Autor: Natalia Groszyk

Wiążące reguły korporacyjne

Przepisy dotyczące wiążących reguł korporacyjnych funkcjonowały już na gruncie starej ustawy o ochronie danych osobowych, jako jedna z możliwości przekazywania danych osobowych w ramach grupy kapitałowej z państw UE do państw trzecich. Wiążące reguły korporacyjne to zestaw dokumentów, które mają zagwarantować odpowiedni poziom ochrony przekazywanych danych osobowych. RODO doprecyzowuje tę kwestię.

Z mechanizmu tego korzystać mogą zarówno administratorzy danych, jak i podmioty przetwarzające. Zgodnie z art. 4 pkt 20 „wiążące reguły korporacyjne” są to polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

RODO nie definiuje pojęcia grupy kapitałowej, natomiast w art. 4 pkt 19 wprowadza pojęcie „grupy przedsiębiorstw”, które oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane.

Zgodnie z motywem 110 preambuły grupa przedsiębiorstw lub grupa przedsiębiorców prowadzących wspólną działalność gospodarczą, powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą, pod warunkiem, że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych. Z powyższego wynika, że wiążące reguły korporacyjne stanowią swego rodzaju zbiór zasad, które mają zapewnić bezpieczny sposób przekazywania danych osobowych poza granice UE, co zostało potwierdzone w art. 46 ust. 2.

Zgodnie z art. 47 ust. 1 wiążące reguły korporacyjne musi zatwierdzić właściwy organ nadzorczy zgodnie z mechanizmem spójności wskazanym w art. 63. pod warunkiem, że są one prawnie wiążące oraz mają zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane i wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne prawa
w związku z przetwarzaniem ich danych osobowych.

Aby możliwe było zastosowanie powyższego rozwiązania, grupa kapitałowa musi posiadać co najmniej jeden podmiot na terenie UE i jeden w państwie trzecim. Istotne jest, iż wiążące reguły korporacyjne nie mogą być stosowane przez podmioty publiczne.

II Polski Kongres Prawa Ochrony Danych Osobowych

Dnia 15 marca 2019 r. odbędzie się II edycja Polskiego Kongresu Danych Osobowych, organizowana przez magazyn ODO. W czasie trwania spotkania zostanie wygłoszone ponad 18 prelekcji i warsztatów, a swój udział potwierdziło ponad 20 ekspertów z branży.

W naszym imieniu prezentację poprowadzi Daria Worgut – Jagnieża, Lead Data Privacy Specialist, która opowie o praktycznych aspektach realizacji praw podmiotów danych.

Agenda prezentacji:

Praktyczne i techniczne aspekty realizacji praw podmiotów danych

  • Prawa podmiotów danych
  • Opłaty za realizację żądań
  • Sposoby organizacji obsługi żądań
  • Udział procesora i subprocesora w procesie obsługi żądań
  • Systemy IT – czy wszystkie z nich wymagają dostosowania?
  • Elektroniczny rejestr zgód jako metoda zarządzania zgodami

Porównanie funkcji IOD oraz ABI

Ustawa o ochronie danych osobowych z 29 sierpnia 1997 roku, wprowadziła do prawa polskiego funkcję Administratora Bezpieczeństwa Informacji (ABI), który działał z powołania Administratora Danych, oraz określała między innymi w jakim terminie należy zgłosić fakt powołania lub odwołania ABI do Generalnego Inspektora Ochrony Danych Osobowych.

Outsourcing IOD

Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), doprowadziło do przekształcenia funkcji ABI w Inspektora Ochrony Danych (IOD) oraz wprowadziło pewne zmiany zarówno dla osób pełniących tę funkcję jak i dla administratorów danych. Tryb zgłaszania IOD został z kolei wskazany w krajowej Ustawie o ochronie danych osobowych z dnia 10 maja 2018 roku.

