Natalia Groszyk, Autor w serwisie RODOradar.pl

Pierwsza kara finansowa nałożona pod rządami RODO

Wystarczyło niespełna 5 miesięcy od kiedy RODO zaczęło obowiązywać na terenie Unii Europejskiej, żeby jeden z krajowych organów nadzorczych nałożył pierwszą w historii karę pieniężną. Mowa tu o austriackim odpowiedniku naszego PUODO, tzn. Datenschutzbehörde (DSB), który zdecydował o ukaraniu jednej ze spółek karą w wysokości 4,800 euro za naruszenie postanowień rozporządzenia. Zgodnie z informacjami uzyskanymi od samego DSB, „informacja o nałożeniu kary jest zgodna z prawdą, jednakże sprawa ta nie została jeszcze zakończona, gdyż spółka ma prawo odwołać się od decyzji o nałożeniu kary w ciągu 4 tygodni od jej nałożenia. W związku z tym, wspomniana wcześniej decyzja nie została dotychczas opublikowana w austriackim systemie informacji prawnych”.

DSB miało interweniować w sprawie niezgodnego z prawem monitoringu CCTV prowadzonego przez ukaraną spółkę, której kamera została ustawiona tak, że obejmowała poza wejściem do biura, również dużą część chodnika (przestrzeni publicznej). Organ wskazał ponadto, że system monitoringu miał być niezgodny z wynikającą z RODO regułą przejrzystości (transparency), gdyż ukarany nie zadbał o właściwe oznaczenie kamer.

O ile wysokość tej kary nie jest imponująca (zwłaszcza w porównaniu z maksymalnymi stawkami, które mogą nakładać krajowe organy), to o wiele ciekawszy wydaje się fakt, iż spółka została finansowo ukarana bez wcześniejszego ostrzeżenia ze strony DSB. Zgodnie z 148 motywem RODO, organy nadzorcze dostały inne narzędzia poza możliwością nakładania kar pieniężnych, niezbędnych do skutecznego egzekwowania przepisów rozporządzenia. Przykładem może być udzielane w pierwszym kroku upomnienie. Jednak jak twierdzą przedstawiciele naszego krajowego organu nadzorczego, administratorzy danych którzy znani byli wcześniej z łamania przepisów o ochronie danych osobowych, nie powinni liczyć na taryfę ulgową, lecz mogą spodziewać się właśnie nakładania kar finansowych bez wcześniejszego uprzedzenia.

Nie może też dziwić, że to akurat w Austrii odnotowano pierwszy przypadek ukarania pod rządami RODO. Znany jest fakt przywiązania władz oraz obywateli tego kraju do ochrony prywatności oraz danych osobowych. Wystarczy wspomnieć, że Austria w związku z rygorystyczną polityką prywatności, jest dziś jedną z ostatnich białych plam w Europie w aplikacji Google Street View. Amerykańska firma nie była w stanie spełnić wymagań strony austriackiej w związku z czym, poza kilkoma szczególnymi punktami nie zobaczymy w tym systemie ulic miast i wsi Austrii.

Nie wiemy dziś czy kara ta zostanie utrzymana, jednak w przypadku podtrzymania wydanej przez DSB decyzji możemy spodziewać się nawet lawiny kar w całej Europie w związku z przetwarzaniem danych z wykorzystaniem monitoringu CCTV. Administratorzy, na przykładzie ukaranej organizacji, muszą mieć zatem na uwadze takie kwestie jak odpowiednie oznaczenie kamer, czy też nagrywanie jedynie własnego terenu z wyłączeniem miejsc publicznych znajdujących się w pobliżu spółki.

Spotkanie: RODO przy kawie – branża kosmetyczna

Podczas warsztatu przedstawimy najistotniejsze informacje dotyczące ochrony danych osobowych dla branży kosmetycznej, podpowiemy jak postępować z danymi wrażliwymi oraz w jaki sposób prowadzić działania marketingowe zgodne z RODO.

