Kodeksy postępowania na gruncie RODO i ich znaczenie

Kodeksy branżowe z zakresu ochrony danych osobowych są nie tylko narzędziem pomocnym dla administratorów i podmiotów przetwarzających w przestrzeganiu wymogów RODO i wykazywaniu zgodności z tym aktem prawnym, ale także pełnią praktyczną rolę w dążeniu do zachowania jak najwyższego poziomu spójności w stosowaniu przepisów dotyczących ochrony danych osobowych.
W krajach członkowskich UE z inicjatywy organizacji branżowych powstaje co raz więcej tego typu kodeksów. W Polsce pierwszym formalnie zatwierdzonym kodeksem jest dedykowany sektorowi medycznemu „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych”.

Jak przebiega procedura zatwierdzania kodeksu?

Na wstępie warto wspomnieć o ścieżce prawnej zatwierdzania kodeksów postępowania w obszarze ochrony danych osobowych. W art. 40 ust. 2 RODO przewidziano, że zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie RODO. Inicjatywę opracowywania kodeksów mogą więc podejmować przykładowo zrzeszenia przedsiębiorców, stowarzyszenia, izby gospodarcze.
Warunkiem przyjęcia kodeksu postępowania jest przedłożenie jego projektu organowi nadzorczemu do zatwierdzenia. Projekt taki musi spełniać wymogi określone w RODO i ustawie o ochronie danych osobowych, ale również te określone w Wytycznych Europejskiej Rady Ochrony Danych Osobowych nr 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących , w szczególności zawierać jasne i zwięzłe uzasadnienie, w którym przedstawia się szczegółowe informacje o celu kodeksu, zakresie jego stosowania oraz sposobie, w jaki ułatwi on skuteczne stosowanie RODO. Złożenie wniosku do organu nadzorczego o zatwierdzenie kodeksu postępowania powinno być poprzedzone konsultacjami. Konsultacje powinny zostać przeprowadzone w jak najszerszym zakresie przy wykorzystaniu wszelkich dostępnych kanałów komunikacji, w tym np. strony internetowej, prasy branżowej czy też pism kierowanych wprost do zainteresowanych podmiotów i organizacji. Poprawnie złożony do organu nadzorczego wniosek o zatwierdzenie projektu kodeksu postępowania powinien zawierać informację o przeprowadzonych konsultacjach oraz ich wyniku. W treści projektu musi się znaleźć również propozycja mechanizmów umożliwiających monitorowanie przestrzegania jego przepisów, co stanowi wymóg formalny.
Zgodnie z wytycznymi EROD twórcy kodeksów powinni być w stanie wykazać, że ich projekt kodeksu zaspokaja określoną potrzebę danego sektora dokonującego przetwarzania lub danej czynności przetwarzania, ułatwia stosowanie RODO, doprecyzowuje stosowanie RODO, zapewnia wystarczające zabezpieczenia oraz zapewnia skuteczne mechanizmy monitorowania przestrzegania kodeksu (tzw. kryteria zatwierdzania kodeksów).
W pierwszej kolejności organ nadzorczy rozpatruje czy przedłożony projekt spełnia wymogi formalne oraz kryteria dopuszczalności, o których mowa w Wytycznych EROD. Po zakończeniu tej wstępnej oceny, możliwe jest przejście do kolejnego etapu, tj. do pełnej oceny treści przedłożonego projektu w świetle kryteriów zatwierdzania kodeksów. Etap ten służy wyjaśnieniu treści projektu z wnioskodawcą, umożliwiając mu wprowadzenie ewentualnych modyfikacji. Kończy się on wydaniem przez organ nadzorczy opinii o zgodności projektu kodeksu z RODO. Na ostatnim etapie organ nadzorczy zatwierdza projekt kodeksu w formie decyzji administracyjnej, jeżeli uzna, że stanowi on odpowiednie zabezpieczenie właściwego stosowania RODO. Zatwierdzone kodeksy postępowania podlegają rejestracji przez właściwy organ nadzorczy i EROD.

Nadzór nad stosowaniem kodeksu

Kodeks musi zawierać propozycje mechanizmów umożliwiających monitorowanie przestrzegania jego przepisów przez zainteresowane strony, które podjęły się jego stosowania. W kodeksie należy również wskazać podmiot monitorujący i określić mechanizmy umożliwiające temu podmiotowi wykonywanie jego zadań zgodnie z art. 41 RODO. Co ciekawe, obowiązek wskazania podmiotu monitorującego nie dotyczy kodeksów odnoszących się do przetwarzania danych osobowych wyłącznie przez organy i podmioty publiczne, aczkolwiek w przypadku takich kodeksów również należy uwzględnić skuteczne mechanizmy monitorowania kodeksu.
Monitorowaniem przestrzegania kodeksu postępowania może się zajmować podmiot, który dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu i został akredytowany w tym celu przez właściwy organ nadzorczy. Musi on wykazać organowi nadzorczemu w sposób satysfakcjonujący, że jego zadania i obowiązki nie powodują konfliktu interesów. Powinien być niezależny pod względem bezstronności pełnionej funkcji od członków, którzy zobowiązali się do stosowania kodeksu, oraz od przedstawicieli zawodu, branży lub sektora, do których ma zastosowanie dany kodeks. Podmiot ten musi dysponować procedurami, które pozwalają mu ocenić zdolność konkretnych administratorów i podmiotów przetwarzających do stosowania kodeksu, monitorować przestrzeganie przez nich jego przepisów oraz okresowo dokonywać przeglądu jego funkcjonowania, a także posiadać procedury i struktury, które pozwalają rozpatrywać skargi na naruszenie kodeksu, sposób wdrożenia lub wdrażania kodeksu przez administratora lub podmiot przetwarzający.

Pierwszy kodeks branżowy zatwierdzony przez PUODO

Opisana wyżej procedura zatwierdzania kodeksu postępowania została wykorzystana już w wielu krajach członkowskich Unii Europejskiej. W Polsce tego typu procedura również została zastosowana, a jej zwieńczeniem było zatwierdzenie przez Prezesa Urzędu Ochrony Danych Osobowych w dniu 14 grudnia 2022 r. pierwszego w Polsce kodeksu branżowego tj. Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych . Opracowała go federacja Porozumienie Zielonogórskie.
Organ nadzorczy stwierdził, że w kodeksie zapewniono wystarczające zabezpieczenia, o których mowa wytycznych EROD, do których zaliczyć należy przede wszystkim wskazanie zakresu danych, które mogą być przetwarzane, wskazanie procedur związanych ze zbieraniem danych, szczegółowe określenie czasu retencji danych, wskazanie zabezpieczeń przy przechowywaniu dokumentacji papierowej, przykłady zarządzania dokumentacją oraz szczegółowe i konkretne pomoce do dokonania analizy ryzyka w placówce medycznej.
Organ nadzorczy udzielił również akredytacji dla RS Jamano spółka z ograniczoną odpowiedzialnością spółka komandytowa, który to podmiot został wpisany do Wykazu podmiotów akredytowanych prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych.