Jedną z najważniejszych różnic pomiędzy stanem prawnym przed 25 maja 2018 r. i po tej dacie, jest zmiana podejścia dot. obowiązku powołania ABI/IOD. O ile ustawa z 1997 roku, wskazywała wyłącznie iż „Administrator danych może powołać „Administratora Bezpieczeństwa Informacji”, dając Administratorowi Danych jedynie przywilej powołania ABI, to już w RODO określono jakie podmioty są obowiązane powołać IOD, co zostało następnie doprecyzowane w ustawie z 2018 roku. Artykuł 37 Rozporządzenia, który dość dokładnie wskazuje kiedy Administrator Danych oraz Podmiot Przetwarzający mają obowiązek powołania IOD, został dodatkowo uszczegółowiony w artykule 9 Ustawy z 2018 roku, gdzie wskazano, które organy i podmioty publiczne są obowiązane do wyznaczenie IOD – są to jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski.

Wraz z wejściem w życie RODO, zmianie uległy również kwalifikacje wymagane do pełnienia funkcji ABI na mocy Ustawy z 1997 roku. Zgodnie z poprzednim stanem prawnym, osoba która miała zostać Administratorem Bezpieczeństwa Informacji musiała spełnić 3 warunki: mieć pełną zdolność do czynności prawnych; posiadać odpowiednią wiedzę w zakresie ochronnych danych osobowych oraz nie być wcześniej karaną za przestępstwo umyślne. W samym tekście Rozporządzenia znaleźć można wyłącznie lakoniczny opis wymagań dla Inspektora Ochrony Danych, który to powinien zostać „wyznaczony na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań, o których mowa w art. 39.”

Ponadto, w wyniku wprowadzenia nowych przepisów Inspektorzy Ochrony Danych dostali nieco inny zestaw obowiązków w porównaniu do tego, czym zajmowali się ABI. Na mocy ustawy z 1997 roku, Administratorzy Bezpieczeństwa Informacji odpowiadali za zapewnienie przestrzegania przepisów o ochronie danych osobowych oraz za prowadzenie rejestru zbiorów danych przetwarzanych przez Administratora Danych. Katalog zadań IOD został w stosunku do zadań ABI zasadniczo poszerzony a sam Inspektor otrzymał również lepszą ochronę prawną. IOD został przede wszystkim zobowiązany do informowania osób przetwarzających dane osobowe o obowiązkach prawnych, które wynikają z RODO  i prawa państwa członkowskiego. Jednym z najważniejszych zadań Inspektora jest również współpraca z krajowym organem nadzorczym oraz pełnienie punktu kontaktowego dla organu w organizacji, w której został powołany, w kwestiach związanych z przetwarzaniem danych. IOD, który został powołany w danej organizacji nie może otrzymywać odgórnych instrukcji dotyczących wykonywania przez niego zadań, nie może za poprawne wykonywanie swoich obowiązków zostać karany albo odwołany.

Zmiany wprowadzone na podstawie RODO, wprowadziły nowy etap dla osób odpowiedzialnych w organizacjach za prawidłowe i zgodne z prawem przetwarzanie danych osobowych. Ustanowienie nowych obowiązków dla Inspektora zostało rozsądnie połączone z lepszym zabezpieczeniem jego praw i realne ustawienie go wyżej w hierarchii swojej organizacji.

IOD w gabinetach dentystycznych

Według RODO zarówno dentysta (lekarz) prowadzący działalność jako osoba fizyczna, jak i kliniki stomatologiczne oraz szpitale prowadzające działalność w dużej skali są administratorami danych swoich pacjentów, ale także swoich pracowników – to znaczy że mają obowiązek przestrzegania przepisów o ochronie danych osobowych.