Agenda spotkania:

1. Najczęstsze procesy przetwarzania danych w branży kosmetycznej
2. Jak postępować z danymi wrażliwymi, jakie dane podlegają szczególnej ochronie?
3. Czy muszę zatrudnić Inspektora Danych Osobowych?
4. Reklama i marketing interaktywny, czyli w jaki sposób planować komunikację do klientów
oraz jak zadbać o formalności przy współpracy z influencerami, portalami i mediami branżowymi.

Spotkanie poprowadzą:

Daria Jagnieża-Worgut, Lead Data Privacy Specialist
Michał Rogoziński, Konsultant ODO

Liczba miejsc jest ograniczona, dlatego prosimy o mailowe potwierdzenie udziału w spotkaniu na adres: biuro@rodoradar.pl

Zapraszamy!

Prawo do ograniczenia przetwarzania danych

Zgodnie z art. 18 RODO prawo żądania od administratora ograniczenia przetwarzania danych występuje w przypadkach gdy:

osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych;
osoba, której dane dotyczą sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania, a przetwarzanie jest niezgodne z prawem;
dane osobowe nie są już potrzebne do celów, w jakich zostały zgromadzone, ale nie można ich usunąć z uwagi na obowiązujące przepisy;
osoba, która wniosła sprzeciw wobec przetwarzania danych, czeka na wydanie decyzji w tej sprawie.

Ograniczenie oznacza, że jedyną dopuszczalną czynnością przetwarzania danych osobowych jest ich przechowywanie, wyłącznie za zgodą osoby, której dane dotyczą, w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na względy interesu publicznego UE lub państwa członkowskiego UE.

Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym podmiot danych, który żądał ograniczenia. W szczególności, informacja powinna być prowadzona w zwięzłej, przejrzystej i dostępnej formie. Informacji udziela się na piśmie, w tym dozwolona jest forma elektroniczna. Administrator danych nie pobiera co do zasady opłat za podejmowanie działań związanych z realizacją praw podmiotów danych oraz komunikację z nimi.

Motyw 67 preambuły RODO podaje przykładowe metody pozwalające ograniczyć przetwarzanie danych:

czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania;
uniemożliwienie użytkownikom dostępu do wybranych danych;
czasowe usunięcie opublikowanych danych ze strony internetowej.

Należy zauważyć, że zgodnie z RODO administrator danych bez zbędnej zwłoki w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem ograniczenia przetwarzania. Termin jednak może, z uzasadnionych przez administratora przyczyn zostać przedłużony.

Należy zwrócić uwagę, że naruszenie prawa do ograniczenia przetwarzania podlega administracyjnej karze pieniężnej w wysokości do 20 mln euro, a w sytuacji przedsiębiorstw w wysokości do 4% jego całkowitego rocznego obrotu z poprzedniego roku obrotowego w zależności od tego, która kwota jest wyższa.

Projekt zmian w kodeksie pracy

W związku z rozpoczęciem stosowania przepisów RODO, pojawiła się konieczność dostosowania wielu ustaw funkcjonujących w polskich systemie prawnym do nowej regulacji przetwarzania danych osobowych. Na długo przed 25 maja 2018 roku pojawiały się w mediach głosy ekspertów, które mówiły o kilkuset ustawach, których zmiana będzie konieczna. Aktualny projekt ustawy dostosowującej wpływa na 160 obowiązujących ustaw. Jedną z nich jest Kodeks pracy, którym zajmę się w niniejszym tekście.

Nie ulega wątpliwości, iż obecne brzmienie Kodeksu pracy w zakresie przetwarzania danych osobowych pracowników oraz kandydatów do pracy jest archaiczne, a co za tym idzie trudne do stosowania. Dość powiedzieć, że pracodawca w obecnym stanie prawnym nie ma prawa żądać od kandydata do pracy podania numeru telefonu lub adresu e-mail, w celu ewentualnego zaproszenia na rozmowę rekrutacyjną (!). Z drugiej strony ma prawo żądać, aby kandydat podał imiona swoich rodziców – informacje, których istotność dla procesu rekrutacji można słusznie kwestionować. Dodatkowo, praktyczne problemy stwarza wylistowanie na liście danych osobowych kandydata „wykształcenia”, ale pominięcie takich kategorii jak „umiejętności” albo „doświadczenie”.