Znaczenie kodeksów postępowania

Przystąpienie do stosowania kodeksu postępowania wiąże się z wieloma korzyściami dla podmiotów stosujących kodeks. Biorąc pod uwagę, że RODO nie wskazuje jakiego rodzaju środki techniczne i organizacyjne powinny być zastosowane, kodeks postępowania jest mechanizmem umożlwiającym wykazywanie spełnienia obowiązków dotyczących stosowanych środków organizacyjnych i technicznych. Podejście oparte na ryzyku zakłada bowiem, że administratorzy będą prowadzić analizę ryzyka naruszenia praw i wolności osób, których dane dotyczą, a jej rezultatem będzie dobór odpowiednich środków technicznych i organizacyjnych. Podejście to z jednej strony daje większą elastyczność w doborze rozwiązań zabezpieczających, z drugiej jednak strony wiąże się z trudnością w praktycznym zastosowaniu wymogów RODO. Wobec takiej rzeczywistości prawnej kodeksy postępowania odgrywają niezwykle istotną rolę, umożliwiając administratorom i podmiotom przetwarzającym wykazywanie zgodności z RODO. Mają oni gwarancję pewności stosowania określonych rozwiązań zatwierdzonych przez organ nadzorczy.
Niewątpliwą korzyścią ze stosowania kodeksu jest także swoista ochrona w kontekście ewentualnych kar pieniężnych. Organ nadzorczy w razie nakładania kary na dany podmiot bierze bowiem pod uwagę w każdym przypadku, czy podmiot ten właściwie stosował kodeks postępowania, który został zatwierdzony przez organ nadzorczy. Stosowanie się do zatwierdzonego kodeku postępowania umożliwia potwierdzenie wywiązywania się z obowiązków nałożonych przez RODO i jest dla podmiotów stosujących kodeks doskonałym narzędziem rozliczalności pozwalającym na udowodnienie przestrzegania RODO. W praktyce oznaczać to może uchylenie się od potencjalnie kilkumilionowej kary.
Nie bez znaczenia również jest fakt, że kodeksy postępowania przyczyniają się do uspójnienia praktyki stosowania RODO oraz zwiększenia transparentności sygnatariuszy kodeksu w zakresie stosowanych zabezpieczeń, co wpływa pozytywnie na zaufanie ze strony osób, których dane dotyczą i innych administratorów i podmiotów przetwarzających. Wymiana danych z sygnatariuszami kodeksu i weryfikacja tych podmiotów jest ułatwiona.
Wspomniany Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych stanowi ogromne ułatwienie dla gabinetów lekarskich w stosowaniu RODO i właściwej polityki bezpieczeństwa danych przetwarzanych w placówce medycznej. Kodeks uwzględnia specyfikę sektora związaną z przetwarzaniem danych dotyczących zdrowia pacjenta i procesów występujących w placówkach medycznych. Jest źródłem wielu cennych praktycznych wskazówek np. w kwestii okresu przechowywania dokumentacji, wykonywania badań satysfakcji, zakresu zbieranych danych osobowych, sposobu udzielania teleporad i ich nagrywania.
Podsumowując, kodeksy postępowania są bardzo cennym źródłem wskazówek dotyczących praktycznego zastosowania RODO w danym sektorze. Branżowy kodeks nie może obniżyć wymagań RODO, ale może doprecyzować, jak je stosować w danej branży, na przykład wprowadzając dobre praktyki i rozwiązania. Dzięki temu podmioty, który przystępują do stosowania kodeksu i respektują jego postanowienia mają łatwiejszą drogę do wykazania zgodności swoich działań z RODO. Z pewnością kodeksy postępowania są potrzebne i ułatwiłyby stosowanie przepisów także w innych niż branża medyczna sektorach.

Marketing oparty na danych: poruszanie się w granicach prawa na drodze do sukcesu online!

Zachowaj zgodność z przepisami i wzmocnij swoją markę dzięki szkoleniu z zakresu ochrony danych osobowych. 

Najczęściej zadawane pytania (FAQ):

  • Jak mogę wykorzystać dane klientów w sposób etyczny i zgodny z prawem, aby zwiększyć swoje działania marketingowe online? 
  • Jakie są kluczowe kwestie prawne dotyczące ukierunkowanych kampanii reklamowych? 
  • Jak profesjonalnie radzić sobie z naruszeniami danych i jakie są ich potencjalne konsekwencje? 

Analiza typowych przypadków (case study):

  • Potęga personalizacji: Odblokowanie dostosowanego marketingu przy jednoczesnym poszanowaniu prawa do prywatności. 
  • Zaufane partnerstwa: Spostrzeżenia ekspertów na temat umów o udostępnianiu danych i wymogów dotyczących zgody. 
  • Opt-out vs. Opt-in: Maksymalizacja zaangażowania klientów przy jednoczesnym poszanowaniu ich preferencji. 

Podnieś swoje umiejętności dzięki naszemu szkoleniu z inteligentnego marketingu danych! Zapisz się już teraz, aby wzbić się do przodu w cyfrowym krajobrazie. 

 


Data: Czwartek, 28 września 2023r., 11:00-12:30

Zarejestruj się bezpłatnie!


Spotkanie poprowadzi:

Wojciech Brzostowski – Adwokat, Konsultant ds. Danych Osobowych

Adwokat, specjalista z zakresu ochrony danych osobowych i prawa pracy. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. W roku 2021 wyróżniony przez Dziekana Okręgowej Rady Adwokackiej w Warszawie za uzyskanie jednego z najwyższych wyników z egzaminu adwokackiego.

Doświadczenie zdobywał w renomowanych kancelariach prawnych oraz jako inspektor ochrony danych podmiotów medycznych. Posiada szeroką praktykę w prowadzeniu i organizacji szkoleń, wdrożeń i audytów. Doradca w projektach o charakterze międzynarodowym, jak i realizowanych w Polsce przez Klientów zagranicznych. Obsługę prowadzi również w języku angielskim.

Jak bezpiecznie transferować dane osobowe poza Europejski Obszar Gospodarczy?

Prowadzenie biznesu współcześnie nierozerwalnie wiąże się z nawiązywaniem i utrzymywaniem kontaktów międzynarodowych. Wymiana informacji pomiędzy kontrahentami nie zna granic administracyjnych. Prowadzący webinar odpowiedzą na pytanie jak bezpiecznie i zgodnie z prawem ochrony danych osobowych transferować dane osobowe poza Europejski Obszar Gospodarczy. 


W trakcie naszego webinaru, wyjaśnimy m.in.:

  • Ogólne zasady transferu danych poza Europejski Obszar Gospodarczy.
  • Decyzje Komisji Europejskiej o stwierdzeniu odpowiedniego stopnia ochrony.
  • Transfer danych do USA – najnowsze zmiany.
  • Czynności niezbędne w celu zapewnienia zgodności transferu danych poza EOG.
  • Wiążące reguły korporacyjne, standardowe klauzule ochrony danych i inne zabezpieczenia.
  • Rodzaje zabezpieczeń technicznych i organizacyjnych w transferach.
  • Q&A 

Data: Czwartek, 14 września 2023 r., godz. 11:00-12:30

Zarejestruj się już teraz!


Spotkanie poprowadzą:

Iza Grablewska – Prawnik, Konsultant ds. Danych Osobowych

Aplikantka radcowska, absolwentka Uniwersytetu Warmińsko-Mazurskiego w Olsztynie. Doświadczenie zawodowe zdobywała w kancelariach prawnych w Olsztynie i w Warszawie oraz w Sądzie Okręgowym w Warszawie na stanowisku Asystenta Sędziego.

Uczestniczyła w procesach dostosowania organizacji do RODO oraz w audytach zgodności z prawem ochrony danych osobowych, przygotowywała dokumentację wdrożeniową, opiniowała umowy z punktu widzenia przepisów dotyczących ochrony danych osobowych. Sprawuje funkcję Inspektora Ochrony Danych u klientów Audytel S.A. 

Adam Rogala-Lewicki – Adwokat, Konsultant ds. Danych Osobowych

Prawnik z doświadczeniem w zakresie obsługi podmiotów korporacyjnych w ramach obrotu cywilnego, handlowego i gospodarczego, specjalizujący się w prawie ochrony danych osobowych, bezpieczeństwa informacji, nowych technologii oraz własności intelektualnej.

Specjalista w zakresie audytowania i wdrażania systemów ochrony danych osobowych, zarządzania bezpieczeństwem informacji, compliance, corporate governance i due diligence. W obszarze danych osobowych również pełnomocnik w sporach z PUODO oraz GIODO.
Studiował na Uniwersytecie Warszawskim, Uniwersytecie im. Kardynała Stefana Wyszyńskiego w Warszawie, Uniwersytecie Paris X Nanterre, w Akademii Obrony Narodowej, był stypendystą Funduszu Stypendialnego i Szkoleniowego na Uniwersytecie w Oslo i w Liechtenstein Institute oraz rządu Indii w International Management Institute w New Delhi.