Zgodnie z art. 37 RODO administrator i podmiot przetwarzający mają obowiązek wyznaczenia inspektora danych w przypadku przetwarzania szczególnych kategorii danych, a więc danych dotyczących stanu zdrowia na „duża skalę”. RODO nie definiuje pojęcia przetwarzanie danych na dużą skalę, ale w wytycznych Grupy Roboczej art. 29 ds. ochrony danych z 13 grudnia 2016 roku dotyczących inspektorów ochrony danych („DPO”) przeczytamy, że Grupa powołuje się na motyw 91 RODO, wyjaśniając że operacje przetwarzania o dużej skali to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym, lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować duże ryzyko naruszenia praw i wolności podmiotów danych. Zgodnie z wytycznymi przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie danych na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, lub innego pracownika służby zdrowia lub prawnika.

W związku z powyższym  pojedynczy dentysta, który samodzielnie prowadzi gabinet stomatologiczny, nie ma obowiązku powołania inspektora danych osobowych, natomiast klinika stomatologiczna, która zatrudnia większą ilość specjalistów, powinna taki obowiązek spełnić.

Przy ocenie dużej skali należy także ocenić obszar, na którym następować będzie przetwarzanie danych – im większe terytorium, tym większa liczba danych będzie przetwarzana. W tym przypadku możemy uznać, że przetwarzanie odbywa się na dużą skalę.  W tym pojęciu może jak najbardziej się mieścić przetwarzanie danych pacjentów w ramach prowadzonej działalności przez szpital czy klinikę. Ocenę kryterium dużej skali należy dokonywać każdorazowo w kontekście konkretnego stanu faktycznego.

Należy zauważyć, że inspektorem danych osobowych może być tylko osoba fizyczna. Funkcję inspektora danych osobowych może pełnić osoba zatrudniona przez administratora lub podmiot przetwarzający na podstawie stosunku pracy albo na podstawie umowy cywilnoprawnej. Przepisy RODO nie wskazują jednak przesłanek odwołania. Jedynie art. 38 ust.3 mówi o tym, że administrator lub podmiot przetwarzający  mogą rozwiązać umowę  o pracę z inspektorem ochrony danych, w przypadku jeśli nie realizuje on zadań określonych w umowie o pracę, lub umowie cywilnoprawnej. RODO również nie przewiduje odpowiedzialności IOD za niewłaściwe wykonanie swoich obowiązków.

IOD-a w RODO – 200 dni w praktyce

Jakie problemy pojawiają się przy prowadzeniu rejestrów wymaganych przez RODO? Co wziąć pod uwagę przy outsourcowaniu wdrożenia RODO i funkcji DPO? Na jakie praktyczne problemy można natknąć się przy stosowaniu wdrożonych procedur w praktyce?

To niektóre z pytań, na które będziemy szukać odpowiedzi podczas śniadania organizowanego wspólnie z kancelarią prawną KRK Kieszkowska Rutkowska Kolasiński.

Podczas spotkania podzielimy się naszą wiedzą i doświadczeniem m.in. w następujących kwestiach:

§  Doświadczenia i problemy związane ze stosowaniem RODO

§  Monitoring pracowników / profilowanie w organizacji

§  Cyberbezpieczeństwo pod ustawą o krajowym systemie cyberbezpieczeństwa i dyrektywą NIS

Zagadnienia prawne związane z ochroną danych osobowych omówią nasi Konsultanci oraz przedstawiciele KRK reprezentujący praktykę IP/IT.

Śniadanie odbędzie się w Warszawie, w hotelu Warszawa – przy Placu Powstańców Warszawy 9  (poziom 0) w czwartek 28 lutego 2019 r., w godz. 9.30 – 11.30 (zapraszamy od godz. 8:45).

 

Liczba miejsc jest ograniczona, dlatego prosimy o mailowe potwierdzenie chęci udziału w spotkaniu na adres: marketing@audytel.pl

 

Serdecznie zapraszamy!

Kontrole sektorowe UODO

Prezes Urzędu Ochrony Danych Osobowy udostępnił zatwierdzony plan kontroli sektorowych na rok 2019.

