowo ukarana bez wcześniejszego ostrzeżenia ze strony DSB. Zgodnie z 148 motywem RODO, organy nadzorcze dostały inne narzędzia poza możliwością nakładania kar pieniężnych, niezbędnych do skutecznego egzekwowania przepisów rozporządzenia. Przykładem może być udzielane w pierwszym kroku upomnienie.  Jednak jak twierdzą przedstawiciele naszego krajowego organu nadzorczego, administratorzy danych którzy znani byli wcześniej z łamania przepisów o ochronie danych osobowych, nie powinni liczyć na taryfę ulgową, lecz mogą spodziewać się właśnie nakładania kar finansowych bez wcześniejszego uprzedzenia.

Nie może też dziwić, że to akurat w Austrii odnotowano pierwszy przypadek ukarania pod rządami RODO. Znany jest fakt przywiązania władz oraz obywateli tego kraju do ochrony prywatności oraz danych osobowych. Wystarczy wspomnieć, że Austria w związku z rygorystyczną polityką prywatności, jest dziś jedną z ostatnich białych plam w Europie w aplikacji Google Street View. Amerykańska firma nie była w stanie spełnić wymagań strony austriackiej w związku z czym, poza kilkoma szczególnymi punktami nie zobaczymy w tym systemie ulic miast i wsi Austrii.

Nie wiemy dziś czy kara ta zostanie utrzymana, jednak w przypadku podtrzymania wydanej przez DSB decyzji możemy spodziewać się nawet lawiny kar w całej Europie w związku z przetwarzaniem danych z wykorzystaniem monitoringu CCTV. Administratorzy, na przykładzie ukaranej organizacji, muszą mieć zatem na uwadze takie kwestie jak odpowiednie oznaczenie kamer, czy też nagrywanie jedynie własnego terenu z wyłączeniem miejsc publicznych znajdujących się w pobliżu spółki.

Prawo do ograniczenia przetwarzania danych

Zgodnie z art. 18 RODO prawo żądania od administratora ograniczenia przetwarzania danych występuje w przypadkach gdy:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych;
  • osoba, której dane dotyczą sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania, a przetwarzanie jest niezgodne z prawem;
  • dane osobowe nie są już potrzebne do celów, w jakich zostały zgromadzone, ale nie można ich usunąć z uwagi na obowiązujące przepisy;
  • osoba, która wniosła sprzeciw wobec przetwarzania danych, czeka na wydanie decyzji w tej sprawie.

Ograniczenie oznacza, że jedyną dopuszczalną czynnością przetwarzania danych osobowych jest ich przechowywanie, wyłącznie za zgodą osoby, której dane dotyczą, w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na względy interesu publicznego UE lub państwa członkowskiego UE.

Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym podmiot danych, który żądał ograniczenia. W szczególności, informacja powinna być prowadzona w zwięzłej, przejrzystej i dostępnej formie. Informacji udziela się na piśmie, w tym dozwolona jest forma elektroniczna. Administrator danych nie pobiera co do zasady opłat za podejmowanie działań związanych z realizacją praw podmiotów danych oraz komunikację z nimi.

Motyw 67 preambuły RODO podaje przykładowe metody pozwalające ograniczyć przetwarzanie danych:

  • czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania;
  • uniemożliwienie użytkownikom dostępu do wybranych danych;
  • czasowe usunięcie opublikowanych danych ze strony internetowej.

Należy zauważyć, że  zgodnie z RODO administrator danych bez zbędnej zwłoki w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem ograniczenia przetwarzania. Termin jednak może, z uzasadnionych przez administratora przyczyn zostać przedłużony.

Należy zwrócić uwagę, że naruszenie prawa do ograniczenia przetwarzania  podlega administracyjnej karze pieniężnej w wysokości do 20 mln euro, a w sytuacji przedsiębiorstw w wysokości do 4% jego całkowitego rocznego obrotu  z poprzedniego roku obrotowego w  zależności od tego, która kwota jest wyższa.

Projekt zmian w kodeksie pracy

W związku z rozpoczęciem stosowania przepisów RODO, pojawiła się konieczność dostosowania wielu ustaw funkcjonujących w polskich systemie prawnym do nowej regulacji przetwarzania danych osobowych. Na długo przed 25 maja 2018 roku pojawiały się w mediach głosy ekspertów, które mówiły o kilkuset ustawach, których zmiana będzie konieczna. Aktualny projekt ustawy dostosowującej wpływa na 160 obowiązujących ustaw. Jedną z nich jest Kodeks pracy, którym zajmę się w niniejszym tekście.