 

 

 

 

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych

Naruszenie bezpieczeństwa danych osobowych

Jednym z obowiązków jakie RODO nakłada na administratorów jest stosowanie odpowiednich środków technicznych i organizacyjnych, gwarantujących odpowiedni poziom ochrony danych osobowych, w szczególności chroniący przed nieuprawnionym lub bezprawnym dostępem do danych, a także przed przypadkową ich utratą, zniszczeniem lub uszkodzeniem.

Powyższy obowiązek dotyczy także procesorów, którzy stosownie do zakresu powierzenia – a więc charakteru przetwarzania, rodzaju danych i kategorii podmiotów, których te dane dotyczą – powinni zgodnie z art. 32 RODO wdrożyć środki zapewniające odpowiedni poziom ochrony. Jest to jeden z podstawowych obowiązków procesora wynikający także z umowy powierzenia przetwarzania.

Wytyczne 01/2021 Europejskiej Radych Ochrony Danych (EROD) w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych zawierają szereg wskazówek i kryteriów postępowania jakimi powinny się kierować podmioty przetwarzające dane w sytuacji wystąpienia naruszenia ochrony danych osobowych.

Analiza ryzyk

Ocena czy zastosowano odpowiednie środki techniczne i organizacyjne jest elementem analizy ryzyka, która powinna zostać przeprowadzona przez każdy podmiot przetwarzający dane. Ochrona danych osobowych nie ma jednak charakteru absolutnego – podmiot prowadzący taką analizę powinien uwzględnić również stan wiedzy technicznej i koszty wdrażania środków ochrony, a nie tylko same okoliczności dotyczące przetwarzania, jak zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Środki techniczne powinny zapewniać nie tylko ochronę danych, ale umożliwiać stwierdzenie czy doszło do jej naruszenia i zapewnić możliwość reakcji na naruszenie ochrony danych osobowych, tak aby podmiot mógł spełnić nałożone na niego obowiązki w zakresie np. notyfikacji incydentu w ciągu 72 godzin. Zasady przeciwdziałania naruszeniom I postępowanie w przypadku ich wystąpienia powinno być elementem procedury obowiązującej w podmiocie, która określi zasady postępowania, analizę samego naruszenia, jak i kroki jakie należy podjąć.

Definicja naruszenia ochrony danych osobowych

Naruszeniem ochrony danych osobowych jest każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych.

 

Jak wskazuje EROD, przez zniszczenie należy rozumieć utratę danych lub taką zmianę ich formy, iż nie są one już dla administratora zdatne do wykorzystania (odczytania). W odróżnieniu od zniszczenia, w przypadku utracenia dane nadal istnieją, ale administrator straciło do nich dostęp – czy to przez utratę danych dostępowych, czy zagubienie nośnika. Modyfikacja polega na nieodwracalnej i niezamierzonej zmianie danych przez co nie są prawidłowe. Wreszcie, przez nieuprawniony dostęp lub nieuprawnione ujawnienie danych należy rozumieć okoliczność, w której przetwarzania danych (jakiejkolwiek czynności na danych) dokonuje osoba, która nie ma do tego upoważnienia.

 

W związku z wystąpieniem naruszenia administrator lub procesor, stosownie do swojej roli i obowiązków wynikających z RODO muszą niezwłocznie podjąć działania zmierzające do przeciwdziałania skutkom naruszenia, do ustalenia jego przyczyn i okoliczności wystąpienia, a w przypadku administratora – przeprowadzić analizę spełnienia przesłanek kwalifikujących naruszenie ochrony danych osobowych do zgłoszenie PUODO oraz zawiadomienia osób, których dotyczyło.

Podmiot przetwarzający zgodnie z umową powierzenia przetwarzania danych osobowych i art. 28 ust. 3 RODO powinien niezwłocznie zawiadomić administratora o stwierdzonym naruszeniu i w miarę możliwości wesprzeć go w ustaleniu okoliczności i przeprowadzaniu analizy skutków naruszenia.

 

Jeżeli administrator nie zrealizuje obowiązków związanych z notyfikacją naruszenia, organ nadzorczy ma prawo do zastosowania jednego ze środków wskazanych w art. 58 RODO, z nałożeniem kary administracyjnej włącznie. Prezes Urzędu Ochrony Danych Osobowych może m.in. nałożyć administracyjną karę pieniężną w wysokości do 10 milionów euro lub 2% całkowitego światowego obrotu. Należy jednak zwrócić uwagę, iż fakt wystąpienia naruszenia ochrony danych lub jego przeoczenie wiąże się często z naruszeniem również innych obowiązków administratora, w szczególności w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych pozwalających na zapobieganie naruszeniom i ich sprawne wykrywanie. Organ nadzorczy w przypadku gdy administrator narusza szereg obowiązków nałożonych na niego w RODO odpowiednio zwiększy wysokość kary administracyjnej stosownie do wagi i liczby naruszonych obowiązków.

 

Termin

 

Jak zostało wskazane wcześniej, administrator ma stosunkowo krótki termin na analizę naruszenia i dokonanie zgłoszenia – zgodnie z art. 33 RODO jest to termin 72 godzin. Sposób liczenia terminów w prawie europejskim określa Rozporządzenie 1182/71, zgodnie z którym termin liczony w godzinach rozpoczyna się od kolejnej pełnej godziny i kończy się z upływem ostatniej. Jeśli więc naruszenie zostało stwierdzone w poniedziałek o 15:14 to termin na jego zgłoszenie upłynie w środę o 17:00 – zgłoszenia można dokonać do 16:59 włącznie. Jeśli natomiast naruszenie zostało stwierdzone w czwartek o 14:59, to zgłoszenia należy dokonać najpóźniej do godziny 15:59 w niedzielę.

 

Wspomniane rozporządzenie nie pozwala na przedłużenie terminu do kolejnego dnia roboczego jak ma to miejsce w polskich procedurach. Nawet w przypadku gdy całe 72 godziny będzie przypadać na dni wolne od pracy, formalnie administrator zobowiązany jest do dokonania zgłoszenia najpóźniej w ciągu tego terminu.

 

Termin jest liczony z uwzględnieniem nie tyle faktu wystąpienia naruszenia, ale momentu stwierdzenia naruszenia przez administratora, Przyjmuje się, że administrator stwierdza naruszenie w sytuacji, gdy ma uzasadnione podstawy (potwierdził), iż doszło do naruszenia bezpieczeństwa i że dotyczyło ono danych osobowych. Takie same zasady dotyczą procesora. Co jeśli to procesor zawiadamia administratora o stwierdzonym naruszeniu? Od kiedy biegnie termin na zgłoszenie? Europejska Rada Ochrony Danych wyraziła pogląd, iż przekazanie administratorowi przez procesora zawiadomienia o stwierdzonym naruszeniu powoduje, że od momentu otrzymania tej informacji administrator wie o naruszeniu i rozpoczyna bieg siedemdziesięciodwugodzinny termin na zgłoszenie naruszenia.

 

Podsumowanie

 

Naruszenia ochrony danych osobowych są jedną z najczęstszych przyczyn nakładania kar administracyjnych na administratorów danych i procesorów. Dzieje się tak dlatego, iż w postępowaniu związanym ze zgłoszeniem organ nadzorczy bada czy podmiot dostosował przetwarzanie do przepisów RODO, spełniając szereg wymogów mających m.in. przeciwdziałać naruszeniu, a fakt wystąpienia naruszenia często jest związany właśnie z tym, iż administrator nie dołożył należytej staranności przy przetwarzaniu danych.

Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych

Troska o spokój obywateli, ułatwienie codziennego funkcjonowania, podwyższenie standardów bezpieczeństwa – to zaledwie kilka z wielu możliwych przyczyn, dla których technologia rozpoznawania twarzy jest wciąż udoskonalana.

 

Dodawszy kwestie związane z przyspieszającym rozwojem sztucznej inteligencji znacząco ułatwiającej wdrożenie i skuteczne wykorzystywanie ww. technologii, przed unijnymi oraz krajowymi prawodawcami stoi nie lada wyzwanie. Oto bowiem społeczeństwa europejskie są w przededniu zaimplementowania na masową skalę rozwiązań, które z jednej strony mogą wyrugować z codziennego życia wiele zagrożeń, lecz z drugiej strony mogą przyczynić się do znaczącego ograniczenia praw podstawowych z prawem do prywatności na czele.