Wspomniany projekt ustawy przywraca równowagę w przyrodzie w zakresie informacji, jakie pracodawca może pobierać od kandydata do pracy, dodając do katalogu:

dane kontaktowe wskazane przez kandydata – słusznie, bez ograniczania się do adresu e-mail lub telefonu,
kwalifikacje zawodowe – dobre sformułowanie, pozwalające na objęcie nim doświadczenia, umiejętności, certyfikatów, szkoleń itp.

Inaczej wygląda sprawa nowelizacji w zakresie podstawy prawnej do przetwarzania danych osobowych pracownika lub kandydata do pracy. Projekt stanowi, iż „§1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 22¹ § 1 i 3 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika.”. Przepis nie dopuszcza zatem innej podstawy prawnej do przetwarzania innych danych osobowych, niż te które są w nim wymienione. Taka sztywna regulacja może prowadzić do praktycznych problemów, jeśli przyjrzymy się treści §3. tego samego przepisu. Stanowi on, iż „Przetwarzanie, o którym mowa w § 1, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.”

Nietrudno wyobrazić sobie sytuację, w której kandydaci do pracy zamieszczają w CV szerszy zakres danych osobowych, niż jest wymieniony w nowelizowanym przepisie. Nagminne jest chociażby zamieszczanie zdjęć, a można również znaleźć CV zawierające numery PESEL kandydatów. W konsekwencji pracodawca będzie zmuszony do odbierania dodatkowych zgód na przetwarzanie „nadmiarowych” danych osobowych, w sytuacji gdy nie ma żadnego wpływu na to, co kandydat zamieszcza w CV. Proszenie o zamieszczeni stosownych klauzul w treści CV nie jest z reguły najlepszym rozwiązaniem, ponieważ jako pracodawca nie mamy wpływu na to, czy dany kandydat taką klauzulę zamieści. Co w sytuacji, gdy trafi do nas ciekawe CV ze zdjęciem, bez klauzuli? Pracodawca ma zamazać zdjęcie?

Wydaje się zatem, iż kierunek nowelizacji, który nie dopuszcza innej podstawy prawnej do przetwarzania danych osobowych, które kandydat sam podaje w CV (zdając sobie przecież sprawę, że będzie ono analizowane przez różne osoby w organizacji), może prowadzić do problemów w praktyce jej stosowania lub spowoduje, iż szybko przepis stanie się martwy.

PUODO – stary/nowy organ nadzorczy

Z dniem rozpoczęcia stosowania rozporządzenia unijnego o ochronie danych osobowych (RODO), w miejsce Generalnego Inspektora Ochrony Danych Osobowych (GIODO) został powołany nowy organ nadzorczy, którym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Podobnie jak GIODO, Prezes UODO pełni funkcję właściwego organu w sprawie ochrony danych osobowych, a także jest organem nadzorczym w rozumieniu Rozporządzenia o ochronie danych osobowych oraz Rozporządzenia w sprawie Agencji Unii Europejskiej ds. Współpracy organów Ścigania (Europol). RODO podkreśla niezależność organu nadzorczego w wypełnianiu swoich zadań i uprawnień wynikających z Rozporządzenia.

Szczegółowy zakres zadań, które realizuje polski organ nadzorczy, wskazany został w art. 57 RODO ust. 1. Należą do nich m.in.:

monitorowanie i egzekwowanie zapisów Rozporządzenia;
działania edukacyjne w kwestiach związanych z ochroną danych osobowych, w tym działania skierowane do administratorów i podmiotów przetwarzających;
działania doradcze dla instytucji państwowych;
rozpatrywanie skarg wniesionych przez osoby, których dane dotyczą;
współpraca z innymi organami nadzorczymi;
działania certyfikujące;
sporządzanie rocznych sprawozdań z działalności PUODO.

Do Prezesa UODO zgłaszane będą naruszenia ochrony danych osobowych oraz inspektorzy ochrony danych. Zgłoszenia należy przesyłać elektronicznie, za pomocą dedykowanego systemu informatycznego, udostępnionego przez Urząd.