Nie ulega wątpliwości, iż obecne brzmienie Kodeksu pracy w zakresie przetwarzania danych osobowych pracowników oraz kandydatów do pracy jest archaiczne, a co za tym idzie trudne do stosowania. Dość powiedzieć, że pracodawca w obecnym stanie prawnym nie ma prawa żądać od kandydata do pracy podania numeru telefonu lub adresu e-mail, w celu ewentualnego zaproszenia na rozmowę rekrutacyjną (!). Z drugiej strony ma prawo żądać, aby kandydat podał imiona swoich rodziców – informacje, których istotność dla procesu rekrutacji można słusznie kwestionować. Dodatkowo, praktyczne problemy stwarza wylistowanie na liście danych osobowych kandydata „wykształcenia”, ale pominięcie takich kategorii jak „umiejętności” albo „doświadczenie”.

Wspomniany projekt ustawy przywraca równowagę w przyrodzie w zakresie informacji, jakie pracodawca może pobierać od kandydata do pracy, dodając do katalogu:

  1. dane kontaktowe wskazane przez kandydata – słusznie, bez ograniczania się do adresu e-mail lub telefonu,
  2. kwalifikacje zawodowe – dobre sformułowanie, pozwalające na objęcie nim doświadczenia, umiejętności, certyfikatów, szkoleń itp.

Inaczej wygląda sprawa nowelizacji w zakresie podstawy prawnej do przetwarzania danych osobowych pracownika lub kandydata do pracy. Projekt stanowi, iż „§1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika.”. Przepis nie dopuszcza zatem innej podstawy prawnej do przetwarzania innych danych osobowych, niż te które są w nim wymienione. Taka sztywna regulacja może prowadzić do praktycznych problemów, jeśli przyjrzymy się treści §3. tego samego przepisu. Stanowi on, iż „Przetwarzanie, o którym mowa w § 1, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Nietrudno wyobrazić sobie sytuację, w której kandydaci do pracy zamieszczają w CV szerszy zakres danych osobowych, niż jest wymieniony w nowelizowanym przepisie. Nagminne jest chociażby zamieszczanie zdjęć, a można również znaleźć CV zawierające numery PESEL kandydatów. W konsekwencji pracodawca będzie zmuszony do odbierania dodatkowych zgód na przetwarzanie „nadmiarowych” danych osobowych, w sytuacji gdy nie ma żadnego wpływu na to, co kandydat zamieszcza w CV. Proszenie o zamieszczeni stosownych klauzul w treści CV nie jest z reguły najlepszym rozwiązaniem, ponieważ jako pracodawca nie mamy wpływu na to, czy dany kandydat taką klauzulę zamieści. Co w sytuacji, gdy trafi do nas ciekawe CV ze zdjęciem, bez klauzuli? Pracodawca ma zamazać zdjęcie?

Wydaje się zatem, iż kierunek nowelizacji, który nie dopuszcza innej podstawy prawnej do przetwarzania danych osobowych, które kandydat sam podaje w CV (zdając sobie przecież sprawę, że będzie ono analizowane przez różne osoby w organizacji), może prowadzić do problemów w praktyce jej stosowania lub spowoduje, iż szybko przepis stanie się martwy.

PUODO – stary/nowy organ nadzorczy

Z dniem rozpoczęcia stosowania rozporządzenia unijnego o ochronie danych osobowych (RODO), w miejsce Generalnego Inspektora Ochrony Danych Osobowych (GIODO) został powołany nowy organ nadzorczy, którym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Podobnie jak GIODO, Prezes UODO pełni funkcję właściwego organu w sprawie ochrony danych osobowych, a także jest organem nadzorczym w rozumieniu Rozporządzenia o ochronie danych osobowych oraz Rozporządzenia w sprawie Agencji Unii Europejskiej ds. Współpracy organów Ścigania (Europol). RODO podkreśla niezależność organu nadzorczego w wypełnianiu swoich zadań i uprawnień wynikających z Rozporządzenia.

Szczegółowy zakres zadań, które realizuje polski organ nadzorczy, wskazany został w art. 57 RODO ust. 1. Należą do nich m.in.:

  • monitorowanie i egzekwowanie zapisów Rozporządzenia;
  • działania edukacyjne w kwestiach związanych z ochroną danych osobowych, w tym działania skierowane do administratorów i podmiotów przetwarzających;
  • działania doradcze dla instytucji państwowych;
  • rozpatrywanie skarg wniesionych przez osoby, których dane dotyczą;
  • współpraca z innymi organami nadzorczymi;
  • działania certyfikujące;
  • sporządzanie rocznych sprawozdań z działalności PUODO.

Do Prezesa UODO zgłaszane będą naruszenia ochrony danych osobowych oraz inspektorzy ochrony danych. Zgłoszenia należy przesyłać elektronicznie, za pomocą dedykowanego systemu informatycznego, udostępnionego przez Urząd.