 

Unia Europejska wyszła naprzeciw temu wyzwaniu poprzez rozpoczęcie zaawansowanych prac nad AI Act, tj. aktem o sztucznej inteligencji, w ramach którego zostaną doprecyzowane kwestie odnoszące się do wykorzystywania sztucznej inteligencji między innymi w systemach rozpoznawania twarzy (na dzień pisania niniejszego artykułu dokument nie został jeszcze ostatecznie uchwalony). Jednocześnie Europejska Rada Ochrony Danych wydała Wytyczne 05/2022 w sprawie wykorzystywania technologii rozpoznawania twarzy w obszarze ochrony porządku publicznego. Wytyczne EROD nie są wiążące, niemniej stanowią swego rodzaju mapę drogową wskazującą najważniejsze kwestie, o jakich organy porządku publicznego powinny pamiętać przy okazji wdrażania omawianej technologii.

 

EROD oczywiście dostrzega rozwój rozpoznawania twarzy na płaszczyźnie biznesowej, na przykład w obszarze nowoczesnej bankowości, ale tylko w niewielkim stopniu dotyka tego zagadnienia. W opublikowanych Wytycznych EROD skupia się głównie na kwestiach związanych z zapewnieniem porządku publicznego przy pomocy tej technologii. Opierając się na Karcie Praw Podstawowych, Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO), oraz na Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (dalej jako Dyrektywa), EROD wskazał kilka zasad, do których przestrzegania administratorzy danych osobowych korzystający z technologii rozpoznawania twarzy są zobligowani.

 

Jak działa system rozpoznawania twarzy? Należy wskazać. że w ramach omawianej technologii dochodzi do przetwarzania danych biometrycznych zgodnie z art. 4 pkt 14 RODO. Tego rodzaju systemy nie służą tylko do obserwacji wizerunku. Ich celem jest dokonanie szczegółowej analizy cech twarzy unikalnych dla każdej jednostki, na przykład odległości między oczami, szerokości czoła czy kształtu brwi. Korzystanie z tej technologii nie musi prowadzić tylko do identyfikacji osoby fizycznej, ale również do dokonywania predykcji na temat danej osoby na podstawie pozyskanych informacji o mimice. Film Raport mniejszości Stevena Spielberga nie jest tylko fantazją science-fiction opartą na prozie Philipa K. Dicka – w 2023 roku Francja przyjęła odpowiednie ustawodawstwo, na podstawie którego przyznała sobie prawo do korzystania z monitoringu opartego na algorytmach dokonujących wykrywania zagrożeń w czasie rzeczywistym między innymi na podstawie skanowania twarzy przechodniów. Tego rodzaju działanie zostało przez paryską legislację uzasadnione koniecznością zapewnienia bezpieczeństwa przy organizacji Igrzysk Olimpijskich w 2024 roku.

 

Mając na uwadze wysokie ryzyko naruszenia praw i wolności osób, których dane osobowe są w taki sposób przetwarzane, EROD przypomniał w Wytycznych, iż zgodnie z art. 10 Dyrektywy dane biometryczne mogą być przetwarzane tylko wtedy, gdy jest to bezwzględnie niezbędne, podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą, jest dopuszczone prawem Unii lub prawem państwa członkowskiego, jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a także takie przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

 

Kolejnymi aspektami, które obligatoryjnie powinny być brane pod uwagę przez podmiot korzystający z tej technologii rozpoznawania twarzy, są wiarygodność, dokładność rozpoznawania twarzy oraz potencjalne ryzyka dla osób, których dane są w ten sposób przetwarzane w odniesieniu do wykorzystywanych urządzeń. Przede wszystkim należy zbadać, czy nie da się innymi metodami zrealizować celu przetwarzania danych biometrycznych poprzez tę technologię, tak aby nie naruszać prywatności podmiotów danych. Następnie należy pamiętać o tym, że ze względu na potencjalne konsekwencje zidentyfikowania danej osoby poprzez rozpoznanie twarzy wykorzystywane algorytmy identyfikacji twarzy muszą być możliwie najwyższej jakości. Innymi słowy, jeżeli administrator danych chce korzystać z systemu rozpoznawania twarzy w celu ewentualnego poszukiwania sprawców przestępstw, to nie może tego robić przy pomocy przestarzałych aplikacji, przez które mogłoby dojść do błędnej identyfikacji twarzy danej osoby.

 

EROD kładzie bowiem szczególny nacisk na kwestie wskazane w europejskiej Karcie Praw Podstawowych, w szczególności na te odnoszące się do godności ludzkiej, poszanowania życia prywatnego oraz prawa do ochrony danych osobowych. Jednocześnie wskazuje, że nierównowaga między jednostkami a podmiotami dbającymi o utrzymanie porządku publicznego jest na tyle duża, że tego rodzaju ingerowanie w prywatną sferę człowieka musi być poprzedzone testami proporcjonalności, posiadaniem odpowiedniej podstawy prawnej, identyfikacją istnienia niezbędnej konieczności do przetwarzania danych osobowych w taki sposób, implementacją rozwiązania zgodnie z rodowskimi zasadami privacy by design oraz privacy by default, a także zapewnieniem zasady rozliczalności poprzez możliwość śledzenia, kto, kiedy i w jaki sposób miał dostęp do danych i ewentualnie dokonywał na nich stosownych operacji.

 

Dodatkowo należy jeszcze przytoczyć art. 11 Dyrektywy, zgodnie z którym Państwa członkowskie zapewniają, by decyzje, które opierają się wyłącznie na zautomatyzowanym, w tym profilowaniu, i mają niekorzystne skutki prawne dla osoby, której dane dotyczą, lub poważnie na nią wpływają, były zakazane, chyba że dopuszcza je prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator i które przewiduje odpowiednie zabezpieczenia praw i wolności osoby, której dane dotyczą, a przynajmniej prawo do uzyskania interwencji ludzkiej ze strony administratora. Te decyzje nie mogą opierać się na danych osobowych szczególnych kategorii, chyba że istnieją właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą. Profilowanie skutkujące dyskryminacją osób fizycznych na podstawie danych osobowych szczególnych kategorii jest zabronione zgodnie z prawem Unii. Według EROD stosowanie powyższego przepisu powinno być nawet rozszerzone w tym sensie, iż interwencja ludzka nie może zawsze wykluczyć stronniczości i pomyłek w traktowaniu podmiotów danych.

 

 

 

 

Bezpieczeństwo danych osobowych w systemach IT – obowiązki administratora i procesora

RODO nakłada na administratorów oraz procesorów szereg obowiązków w zakresie zapewnienia bezpieczeństwa przetwarzanych danych osobowych.

Na spotkaniu zaprezentujemy, w jaki sposób należy zabezpieczać dane osobowe przetwarzane w systemach informatycznych oraz jak właściwie dokumentować stosowanie zabezpieczeń. Wskażemy również co należy robić, żeby zweryfikować czy właściwie zabezpieczone są dane osobowe w systemach IT. Zaprezentujemy przykłady zabezpieczeń technicznych i organizacyjnych, jakie powinny być wdrożone przez daną organizację.

Agenda:

  • Co to są zabezpieczenia techniczne i organizacyjne w systemach IT?
  • Jak zadbać o bezpieczeństwo IT przy pracy zdalnej?
  • Jak należy zabezpieczyć przetwarzane dane osobowe w świetle wymagań RODO?
  • Kiedy można uznać, że wdrożone zabezpieczenia są wystarczające?
  • Konsekwencje braku stosowania właściwych zabezpieczeń.

 

Data: Wtorek, 20 czerwca 2023 r., godz. 11:00-12:00

Zarejestruj się bezpłatnie!

 

Spotkanie poprowadzi:

Wiesław Krawczyński – Ekspert ds. bezpieczeństwa IT

Konsultant z ponad 25-letnim doświadczeniem zawodowym i akademickim. Brał udział w tworzeniu infrastruktury PKI dla instytucji publicznych oraz firm. Doświadczony ekspert w zakresie usług zaufania oraz identyfikacji elektronicznej. Specjalizuje się w zagadnieniach infrastruktury klucza publicznego oraz bezpieczeństwa związanego z podpisem elektronicznym.