W art. 54 ust. 1 Rozporządzenia opisana została procedura powoływania organu nadzorczego. Na gruncie polskich przepisów, Prezes UODO powoływany i odwoływany jest, podobnie jak GIODO, przez Sejm za zgodą Senatu, ale na wniosek Prezesa Rady Ministrów (art. 34 ust. 3 ustawy o ochronie danych osobowych). Ustawa wskazuje również zakres wymagań, jaki muszą spełnić osoby kandydujące na funkcję Prezesa UODO. Osoba taka powinna m.in.:

wyróżniać się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;
korzystać z pełni praw publicznych.

Podobnie jak w przypadku kadencji GIODO, kadencja Prezesa UODO trwa 4 lata, a osoba pełniąca tę funkcję może pełnić ją nie dłużej niż przez dwie kadencje. Nie zmieniły się także wskazania co do odwołania PUODO.

Ponadto zgodnie z ustawą o ochronie danych osobowych Prezes UODO może mieć aż trzech zastępców, w stosunku do których wymagania są podobne, jak w stosunku do PUODO.

Ustawa wprowadza także nowy organ, jakim jest Rada do Spraw Ochrony Danych Osobowych. Pełni ona funkcję opiniodawczo-doradczą, a do jej zadań należy:

opiniowanie projektów dokumentów, aktów prawnych dot. ochrony danych osobowych;
opracowanie kryteriów certyfikacji;
opracowanie rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze;
wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu;
wykonywanie innych zadań zleconych przez Prezesa Urzędu.

Przewodniczącego i wiceprzewodniczącego Rady powołuje i odwołuje Prezes UODO. Rada składa się z 8 członków, a ich kandydatury mogą zostać zgłoszone przez:

Radę Ministrów;
Rzecznika Praw Obywatelskich;
izby gospodarcze;
jednostki naukowe w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o zasadach finansowania nauki (Dz. U. z 2018 r. poz. 87);
fundacje i stowarzyszenia wpisane do Krajowego Rejestru Sądowego, których celem statutowym jest działalność na rzecz ochrony danych osobowych.

Kadencja członków Rady trwa 2 lata, a jej skład zostaje powołany przez Prezesa UODO. Ponadto Rada zobowiązana jest do składnia rocznych sprawozdań do Prezesa UODO.

Osoba publiczna a dane osobowe

W związku z wejściem w życie ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych (RODO), pojawiły się liczne pytania dotyczące danych osób publicznych ze szczególnym uwzględnieniem ich ujawniania na wniosek obywatela. Zdecydowania większość instytucji publicznych stanęła przed wyzwaniem, czy pod rządami nowego rozporządzenia, dane ich pracowników wciąż mogą być udostępniane w związku z obowiązującymi przepisami prawa europejskiego oraz krajowego. Należy zauważyć, że kwestia ta jest przede wszystkim istotna ze względu na ilość instytucji zobowiązanych do realizacji obowiązku ujawnienia wnioskodawcom informacji publicznej oraz bardzo szeroki zakres pojęcia „informacja publiczna”, które zostało zdefiniowane między innymi przez NSA w wyroku o sygnaturze II SA 1956/2002. Biorąc natomiast pod uwagę mnogość instytucji zobowiązanych do działania nie można zapomnieć, że dotyczy to nie tylko organów jednostek samorządu terytorialnego ale również między innymi podmiotów, które reprezentują skarb państwa oraz wszystkich innych podmiotów realizujących zadania publiczne.

Właściwym jest zaznaczyć, iż na mocy art. 86 RODO możliwe jest ujawnienie danych osobowych przez organ lub podmiot publiczny dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia. Warto podkreślić, że RODO nie nakazuje udostępnienia danych osobowych, a jedynie nie zakazuje takiego działania, warunkując jego legalność od odpowiedniego prawa krajowego państw członkowskich. W Polsce właściwym aktem prawnym jest Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Ustawa), gdzie w artykule 2 ust. 1 wprost wskazano powszechne prawo do informacji publicznej. W kolejnym podpunkcie tego artykułu zapisano natomiast brak obowiązku wykazania interesu prawnego lub faktycznego przez osobę, która wykazuje swoje prawo do informacji publicznej. Oznacza to, że żądanie takie można skutecznie zgłosić również anonimowo.