W art. 54 ust. 1 Rozporządzenia opisana została procedura powoływania organu nadzorczego. Na gruncie polskich przepisów,  Prezes UODO powoływany i odwoływany jest, podobnie jak GIODO, przez Sejm za zgodą Senatu, ale na wniosek Prezesa Rady Ministrów (art. 34 ust. 3 ustawy o ochronie danych osobowych). Ustawa wskazuje również zakres wymagań, jaki muszą spełnić osoby kandydujące na funkcję Prezesa UODO. Osoba taka powinna m.in.:

  • wyróżniać się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;
  • korzystać z pełni praw publicznych.

Podobnie jak w przypadku kadencji GIODO, kadencja Prezesa UODO trwa 4 lata, a osoba pełniąca tę funkcję może pełnić ją nie dłużej niż przez dwie kadencje. Nie zmieniły się także wskazania co do odwołania PUODO.

Ponadto zgodnie z ustawą o ochronie danych osobowych Prezes UODO może mieć aż trzech zastępców, w stosunku do których wymagania są podobne, jak w stosunku do PUODO.

Ustawa wprowadza także nowy organ, jakim jest Rada do Spraw Ochrony Danych Osobowych. Pełni ona funkcję opiniodawczo-doradczą, a do jej zadań należy:

  • opiniowanie projektów dokumentów, aktów prawnych dot. ochrony danych osobowych;
  • opracowanie kryteriów certyfikacji;
  • opracowanie rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
  • inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze;
  • wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu;
  • wykonywanie innych zadań zleconych przez Prezesa Urzędu.

Przewodniczącego i wiceprzewodniczącego Rady powołuje i odwołuje Prezes UODO. Rada składa się z 8 członków, a ich kandydatury mogą zostać zgłoszone przez:

  1. Radę Ministrów;
  2. Rzecznika Praw Obywatelskich;
  3. izby gospodarcze;
  4. jednostki naukowe w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o zasadach finansowania nauki (Dz. U. z 2018 r. poz. 87);
  5. fundacje i stowarzyszenia wpisane do Krajowego Rejestru Sądowego, których celem statutowym jest działalność na rzecz ochrony danych osobowych.

Kadencja członków Rady trwa 2 lata, a jej skład zostaje powołany przez Prezesa UODO. Ponadto Rada zobowiązana jest do składnia rocznych sprawozdań do Prezesa UODO.

Osoba publiczna a dane osobowe

W związku z wejściem w życie ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych (RODO), pojawiły się liczne pytania dotyczące danych osób publicznych ze szczególnym uwzględnieniem ich ujawniania na wniosek obywatela. Zdecydowania większość instytucji publicznych stanęła przed wyzwaniem, czy pod rządami nowego rozporządzenia, dane ich pracowników wciąż mogą być udostępniane w związku z obowiązującymi przepisami prawa europejskiego oraz krajowego. Należy zauważyć, że kwestia ta jest przede wszystkim istotna ze względu na ilość instytucji zobowiązanych do realizacji obowiązku ujawnienia wnioskodawcom informacji publicznej oraz bardzo szeroki zakres pojęcia „informacja publiczna”, które zostało zdefiniowane między innymi przez NSA w wyroku o sygnaturze II SA 1956/2002. Biorąc natomiast pod uwagę mnogość instytucji zobowiązanych do działania nie można zapomnieć, że dotyczy to nie tylko organów jednostek samorządu terytorialnego ale również między innymi podmiotów, które reprezentują skarb państwa oraz wszystkich innych podmiotów realizujących zadania publiczne.

Właściwym jest zaznaczyć, iż na mocy art. 86 RODO możliwe jest ujawnienie danych osobowych przez organ lub podmiot publiczny dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia. Warto podkreślić, że RODO nie nakazuje udostępnienia danych osobowych, a jedynie nie zakazuje takiego działania, warunkując jego legalność od odpowiedniego prawa krajowego państw członkowskich. W Polsce właściwym aktem prawnym jest Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Ustawa), gdzie w artykule 2 ust. 1 wprost wskazano powszechne prawo do informacji publicznej. W kolejnym podpunkcie tego artykułu zapisano natomiast brak obowiązku wykazania interesu prawnego lub faktycznego przez osobę, która wykazuje swoje prawo do informacji publicznej. Oznacza to, że żądanie takie można skutecznie zgłosić również anonimowo.

Pewnym złagodzeniem powszechnego dostępu do informacji publicznej jest art. 5 ust. 2 Ustawy, który ogranicza wskazane wcześniej prawo ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorstwa. Ograniczenie to nie dotyczy jednak informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji. Dodatkowym ograniczeniem jest obowiązek ochrony ograniczonych ustawowo tajemnic i informacji niejawnych, które mogłyby zawierać dane osobowe. Polskie sądy w swoich orzeczeniach, wskazywały że na mocy przepisów o ochronie danych osobowych również udostępnienie informacji publicznej jest czynnością przetwarzania. W związku z tym, należy też do nich stosować zasady związane z ochroną danych osobowych.