Wszystko, co potrzebujesz wiedzieć o Inspektorze Danych Osobowych

Powszechna cyfryzacja wymaga szczególnej dbałości o bezpieczeństwo naszych danych osobowych. Nawet jeśli dane nie są rdzeniem prowadzonego przez nas biznesu, pojawią się one w zatrudnieniu, umowach, księgowości itd.

Ale jak zapewnić poprawność każdego procesu, gdy jest ich kilkanaście albo kilkadziesiąt? Nie można przecież znać się na wszystkim!

To zadawane przez naszych Klientów pytanie. Rozwiązaniem, które rekomendujemy jest powołanie Inspektora Ochrony Danych. Jako specjalista, przeprowadzi nas przez liczne wymagania prawne, wytyczne organów nadzoru (w tym Urzędu Ochrony Danych Osobowych), metodyki, normy i orzecznictwo sądowe. Doradzi też, jak efektywnie odpowiedzieć na potrzeby osób, których dane przetwarzamy.

Wokół samej funkcji Inspektora Ochrony Danych narosło wiele mitów i nieporozumień. Nie wszyscy wiedzą, czym ma się zajmować, jaka jest jego pozycja i czy w ogóle musimy go mieć.

W odpowiedzi na nie, w trakcie naszego webinaru, wyjaśnimy m.in.:

  • Kto powinien być IODem i jakie musi mieć kompetencje?
  • Jak powołać IODa oraz kto szczególnie powinien go powołać?
  • Jakie zadania ma IOD?
  • Jaki status w spółce powinien mieć IOD?
  • Czego potrzebuje IOD by dobrze wykonywać swoje obowiązki?

Powyższe zagadnienia omówimy jako właśnie aktywni Inspektorzy Ochrony Danych w różnych branżach. Czyli zrobimy to praktycznie, anegdotycznie i z dużą dawką ciekawostek.

Data: Środa, 14 czerwca 2023 r., godz. 11:00-12:00

Zarejestruj się bezpłatnie!

Spotkanie poprowadzą:

  • Wojciech Brzostowski

Adwokat, specjalista z zakresu ochrony danych osobowych i prawa pracy. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. W roku 2021 wyróżniony przez Dziekana Okręgowej Rady Adwokackiej w Warszawie za uzyskanie jednego z najwyższych wyników z egzaminu adwokackiego.

  • Marcin Kempisty

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego.

Zapraszamy!

Obowiązki podmiotu przetwarzającego (procesora): praktyczne wskazówki, metody i narzędzia

Współcześnie niemal każdy podmiot funkcjonujący w obrocie prawno-gospodarczym korzysta z pomocy wyspecjalizowanych usługodawców, w takich obszarach, jak np. IT, przechowywanie danych osobowych w przestrzeni serwerowej, hosting, obsługa prawna, windykacja, księgowość, rachunkowość, wycena aktuarialna czy rekrutacja. Outsourcing obejmuje także czynności z zakresu bezpieczeństwa i higieny pracy czy świadczenia usług archiwizacji lub niszczenia dokumentacji fizycznej.

W większości przypadków outsourcing czy świadczenie usług wiąże się z koniecznością powierzenia danych osobowych. Nasze webinarium pomoże Państwu zdobyć kompetencje pozwalające na podniesienie poziomu świadomości wymogów prawnych, organizacyjno-technicznych u Państwa partnerów, będących procesorami w celu lepszego zabezpieczenia procesów przetwarzania danych osobowych.

Agenda:

  • Podstawowe obowiązki podmiotu przetwarzającego (procesora) w relacji powierzenia przetwarzania danych.
  • Pozycja podmiotu przetwarzającego (procesora) w relacji do administratora.
  • Utrzymanie statusu procesora (zdolności) w sytuacji przekształceń wewnątrzorganizacyjnych.
  • Odpowiedzialność podmiotu przetwarzającego za nieprawidłowości związane z przetwarzaniem przy powierzeniu. 

 

Data: Czwartek, 18 maja 2023 r., godz. 11:00-12:00

ZAREJESTRUJ SIĘ JUŻ TERAZ!

Webinar jest bezpłatny!

 

Spotkanie poprowadzi:

  • dr Adam Rogala-Lewicki

Prawnik z doświadczeniem w zakresie obsługi podmiotów korporacyjnych w ramach obrotu cywilnego, handlowego i gospodarczego, specjalizujący się w prawie ochrony danych osobowych, bezpieczeństwa informacji, nowych technologii oraz własności intelektualnej. 

Ochrona danych osobowych dotyczących przelotu pasażera (PNR) oraz o pasażerach (API)

Realizując cel związany z zapewnieniem bezpieczeństwa publicznego legislator europejski dostrzegł powiązanie między terroryzmem i przestępczością transgraniczną a podróżami międzynarodowymi i w tym celu zdecydował się na wykorzystanie mechanizmu gromadzenia przez przewoźników lotniczych danych dotyczących przelotu pasażera.

Przetwarzanie takich informacji oczywiście musiało zostać obudowane modelem ochrony danych osobowych. W ten sposób powstał system PNR (Passenger Name Record), który uzupełnił już funkcjonujące narzędzia zwalczania przestępczości transgranicznej (vide system Schengen). Przewoźnicy lotniczy muszą przekazywać dane PNR dotyczące lotów przychodzących i wychodzących z UE. Ujednolicenie standardu uzyskano dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/681[i].  Potrzeba wprowadzenia uregulowań wiązała się również z zawarciem przez UE umów międzynarodowych wprowadzających obowiązek przekazywania danych PNR władzom państw trzecich[ii] (USA[iii], Australii[iv], Kanady[v] czy Japonii[vi]). W Polsce transpozycję ww. dyrektywy przeprowadzono ustawą z dnia 9 maja 2018 roku o przetwarzaniu danych dotyczących przelotu pasażera. Ustawa nakłada obowiązek na przewoźników lotniczych przekazywania do Krajowej Jednostki ds. Informacji o Pasażerach (JIP) danych PNR[vii].

 

Przekazanie danych następuje na rzecz Straży Granicznej i przybiera formę aktywną oraz bierną. Ta pierwsza dotyczy każdego z planowanych lotów we wskazanych w ustawie terminach, tj. od 48 do 24 godzin przed planowanym rozpoczęciem lotu PNR, oraz niezwłocznie po zakończeniu odprawy biletowo-bagażowej i wejściu wszystkich pasażerów na pokład statku powietrznego. W przypadku drugiej formy Straż Graniczna może wystąpić o przekazanie danych PNR. Przewoźnik lotniczy powinien przekazywać dane za pomocą środków komunikacji elektronicznej, przy wykorzystaniu protokołów oraz formatów danych określonych w przepisach wykonawczych do ustawy[viii]. Do katalogu przekazywanych danych należą m.in.:

  • Data dokonania rezerwacji lub wystawienia biletu.
  • Data przelotu.
  • Imię i nazwisko pasażera oraz jego dane teleadresowe.
  • Informacje dotyczące płatności za bilet.
  • Numer miejsca na pokładzie statku powietrznego.
  • Informacje dotyczące bagażu.
  • Obywatelstwo, płeć i pozostałe dane z dokumentu tożsamości.

Obok danych PNR niektórzy przewoźnicy lotniczy, w ramach gromadzenia i przetwarzania danych PNR, w związku z zwalczaniem nielegalnej imigracji i ulepszeniem kontroli granicznej, mają również obowiązek zatrzymać  zebrane przez nich zaawansowane informacje o pasażerach, tj. dane API (Advance Passenger Information). Obowiązek przewoźników, wynikający z dyrektywy 2004/82/WE z dnia 29 kwietnia 2004 roku w sprawie zobowiązania przewoźników do przekazywania danych pasażerów (dyrektywa API)[ix], ogranicza się jednak wyłącznie do lotów z/do państw trzecich, a dane udostępniane są na wniosek organów). Dane przekazywane na wniosek obejmują:

  • Imię lub imiona oraz nazwisko w pełnym brzmieniu.
  • Datę urodzenia.
  • Numer i rodzaj dokumentu podróży.
  • Nazwę przejścia granicznego, w którym nastąpi przekroczenie granicy RP.
  • Numer lotu.
  • Datę i czas startu i lądowania statku powietrznego.
  • Liczbę pasażerów statku powietrznego.
  • Lotnisko wejścia pasażera na pokład statku powietrznego w celu odbycia lotu[x].