Wśród badanych podmiotów znajdą się te zdefiniowane w sektorze publicznym – tutaj kontrolerzy będą m. in. kontynuować prace nad sprawdzaniem poprawności prowadzenia miejskiego monitoringu wizyjnego oraz zakresu i sposobu informacji publikowanych w BIP-ach.

W sektorze organów ścigania i sądów na kontrolę powinny przygotować się m.in. Straż Graniczna, Policja oraz Areszty Śledcze.

Kontrolerzy UODO będą także weryfikować poprawność przestrzegania przepisów w szkołach, placówkach oświaty, podmiotach udzielających świadczeń zdrowotnych oraz u, szeroko rozumianych, pracodawców (sektor zdrowia, szkolnictwa i zatrudnienia). Co do tych ostatnich, PUODO wydał wytyczne w zakresie rekrutacji i monitoringu wizyjnego pracowników i to właśnie tych obszarów przetwarzania danych dotyczyć mają kontrole.

Sektor prywatny badany będzie pod kątem prowadzenia telemarketingu, poprawności podstaw prawnych stosowanych u brokerów baz danych oraz profilowania przez banki i ubezpieczycieli.

 

Szczegóły dostępne pod linkiem https://uodo.gov.pl/pl/138/679.

 

O specyfice kontroli prowadzonych przez Urząd Ochrony Danych Osobowych, zgodnie z przepisami ustawy z 10 maja 2018r. o ochronie danych osobowych, pisaliśmy już wcześniej:

  1. https://rodoradar.pl/1466-2/;
  2. https://rodoradar.pl/kontrola-przeprowadzana-organ-nadzorczy-kontrolujacy-upowaznienia-cz-ii/;
  3. https://rodoradar.pl/kontrola-przeprowadzana-organ-nadzorczy-przebieg-kontroli-cz-iii/.

CNIL vs Google – pierwsza, poważna kara za naruszenie przepisów RODO

CNIL (Commission Nationale de l’Informatique et des Libertés), czyli francuski organ nadzorujący przestrzeganie przepisów o ochronie danych osobowych, nałożył 50 milionów euro kary na Google za naruszenie przepisów RODO. Firma najprawdopodobniej odwoła się od tej decyzji.

W kilka dni po rozpoczęciu stosowania przepisów RODO, CNIL otrzymał od dwóch organizacji skargi związane z działalnością Google, które złożone zostały w imieniu ponad 10 tysięcy osób. Zarzuty dotyczyły braku podstawy prawnej do przetwarzania danych osobowych użytkowników usług świadczonych przez Google, w tym wykorzystywania tych danych do wyświetlania spersonalizowanych reklam. W sprawę zaangażowany był również Maks Schrems, znany aktywista na rzecz ochrony prywatności.

W celu rozpatrzenia skarg, CNIL zbadał proces zakładania i konfiguracji konta na urządzeniach mobilnych z systemem Android, w tym dokumenty, klauzule i regulaminy kierowane w tym przypadku do użytkowników.

W wyniku przeprowadzonej analizy francuski organ nadzorczy stwierdził dwa rodzaje naruszeń.

Po pierwsze, zarzucił Google naruszenie obowiązków dotyczących przejrzystości i informacji. W ocenie CNIL ogólna struktura podawanych informacji nie odpowiada wymogom RODO. Niezbędne informacje, takie jak określenie celów przetwarzania danych, okresów ich przechowywania lub kategorii danych osobowych wykorzystywanych do personalizowania reklam, są nadmiernie rozproszone w wielu dokumentach, z przyciskami i linkami, kierującymi użytkownika do kolejnych dokumentów. Użytkownik potrzebuje nawet do 5-6 działań, aby zapoznać się z odpowiednimi informacjami. Dodatkowo CNIL wskazał, iż informacje są przedstawiane w sposób zbyt ogólny i niejasny.