Nie w każdym przypadku jednak, udzielenie odpowiedzi w związku z zapytaniem o informację publiczną będzie wymagało ujawnienia danych osobowych. Przetwarzania danych osobowych można będzie z pewnością uniknąć, ograniczając się jedynie do podania np. informacji statystycznych, które nie zawierają danych osobowych i nie podlegają ochronie na mocy zarówno RODO jak i polskiej Ustawy o ochronie danych osobowych.

Czynności związane z udzieleniem informacji publicznej należy rozpatrywać za każdym razem indywidualnie. Pozwoli to w niektórych przypadkach ograniczyć ujawnianie danych osobowych. Należy jednak pamiętać, że kiedy niezbędne jest ujawnienie danych, należy przestrzegać wszystkich zasad ochrony wynikających z RODO.

Profilowanie w świetle RODO

Art. 4 RODO definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Kwestia profilowania nabrała znaczenia ze względu na rozwój nowych technologii, powstanie Internetu rzeczy, możliwości tworzenia dużych zasobów danych, a przez to, możliwość tworzenia profilów i podejmowania zautomatyzowanych decyzji, co w rozumieniu RODO może istotnie wpływać lub naruszać prawa i wolności osób fizycznych.

W jaki jednak sposób określić czy i kiedy mamy do czynienia z profilowaniem?

  1. Po pierwsze, profilowanie może zachodzić tylko na danych przetwarzanych w systemach informatycznych.
  2. Po drugie, profilowanie dotyczy danych osobowych, a nie np. kalkulacji finansowych, czy danych statystycznych, które nie pozwalają zidentyfikować osoby fizycznej.
  3. Po trzecie, rezultat profilowania stanowi ocena pozyskanych danych o osobie, której dane przetwarzamy.

Aby można było mówić o profilowaniu, musi dojść do oceny danych dotyczących jednej, konkretnej osoby fizycznej. Opracowanie profilów dla grup społecznych, ekonomicznych, czy zawodowych, bez możliwości identyfikacji osoby, której dane przetwarzamy, nie będzie już procesem profilowania. Jeśli natomiast, w wyniku profilowania, jesteśmy w stanie określić, na podstawie np. współpracy z klientem, jakie tenże klient ma potrzeby lub preferencje i na tej podstawie możemy wystosować względem niego konkretną ofertę nowej usługi lub modyfikacji obecnej usługi, to mamy do czynienia z profilowaniem.

RODO mając na celu ochronę praw osób, których dane przetwarzamy, nakazuje by o stosowaniu profilowania informować. Podmiot danych, będąc świadomym przetwarzania jego danych z wykorzystaniem procesu profilowania, może na podstawie art. 21 ust.1 RODO w każdej chwili się temu profilowaniu sprzeciwić. Administrator zobowiązany jest w przypadku stosowania profilowania, zamieścić tę informację przy realizacji obowiązku informacyjnego.

Ponieważ profilowanie może „istotnie wpłynąć na osobę”, gdyż jego wynikiem, może być nadawanie podmiotom danych „etykiet” lub przydzielanie podmiotów danych do narzuconych schematem grup osób, może dojść do dyskryminacji, ograniczeń konsumenckich, czy też pozbawienia dostępu do usług lub towarów wykluczonych dla zakresu wyprofilowanej grupy.

Przy okazji profilowania warto wspomnieć o podejmowaniu zautomatyzowanych decyzji wobec podmiotów danych, tj. sytuacji, gdzie proces decyzyjny wykonywany jest bez obecności czynnika ludzkiego – w pełni decyduje system. System, który jak wiemy, przyporządkowuje dane zgodnie ze schematem i kryteriami, bez uwzględnienia wyjątków, co w konkretnych przypadkach może dyskryminować osoby fizyczne. Aby uniknąć stosowania decyzyjności przypisanej systemowi informatycznemu, należy uzależnić finalny sposób realizacji procesu biznesowego od decyzji kompetentnej osoby, a nie jedynie wyliczeń i wskazań systemowych.

Niektóre procesy przetwarzania danych oparte na profilowaniu są jednak możliwe na podstawie szczególnych przepisów prawa – tak będzie np. przy administratorach danych, którzy stosują profilowanie przy ocenie zdolności kredytowej podmiotów danych.

Należy pamiętać, że procesy przetwarzania danych osobowych, w których dochodzi do profilowanie i podejmowania zautomatyzowanych decyzji wymagają przeanalizowania ryzyka jakie za sobą niosą, zgodnie z DPIA (art. 35 ust. 3 RODO).