Dane API powinny być przekazane po zakończeniu odprawy bagażowej i nie później niż w chwili startu. Komendant SG usuwa dane po zakończeniu kontroli granicznej danego lotu, jednak nie później niż po upływie 24 godzin od chwili przekazania informacji przez przewoźnika w odpowiednim formacie technicznym[xi].

 

Przewoźnicy lotniczy, obok obowiązku informacyjnego względem organów publicznych, na okoliczność gromadzenia i przetwarzania danych osobowych podróżnych, muszę zrealizować obowiązek informacyjny również względem osób, których dane dotyczą. Przepisy PNR nakładają w tym zakresie dodatkowy – obok RODO – szczegółowy zakres klauzuli informacyjnej.

 

Za niedopełnienie obowiązków wynikających z ustawy PNR na przewoźnika lotniczego mogą zostać nałożone administracyjne kary pieniężne w zryczałtowanej wysokości. Kara nakładana jest oddzielnie za każdy lot oraz w odniesieniu do każdego z terminów, w którym dany przewoźnik lotniczy był zobowiązany do przekazania danych PNR, co oznacza możliwość sumowania kar. Nałożenie kary następuje w formie decyzji administracyjnej Komendanta Głównego Straży Granicznej (lub komendanta oddziału Straży Granicznej[xii]), która może zostać wydana w terminie 3 lat od dnia, w którym przewoźnik lotniczy dopuścił się naruszenia. Ukarany może wystąpić z wnioskiem o ponowne rozpatrzenie sprawy albo wnieść skargę do sądu administracyjnego (w przypadku decyzji komendanta oddziału SG przysługuje wniosek o ponowne rozpatrzenie sprawy przez ten sam organ). Przewoźnik lotniczy, który: nie przekazuje danych PNR do JIP w terminie podlega administracyjnej karze pieniężnej w wysokości 20 000 zł, natomiast ten, który nie przekazuje do JIP wszystkich zgromadzonych, w celu dokonania rezerwacji lub realizacji lotu PNR, elementów kategorii danych PNR, do których przekazania był zobowiązany, podlega administracyjnej karze pieniężnej w wysokości 12 000 zł – za każdy lot PNR, w którym takie naruszenie nastąpiło. Najwyższa kara, jaka może zostać nałożona na przewoźnika lotniczego w związku z jednym lotem PNR, nie może przekroczyć 40 000 zł. Kary mogą być zmniejszone o 50%, jeśli przewoźnik lotniczy usunie skutki swojego naruszenia, czyli przekaże dane PNR w dodatkowych określonych w ustawie terminach (w zależności od rodzaju naruszenia – do 6 godzin przed startem lub do czasu lądowania)[xiii].

 

Kary administracyjne za nieprzekazanie danych PNR

Nieprzekazanie danych PNR za jeden lot PNR

Zgodnie z wymogami ustawy PNR

Na wniosek Straży Granicznej

Nieprzekazanie w ogóle lub nie w terminie

20 000 zł.

10 000 zł.

Nie wszystkie posiadane kategorie danych

12 000 zł.

6 000 zł.

Nie w sposób zgodny z ustawą PNR

16 000 zł.

8 000 zł.

Źródło: ustawa z dnia 9 maja 2018 roku o przetwarzaniu danych dotyczących przelotu pasażera, Dz.U. z 2019r., poz. 1783.

 

Przewoźnik lotniczy nie podlega karze pieniężnej w przypadku, gdy niedopełnienie obowiązku nastąpiło w wyniku: działania siły wyższej, awarii systemu służącego SG do pozyskiwania oraz przetwarzania danych PNR, awarii powstałej po stronie przewoźnika lotniczego.

 

W przypadku danych API, zgodnie z dyrektywą 2004/82/WE, państwa członkowskie podejmują niezbędne środki, aby zapewnić, że sankcje na przewoźników są odstraszające, skuteczne i proporcjonalne oraz że: maksymalna wysokość takich sankcji jest nie mniejsza niż 5.000 EUR lub ekwiwalent w walucie krajowej, albo minimalna wysokość takich sankcji jest nie mniejsza niż 3.000 EUR lub niż ekwiwalent w walucie krajowej[xiv]. Przewoźnik lotniczy, który wbrew obowiązkowi:

  • Nie przekazał informacji – podlega karze pieniężnej w wysokości 22 500 zł.
  • Przekazał informację nieprawdziwą – podlega karze w wysokości 18 000 zł.
  • Przekazał informację niepełną – podlega karze pieniężnej w wysokości 13 500 zł.
    – za każdy lot, w którym odpowiednio nie przekazał informacji, przekazał informację nieprawdziwą lub przekazał informację niepełną. Kary pieniężne, na wniosek komendanta placówki Straży Granicznej właściwego ze względu na miejsce przekroczenia granicy przez pasażerów statku powietrznego, wymierza Prezes Urzędu Lotnictwa Cywilnego[xv].

 


[i] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/681 z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania. Dz.Urz. UE L 132 z 4.5.2016, s. 119.

[ii] UE podpisała już umowy pozwalające unijnym przewoźnikom przekazywać dane pasażera do USA, Kanady i Australii. W lutym 2020 roku Rada przyjęła decyzję upoważniającą do rozpoczęcia negocjacji w sprawie podobnej umowy z Japonią. Zob. Rezolucja Parlamentu Europejskiego z dnia 5 maja 2010 r. dotycząca rozpoczęcia negocjacji w sprawie umów dotyczących rejestru nazwisk pasażerów (PNR) ze Stanami Zjednoczonymi, Australią i Kanadą, 2011/C 81 E/12 (Dz.Urz. UE C z dnia 15.3.2011 r.).

[iii] Zob. umowa między USA a UE o wykorzystywaniu danych dot. przelotu pasażera (PNR) praz przekazywania takich danych do Departamentu Bezpieczeństwa Wewnętrznego USA (Dz.Urz. UE L 215 z 11.6.2012 r.). Por. Umowa między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu przez przewoźników lotniczych danych dotyczących przelotu pasażera (PNR) do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (Dz. Urz. UE L 298 z 2006 r.), (akt uchylony).

[iv] Umowa między UE a Australią o przetwarzaniu i przekazywaniu przez przewoźników lotniczych australijskiej służbie celnej danych PNR pochodzących z UE (Dz.Urz. UE L 213 z 8.8.2008 r.).

[v] Zob. (a) umowa między Wspólnotą Europejską a Rządem Kanady o przetwarzaniu zaawansowanych informacji o pasażerach oraz zapisu danych dotyczących nazwiska pasażera (Dz. Urz. UE L 82 z 21.3.2006, s. 15),
(b) decyzja Rady z dnia 18 lipca 2005 r. w sprawie zawarcia Umowy pomiędzy Wspólnotą Europejską a Rządem Kanady o przetwarzaniu danych API/PNR (2006/230/WE), (Dz. Urz. UE L 82 z 21.3.2006, s. 14).

[vi] Decyzja Rady upoważniająca do rozpoczęcia negocjacji z Japonią w sprawie umowy między Unią Europejską a Japonią o przekazywaniu i wykorzystywaniu danych dotyczących przelotu pasażera (PNR) w celu zapobiegania terroryzmowi i poważnym przestępstwom transgranicznym oraz walki z nimi, 5378/20, Bruksela 4 lutego 2020 r.