Drugi zarzut dotyczył naruszenia obowiązku posiadania podstawy prawnej do przetwarzania danych osobowych w celu personalizowania reklam. CNIL ocenił, że zgoda użytkownika na przetwarzanie danych w tym celu, którą legitymuje się Google nie jest w sposób prawidłowy uzyskiwana. Zarówno forma zbierania zgód (łączenie kilku zgód w ramach warunków korzystania z usług), jak również jej treść (rozproszenie w kilku dokumentach, niejasna treść) nie odpowiadają wymogom RODO.

Uzasadniając wysokość nałożonej kary CNIL wskazał, że naruszenie dotyczy podstawowych zasad RODO: przejrzystości informowania oraz warunków pozyskiwanych zgód i pozbawia użytkowników podstawowych gwarancji dotyczących operacji przetwarzania danych osobowych, które mogą ujawnić elementy ich życia prywatnego, ponieważ opierają się na dużej ilości danych oraz szerokiej gamie usług.

Organ podniósł również fakt, iż system operacyjny Android ma na rynku francuskim ważne miejsce i tysiące Francuzów codziennie tworzą konto Google podczas korzystania ze smartfona. Ponadto model ekonomiczny przedsiębiorstwa jest częściowo oparty na wyświetlaniu personalizowanych reklam, a naruszenie ma charakter ciągły.

Chmura obliczeniowa – bezpieczne rozwiązanie, czy problem dla ochrony danych osobowych?

Obserwując rynkowe trendy można stwierdzić, iż korzystanie z usług przetwarzania danych w chmurze (ang. cloud computing services) cieszy się rosnącą popularnością wśród klientów, niezależnie od wielkości przedsiębiorstwa. Przyczyną takiego stanu rzeczy są zalety tego modelu świadczenia usług, do których zaliczają się m.in.: zapewnienie wysokiej dostępności i bezpieczeństwa danych, elastyczność i skalowalność zasobów, niższe koszty całkowite (TCO, ang. Total Cost of Ownership), możliwość wyeliminowania kosztów inwestycyjnych (CAPEX), czy też przerzucenie „problemu” utrzymania systemów i związanych z tym czynności na dostawcę (zarządzanie, aktualizacja, back-up).

Mimo szeregu zalet użytkownicy mają liczne obawy przed migracją do środowiska chmury. Według badań przeprowadzonych przez Audytel, najwięcej wątpliwości wzbudzają kwestie związane z bezpieczeństwem i ochroną danych poufnych, utratą kontroli nad danymi, a także brakiem zgodności z normami i regulacjami.

W rzeczywistości obawy te mogą okazać się zupełnie nieuzasadnione, zwłaszcza w przypadku klientów z sektora MŚP. Model przetwarzania danych w chmurze w praktyce może zapewnić  znacznie wyższy poziom bezpieczeństwa w stosunku do przetwarzania danych we własnej infrastrukturze w siedzibie firmy (ang. on premise). Dzieje się tak dlatego, że profesjonalni dostawcy usług chmurowych dysponują szeregiem zabezpieczeń zarówno na poziomie technicznym, jak i organizacyjnym, których zwłaszcza małe przedsiębiorstwa zazwyczaj nie stosują, lub stosują w ograniczonym zakresie. Ponadto operator platformy cloud jest w stanie zapewnić szereg usług dodatkowych takich jak back-up danych, odtworzenie danych w przypadku awarii (DRC), co przyczynia się do zwiększenia dostępności danych w stosunku do przetwarzania lokalnego.

Ze względu na zwiększony poziom bezpieczeństwa danych, możliwość zapewnienia wysokiej dostępności (zgodnie z  wymaganiami  RODO – artykuł 32), usługi chmurowe stanowią szansę na spełnienie tych wymagań, zwłaszcza dla podmiotów które nie są w stanie im sprostać w samodzielnie budowanym i zarządzanym środowisku IT. Dodatkowo operator usługi cloud powinien, w ramach swoich możliwości zapewnić wsparcie przy realizacji innych wymagań wynikających z rozporządzenia, takich jak notyfikacja o incydentach oraz realizacja żądań wynikających z uprawnień podmiotów danych (szczególnie w przypadku usług typu Software as a Service – SaaS).