[vii] Zgodnie z ustawowym słownikiem definicyjnym, dane PNR obejmują dane dotyczące przelotu pasażera, w tym dane osobowe, które są przetwarzane w związku z prowadzeniem działalności gospodarczej przez przewoźników lotniczych w celu dokonania rezerwacji lub realizacji lotu w ramach przewozu lotniczego, podlegające przekazaniu przez przewoźnika lotniczego do JIP.

[viii] Zob. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 maja 2018 r. w sprawie określenia protokołów i formatów danych wykorzystywanych przez przewoźników lotniczych w celu przekazywania danych PNR do Krajowej Jednostki do spraw Informacji o Pasażerach (Dz.U. z 2018 r., poz. 1012). Por. rozporządzenie Rady Ministrów z dnia 30 maja 2018 r. w sprawie przetwarzania danych dotyczących przelotu pasażera przez Krajową Jednostkę do spraw Informacji o Pasażerach (Dz.U. z 2018 r., poz. 1148).

[ix] Dz.Urz. UE L 261 z 6.8.2004 r., s. 24-27. W Polsce dyrektywa 2004/82/WE (API) została implementowana m.in. przepisami art. 202a-202d, 209u ustawy z dnia 3 lipca 2002 r. Prawo lotnicze (Dz.U. z 2002 r. Nr 130, poz. 1112 z późn. zm.).

[x] Art. 202a ust. 3 ustawy z dnia 3 lipca 2002 r. Prawo lotnicze (Dz.U. z 2002 r. Nr 130, poz. 1112 z późn. zm.).

[xi] Zob. rozporządzenie Ministra Spraw Wewnętrznych z dnia 24 października 2012 r. w sprawie wymagań technicznych i organizacyjnych dotyczących przekazywania Straży Granicznej informacji przez przewoźników lotniczych (Dz. U. z 2012 r., poz. 1249). Por. Opinia nr 9/2006 dotycząca wdrożenia dyrektywy 2004/82/WE Rady w sprawie zobowiązania przewoźników do przekazywania z wyprzedzeniem danych pasażerów, (WP 127), przyjęta 28 września 2006 r., Grupa Robocza art. 29.

[xii] Art. 1 ustawy z dnia 27 stycznia 2022 r. o zmianie ustawy o przetwarzaniu danych dotyczących przelotu pasażera (Dz. U. 2022 poz. 271).

[xiii] Art. 64-70 ustawy z dnia 9 maja 2018 r. o przetwarzaniu danych dotyczących przelotu pasażera (Dz.U. z 2019r., poz. 1783).

[xiv] Art. 4 dyrektywy 2004/82/WE z dnia 29 kwietnia 2004 r. w sprawie zobowiązania przewoźników do przekazywania danych pasażerów (dyrektywa API), (Dz.Urz. UE L 261 z 6.8.2004 r., s. 24-27).

[xv] Art. 209u ustawy z dnia 3 lipca 2002 r. Prawo lotnicze (Dz.U. z 2002 r. nr 130, poz. 1112 z późn. zm.).

Rekordowe zadośćuczynienie w związku z naruszeniem przepisów o ochronie danych osobowych

W końcu ubiegłego roku zapadło ważne orzeczenie, w którym Sąd Okręgowy w Warszawie zasądził najwyższe dotychczas zadośćuczynienie w związku z naruszeniem przepisów – m.in. o ochronie danych osobowych – w wysokości 20 000 zł oraz obowiązek zwrotu kosztów postępowania na rzecz powódki.

Sprawa toczyła się z powództwa asesor komorniczej przeciwko Skarbowi Państwa – Naczelnemu Sądowi Administracyjnemu, a podstawą roszczenia było nieprzeprowadzenie anonimizacji orzeczenia (usunięcia danych identyfikujących stronę), które wraz z uzasadnieniem zostało opublikowane na stronie internetowej Naczelnego Sądu Administracyjnego (NSA), a zatem poprzez podanie do publicznej wiadomości i w sposób umożliwiający pełną identyfikację strony postępowania. Co istotne dla sprawy NSA miał obowiązek zanonimizować treść wyroku i uzasadnienia zgodnie z obowiązującym zarządzeniem Prezesa NSA, więc publikacja danych strony naruszała prawo i nie istniała inna podstawa prawna do przetwarzania danych osobowych.

Jak zostało stwierdzone w postępowaniu przed sądem okręgowym, orzeczenie NSA dotyczyło zakwestionowania nieposzlakowanej opinii asesora komorniczego niezbędnej do wpisu na listę komorników, do czego podstawą było przeprowadzone kilka lat wcześniej postępowanie dyscyplinarne i skreślenie z listy asesorów komorniczych. Były to więc, w ocenie powódki, informacje mogące istotnie wpłynąć na ocenę jej pracy zawodowej – zarówno przez kolegów, jak i strony postępowania egzekucyjnego.

Pani asesor (której personaliów już tym razem nie poznaliśmy) dochodząc zadośćuczynienia za krzywdę jakiej doznała w związku z publikacją, wskazywała że działanie NSA miało charakter bezprawny i godziło w jej dobre imię oraz prawo do prywatności. W uzasadnieniu sąd podkreślił, że opublikowanie danych osobowych powódki w Internecie w sposób niezgodny z przepisami o ochronie danych osobowych, nastąpiło w wyniku działania instytucji, która powinna cieszyć się szczególnym zaufaniem obywateli. Niezależnie bowiem od przedmiotu rozpoznawanej przez NSA sprawy oraz od tego, jaki zawód czy funkcje pełnią strony postępowania, powinny mieć one pewność, że ich dane osobowe i informacje o przebiegu sprawy są w sposób odpowiedni chronione i nie staną się podstawą późniejszych problemów w życiu prywatnym czy tez zawodowym lub nawet nie będą źródłem jedynie ryzyka ich wystąpienia. Sąd miał przy tym na uwadze, że treść wyroku zawierająca niezanonimizowane dane osobowe powódki pozostawała dostępna w Internecie przez okres kilku lat, co niewątpliwie miało wpływ na rozmiar związanych z tym negatywnych przeżyć powódki.

Wydaje się, że stanowisko sądu co do przyznania i wysokości zadośćuczynienia jest trafne. Także wykonywanie funkcji publicznych nie pozbawia podmiotu danych ochrony prawa do prywatności. I pomimo, że część informacji była publicznie dostępna, to jednak została uzupełniona o informacje zgromadzone w postępowaniu administracyjnym, w którym jawność jest wyłączona, a sam dostęp do jego materiałów w postepowaniu przed sądem administracyjnym mocno ograniczony. Była to więc informacja nie podlegająca co do zasady upublicznieniu, a jej opublikowanie przez NSA naruszało przepisy, m.in. zasady przetwarzania określone w RODO.

Warto również podkreślić, iż sam fakt publicznej dostępności danych nie decyduje o legalności przetwarzania danych czy wyłączeniu ochrony na gruncie RODO – jest wprost przeciwnie – wszelkie dane osobowe i każda osoba fizyczna podlega ochronie, a jedynie w pewnych przypadkach wykorzystanie takich danych może być dopuszczalne – zawsze jednak są to kwestie podlegające ocenie na gruncie przepisów rozporządzenia.

Ze sprawy rozpoznanej przed sądem okręgowym płyną doniosłe wnioski zarówno teoretyczne, jak i praktyczne – każdy administrator poza odpowiedzialnością administracyjną związaną z postępowaniem przed Prezesem Urzędu Ochrony Danych Osobowych musi się liczyć z potencjalnymi roszczeniami osób, których dane przetwarza – odszkodowaniem – gdy naruszenie RODO spowoduje szkodę w majątku podmiotu danych – i zadośćuczynieniem, czyli rekompensatą za krzywdę (uraz psychiczny) jakiego doznał podmiot danych. O ile jednostkowe zadośćuczynienia są względnie niewielkie, o tyle masowość przetwarzania danych i skutki ew. błędu powodują, że potencjalne roszczenia mogą pochodzić od tysięcy podmiotów – np. w związku z kradzieżą bazy danych.

Katalog dóbr osobistych jest otwarty i poza prawem do prywatności obejmuje również szereg innych dóbr – np. prawo do ochrony wizerunku, prawo do tajemnicy korespondencji, prawo do ochrony życia rodzinnego, prawo pracownika do tajemnicy wynagrodzenia, czy prawo do ochrony mieszkania (temat bardzo aktualny w kontekście pracy zdalnej). Te wszystkie prawa podmiotowe mogą zostać naruszone również przez niewłaściwe przetwarzanie danych osobowych i np. przekazanie korespondencji niewłaściwemu adresatowi, ujawnienia informacji osobie nieuprawnionej, czy zbieranie nadmiarowych danych osobowych.

RODO a ochrona dóbr osobistych

W kontekście omawianej sprawy warto zwrócić uwagę, że podstawą do zasądzenia zadośćuczynienia były przepisy kodeksu cywilnego o ochronie dóbr osobistych, a nie art. 82 ust. 1 RODO określający samodzielną podstawę do zasądzenia zadośćuczynienia w związku z naruszeniem przepisów tego rozporządzenia. I choć przepis ten został powołany w uzasadnieniu wyroku, to przepisy RODO zostały wskazane jako uzupełniające przesłanki ochrony dóbr osobistych.
Jest to niebagatelna kwestia mająca znaczenie dla podmiotów, które na gruncie RODO nazywamy administratorami danych osobowych i podmiotami przetwarzającymi – otóż naruszenie przepisów o ochronie danych osobowych może się wiązać nie tylko z odpowiedzialnością wskazaną w RODO, ale również z alternatywną odpowiedzialnością cywilnoprawną (tzw. odpowiedzialnością deliktową).

Art. 82 RODO kształtuje odpowiedzialność administratora szerzej i bardziej rygorystycznie niż przepisy kodeksu cywilnego, zwłaszcza w zakresie odpowiedzialności za szkodę w majątku osoby, której dane dotyczą – w tym zakresie RODO ustanawia domniemanie winy w spowodowaniu szkody przez administratora (lub procesora) i to administrator musi udowodnić, że nie jest winny szkody spowodowanej naruszeniem rozporządzenia. Jest to konsekwencja podstawowej zasady RODO, zasady rozliczalności, zgodnie z którą administrator jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie. Przeniesienie tzw. ciężaru dowodu ma kolosalne znaczenie procesowe, ponieważ to na pozwanym (administratorze/podmiocie przetwarzającym) ciąży obowiązek udowodnienia, że dołożył szczególnej staranności i naruszenie przepisów nie nastąpiło z jego winy. W praktyce w sytuacji, gdy doszło do zdarzenia naruszającego przepisy RODO, wykazania szczególnej staranności będzie wymagało przedstawienia np. szczegółowych zasad ochrony danych i dowodów na ich stałe monitorowanie (np. przez audyty) albo wykazania dokładnej weryfikacji procesorów.

Zbieg przepisów RODO i kodeksu cywilnego

Stanowisko sądu łączące reżimy RODO i kodeksu cywilnego należy jednak uznać za kontrowersyjne, ponieważ odpowiedzialność określona w RODO nie może być ograniczana przez prawo krajowe, co w niektórych okolicznościach może wystąpić przy zastosowaniu przepisów kodeksu cywilnego. Podstawę określoną w RODO i przepisy kodeksu cywilnego należy ujmować alternatywnie – nie powinny być one łączone, a powód powinien wskazać czy domaga się np. ochrony na gruncie dóbr osobistych, czy danych osobowych.

Jeśli więc podmiot danych będzie się powoływał na RODO, to sąd oceniający podstawy do zasądzenia zadośćuczynienia powinien ostrożnie podchodzić do posiłkowania się przepisami o ochronie dóbr osobistych. Nieco odmiennie będzie w przeciwnym wypadku – ponieważ np. art. 24 i art. 448 kodeksu cywilnego wymagają bezprawności działania prowadzącego do naruszenia dóbr osobistych, to co do zasady naruszenie RODO takim bezprawnym działaniem będzie. Nie jest to jednak kwestia przesądzająca o zasadności przyznania ochrony na gruncie dóbr osobistych – wykazanie naruszenia RODO nie jest jednoznaczne z wykazaniem naruszenia określonych dóbr osobistych, choć najczęściej będzie do tego prowadzić.

Z kolei na gruncie art. 82 RODO nie ma powodu, aby w kontekście szkody niemajątkowej istniała konieczność precyzowania w pozwie naruszonego dobra osobistego – wymóg taki nie wynika z RODO. Art. 82 przyznaje prawo do odszkodowania lub zadośćuczynienia w związku z naruszeniem RODO – powód w oparciu o ten przepis – w przeciwieństwie do przepisów kodeksu cywilnego – nie musi wykazywać, że istnieje naruszone dobro osobiste, a jedynie to, że doszło do naruszenia przepisów rozporządzenia i że poniósł w związku z tym krzywdę (lub szkodę majątkową).

Art. 92 ustawy o ochronie danych osobowych wskazuje, że w zakresie nieuregulowanym rozporządzeniem do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa m.in w art. 82 rozporządzenia, stosuje się przepisy kodeksu cywilnego. Przepis ten nie do końca koreluje z motywem 146 RODO, zgodnie z którym „pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia”. Takie definiowane pojęcie „szkody”, na gruncie RODO rozumiane przez odniesienie do prawa unijnego i orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, choć co do zasady jest zbieżne z przepisami kodeksu cywilnego, to może być zmienne w czasie i powodować rozbieżności. Szacując więc ryzyka związane z odpowiedzialnością administratora należy uwzględniać również regulacje unijne, a nie tylko prawo krajowe.

Odpowiedzialność podmiotów uczestniczących w przetwarzaniu

Każdy administrator uczestniczący w przetwarzaniu danych odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom, a wiec co do zasady w granicach umowy powierzenia przetwarzania danych osobowych.

Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Określenie „w żaden sposób” wskazuje, że nawet minimalna wina i niedochowanie szczególnej staranności nie pozwala na uwolnienie się od odpowiedzialności. Jak zostało wcześniej wspomniane, to na administratorze lub podmiocie przetwarzającym ciąży obowiązek wykazania, że nie ponoszą winy (istnieje więc domniemanie obalalne, że naruszenie obowiązków jest przez te podmioty zawinione).

Z uwagi na to, że administrator odpowiada za cele i sposoby przetwarzania oraz za wydawanie poleceń podmiotowi przetwarzającemu, to inaczej niż w prawie cywilnym nie może się zwolnić z odpowiedzialności względem podmiotu danych, wskazując na błędy podmiotu przetwarzającego (jeśli ten nie wykorzystał danych do własnych celów) i brak winy w wyborze podwykonawcy przetwarzania.

Odpowiedzialność administratora (administratorów) i podmiotów przetwarzających uczestniczących w przetwarzaniu jest solidarna, a zatem poszkodowany może domagać się odszkodowania lub zadośćuczynienia od dowolnego z tych podmiotów, jak i wszystkich jednocześnie.

Podsumowanie
Na koniec warto jeszcze wskazać, że zobowiązania kontraktowe dotyczące odpowiedzialności pozostają w zgodzie z RODO, o ile nie modyfikują jej w zakresie dotyczącym podmiotu danych – umowa może więc zawierać zobowiązanie do zwolnienia administratora lub podmiotu przetwarzającego przez drugą stronę, ale nie wpływa to na prawo dochodzenia odszkodowania przez podmiot danych zgodnie z zasadami wyrażonymi w art. 82 RODO.
W świetle przedstawionych uwag należy stwierdzić, że przepisy RODO dają szersze uprawnienia podmiotowi danych aniżeli przepisy kodeksu cywilnego. Wiąże się to również z większą odpowiedzialnością podmiotów zaangażowanych w przetwarzanie danych osobowych aniżeli na gruncie przepisów kodeksu cywilnego. Jakkolwiek na tym etapie podobne orzeczenia pojawiają się raczej wyjątkowo, to nie jest to kwestia braku podstaw do roszczeń, a raczej wady etapu – skomplikowanej procedury i niewielkiej świadomość prawnej społeczeństwa. Łatwo sobie wyobrazić, że w związku z ciągłym wzrostem świadomości liczba podobnych powództw będzie jednak rosła.