Na co zatem zwrócić uwagę przy korzystaniu z usług dostawców chmurowych w aspekcie RODO?

Przede wszystkim należy określić, czy dostawca będzie miał dostęp do przetwarzanych danych osobowych. W przypadku świadczenia usługi w modelu IaaS (ang. Infrastructure as a Service), tak być nie musi. Jednak w najpopularniejszym obecnie modelu usług chmurowych czyli SaaS usługodawca będzie miał dostęp do przetwarzanych danych, zatem w rozumieniu RODO  będzie podmiotem przetwarzającym, ze wszystkimi tego konsekwencjami. Zgodnie z artykułem 28 RODO, usługodawca w szczególności zobowiązany będzie do zachowania tajemnicy, zapewnienia bezpieczeństwa przetwarzanych danych osobowych poprzez podjęcie środków określonych w artykule 32, wsparcia administratora w realizacji żądań praw podmiotów danych oraz wywiązywania się z pozostałych obowiązków wynikających z RODO. Sposób, zakres, czas, charakter czy cele przetwarzania danych przez usługodawcę powinny być uregulowane na podstawie umowy powierzenia lub innego instrumentu prawnego wiążącego prawnie administratora i podmiot przetwarzający. Ważne by umowa określała konkretnie rodzaj przetwarzanych danych osobowych, kategorie osób, których dane dotyczą oraz wszystkie szczegółowe obowiązki oraz prawa administratora i podmiotu przetwarzającego.

Inną kwestią, na którą należy zwrócić uwagę, jest lokalizacja przetwarzania danych. Co do zasady, za bezpieczne uznaje się kraje znajdujące się na terenie Europejskiego Obszaru Gospodarczego (EOG), na terenie którego obowiązują przepisy RODO. Nie ma przeciwwskazań do przekazania danych osobowych dostawcy przetwarzającemu je poza obszarem EOG, pod jednym jednak warunkiem –  zapewnienia odpowiedniego stopnia ochrony danych, co zgodnie z art. 45 RODO, potwierdza w drodze aktu wykonawczego (decyzji) Komisja Europejska.

W przypadku gdy Komisja Europejska nie wydała decyzji co do odpowiedniego stopnia ochrony na danym obszarze, nadal istnieje możliwość zawarcia umowy z dostawcą przetwarzającym tam dane. Należy jednak zbadać stosowany przez dostawcę rodzaj zabezpieczeń, środki ochrony prawnej oraz możliwości egzekwowania praw osób, których dane dotyczą. Dostawcy posiadający m.in. zatwierdzone wiążące reguły korporacyjne, lub otwarci na zastosowanie w umowie powierzenia  standardowych klauzul ochrony danych przyjętych przez Komisję Europejską, lub też posiadający zatwierdzony kodeks postępowania, lub zatwierdzony mechanizm certyfikacji będą podmiotami przetwarzającymi, które spełniają wymóg zapewnienia adekwatnego poziomu ochrony danych.

Podsumowując, przy wyborze dostawcy usług chmurowych przede wszystkim należy mieć na uwadze aspekty bezpieczeństwa. Wskazówką mogą być tu certyfikaty posiadane przez usługodawcę, jak na przykład ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, czy też przynależność do organizacji zrzeszających, jak na przykład CISPE. Atutem mogą też być usługi dodatkowe jakie zapewnia dostawca, jak na przykład ochrona przed złośliwym oprogramowaniem, atakami DDOS, itp. Inną ważną kwestią jest fizyczna lokalizacja przetwarzanych danych. Jeżeli przetwarzanie odbywa się poza terytorium EOG niezbędna jest weryfikacja czy dostawca gwarantuje odpowiedni stopień ochrony danych, bez względu na lokalizację ich przetwarzania. Należy też pamiętać, że administratorowi – w każdym momencie korzystania z usługi – przysługuje prawo do kontroli podmiotu przetwarzającego, mającej na celu wykazanie czy należycie realizuje on swoje obowiązki.

Omówienie wskazówek PUODO dot. monitoringu wizyjnego

W czerwcu 2018 r. na stronie internetowej UODO pojawiły się wskazówki dotyczące monitoringu wizyjnego, przy czym Urząd ogłosił jednocześnie możliwość składania do dokumentu uwag w ramach konsultacji. Sama inicjatywa jest niezwykle cenna, ponieważ prowadzenie monitoringu w kontekście nowych regulacji prawnych wzbudza wiele wątpliwości. Niniejszy artykuł ma na celu przedstawienie głównych kwestii z czerwcowych wskazówek.

Kamery monitoringu wizyjnego towarzyszą nam na co dzień w bardzo szerokim zakresie, pomagając chronić własność materialną czy intelektualną, jednak nie mogą one przy tym naruszać prywatności nagrywanych osób. Zwłaszcza iż nowe technologie i towarzyszące im rozwiązania sprawiają, że osoba nagrana nie zawsze jest tego nagrywania świadoma.

W związku z tym, że brakuje obecnie konkretnych regulacji dotyczących monitoringu, oraz dotyczy on różnych obszarów, należy stosować się do ogólnych przepisów o ochronie danych osobowych jak i szczególnych przepisów sektorowych, w zależności od tego jakiego procesu dotyczy monitoring wizyjny.

W związku z ustawą z 10 maja 2018 r. o ochronie danych osobowych, modyfikacji  w tym zakresie ulegają przepisy Kodeksu pracy, wskazując, że monitoring dotyczący pracowników może mieć miejsce tylko i wyłącznie w ramach: kontroli produkcji, zapewnienia bezpieczeństwa, zapewnienia ochrony tajemnicy przedsiębiorstwa  i ochrony mienia.  Dodatkowo obszar monitorowany nie może obejmować: szatni, stołówek oraz toalet. W sytuacji kiedy administrator monitoruje obszar dozwolony, powinien mieć na uwadze poszanowanie praw i wolności osób fizycznych, co wielokrotnie zostało podkreślone w RODO, ale wynika także z Konstytucji RP czy przepisów sektorowych.

Mając zamiar stosowania monitoringu wizyjnego w organizacji, niezbędne jest wykonanie analizy ryzyka jeszcze przed jego zastosowaniem. Wynik analizy wykaże, czy rzeczywiście użycie kamer dozoru wizyjnego jest niezbędne i konieczne do osiągnięcia celu, jakim jest zapewnienia bezpieczeństwa. Warte rozważenia są inne środki zabezpieczające np. zatrudnienie firmy zapewniającej ochronę. Jeśli wynik analizy nie będzie wskazywał ryzyka naruszenia praw i wolności osób fizycznych lub będzie ono niskie, to prawną podstawę przetwarzania danych może stanowić dla administratora prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO), natomiast nie może mieć ona zastosowania do administratorów, będących podmiotami publicznymi.

Jeśli prowadzenie monitoringu okaże się niezbędne, lub organizacja jest zobligowana do jego stosowania przepisami prawa, należy go używać w taki sposób, aby nie naruszał praw i wolności osób, których dane będą rejestrowane.

Administrator danych podejmując decyzję o stosowaniu monitoringu zobowiązany jest do:

  • zdefiniowania celów przetwarzania i zapewnienia minimalizacji danych;
  • spełnienia obowiązku informacyjnego wobec podmiotów danych;
  • zapewnienia realizacji przysługujących praw podmiotom danych;
  • przechowywania danych nie dłużej niż jest to konieczne (retencja nagrań z monitoringu pracowników wynosi maksymalnie 3 miesiące, co warunkują przepisy Kodeksu pracy, Prawa oświatowego i ustawy o samorządzie gminnym), z wyjątkiem sytuacji, kiedy nagranie służy do celów dowodowych w postępowaniu;
  • oraz zastosowania odpowiednich, adekwatnych środków bezpieczeństwa ochrony danych osobowych.

Należy zwrócić uwagę, że jeśli nagrania mogą odtwarzać obraz klatka po klatce, by rozpoznać osobę której dane są przetwarzane przy jednoczesnym użyciu odpowiednich metod technicznych, dokonujących automatycznej analizy obrazu, to może dochodzić do przetwarzania szczególnych kategorii danych.

Zastosowanie monitoringu w firmach, może powodować pokusę użycia ukrytych kamer w celu np. eliminacji kradzieży, niszczenia mienia, weryfikacji podejrzeń co do pracowników. Takie działania są nielegalne, a wyjątek legalności ich stosowania przewidziany jest jedynie dla odpowiednich służb.

Kiedy administrator lub podmiot przetwarzający muszą wyznaczyć swojego przedstawiciela?

Zgodnie z art. 3 ust. 2 RODO administratorzy danych i podmioty przetwarzające, którzy nie posiadają swojej siedziby na terenie Unii Europejskiej, ale przetwarzają dane osób przebywających na terenie Unii w związku z oferowaniem im towarów lub usług lub monitorowaniem ich zachowania, zobowiązani są do wyznaczenia swojego przedstawiciela.

Obowiązek ten nie ma zastosowania wówczas, kiedy przetwarzanie danych przez administratorów i podmioty przetwarzające:

  • ma charakter sporadyczny i nie obejmuje przetwarzania na dużą skalę szczególnych kategorii danych osobowych oraz przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Należy podkreślić, że przesłanki te muszą zachodzić łącznie, aby podmiot został zwolniony z powyższego obowiązku.
  • jeżeli administrator jest organem lub podmiotem publicznym.

 

Zgodnie z definicją przedstawicielem może być osoba fizyczna lub prawna, która ma miejsce zamieszkania lub siedzibę w Unii, i która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z rozporządzenia. Wybór właściwego przedstawiciela powinien być uzależniony od charakteru przetwarzania oraz wielkości administratora lub podmiotu przetwarzającego. Istotne jest, aby przedstawiciel miał siedzibę w państwie członkowskim, w którym przebywają osoby, których dane są przetwarzane.

Przedstawiciel działa w imieniu administratora lub podmiotu przetwarzającego i pełni rolę punktu kontaktowego dla organu nadzorczego oraz dla osób, których dane dotyczą w związku z realizacją ich żądań. Należy podkreślić, że wyznaczenie przedstawiciela nie zwalnia powyższych podmiotów z wywiązywania się z obowiązków, jakie nakłada na nich RODO, np. z odpowiedzialności za naruszenia, która spoczywa zarówno na administratorze, jak i podmiocie przetwarzającym. Na przedstawiciela również mogą zostać nałożone sankcje zgodnie z art. 84 ust. 1 RODO.

Ponadto w motywie 80 Preambuły wskazano, że przedstawiciel wykonuje swoje zadania na podstawie pisemnego upoważnienia nadanego mu przez administratora danych lub podmiot przetwarzający i działa tylko zgodnie z tym upoważnieniem. W przypadku kiedy przedstawiciel nie przestrzega zapisów upoważnienia może zostać poddany działaniom egzekucyjnym, mimo że w samym rozporządzeniu nie są przewidziane dla przedstawiciela żadne sankcje z tego tytułu.

Informacja o powołaniu przedstawiciela musi zostać przekazana w obowiązku informacyjnym skierowanym do osób, których dane dotyczą, i należy wskazać w nim jego tożsamość i dane kontaktowe.

Brak powołania przez administratora lub podmiot przetwarzający swojego przedstawiciela, jeśli zachodzą ku temu przesłanki, może prowadzić do zastosowania środków, o których  jest mowa w art. 77 – 78 oraz może skutkować nałożeniem kary pieniężnej  zgodnie z art. 83 ust. 4 lit. a) RODO.