Pewnym złagodzeniem powszechnego dostępu do informacji publicznej jest art. 5 ust. 2 Ustawy, który ogranicza wskazane wcześniej prawo ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorstwa. Ograniczenie to nie dotyczy jednak informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji. Dodatkowym ograniczeniem jest obowiązek ochrony ograniczonych ustawowo tajemnic i informacji niejawnych, które mogłyby zawierać dane osobowe. Polskie sądy w swoich orzeczeniach, wskazywały że na mocy przepisów o ochronie danych osobowych również udostępnienie informacji publicznej jest czynnością przetwarzania. W związku z tym, należy też do nich stosować zasady związane z ochroną danych osobowych.

Nie w każdym przypadku jednak, udzielenie odpowiedzi w związku z zapytaniem o informację publiczną będzie wymagało ujawnienia danych osobowych. Przetwarzania danych osobowych można będzie z pewnością uniknąć, ograniczając się jedynie do podania np. informacji statystycznych, które nie zawierają danych osobowych i nie podlegają ochronie na mocy zarówno RODO jak i polskiej Ustawy o ochronie danych osobowych.

Czynności związane z udzieleniem informacji publicznej należy rozpatrywać za każdym razem indywidualnie. Pozwoli to w niektórych przypadkach ograniczyć ujawnianie danych osobowych. Należy jednak pamiętać, że kiedy niezbędne jest ujawnienie danych, należy przestrzegać wszystkich zasad ochrony wynikających z RODO.

Profilowanie w świetle RODO

Art. 4 RODO definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Kwestia profilowania nabrała znaczenia ze względu na rozwój nowych technologii, powstanie Internetu rzeczy, możliwości tworzenia dużych zasobów danych, a przez to, możliwość tworzenia profilów i podejmowania zautomatyzowanych decyzji, co w rozumieniu RODO może istotnie wpływać lub naruszać prawa i wolności osób fizycznych.

W jaki jednak sposób określić czy i kiedy mamy do czynienia z profilowaniem?

Po pierwsze, profilowanie może zachodzić tylko na danych przetwarzanych w systemach informatycznych.
Po drugie, profilowanie dotyczy danych osobowych, a nie np. kalkulacji finansowych, czy danych statystycznych, które nie pozwalają zidentyfikować osoby fizycznej.
Po trzecie, rezultat profilowania stanowi ocena pozyskanych danych o osobie, której dane przetwarzamy.

Aby można było mówić o profilowaniu, musi dojść do oceny danych dotyczących jednej, konkretnej osoby fizycznej. Opracowanie profilów dla grup społecznych, ekonomicznych, czy zawodowych, bez możliwości identyfikacji osoby, której dane przetwarzamy, nie będzie już procesem profilowania. Jeśli natomiast, w wyniku profilowania, jesteśmy w stanie określić, na podstawie np. współpracy z klientem, jakie tenże klient ma potrzeby lub preferencje i na tej podstawie możemy wystosować względem niego konkretną ofertę nowej usługi lub modyfikacji obecnej usługi, to mamy do czynienia z profilowaniem.

RODO mając na celu ochronę praw osób, których dane przetwarzamy, nakazuje by o stosowaniu profilowania informować. Podmiot danych, będąc świadomym przetwarzania jego danych z wykorzystaniem procesu profilowania, może na podstawie art. 21 ust.1 RODO w każdej chwili się temu profilowaniu sprzeciwić. Administrator zobowiązany jest w przypadku stosowania profilowania, zamieścić tę informację przy realizacji obowiązku informacyjnego.

Ponieważ profilowanie może „istotnie wpłynąć na osobę”, gdyż jego wynikiem, może być nadawanie podmiotom danych „etykiet” lub przydzielanie podmiotów danych do narzuconych schematem grup osób, może dojść do dyskryminacji, ograniczeń konsumenckich, czy też pozbawienia dostępu do usług lub towarów wykluczonych dla zakresu wyprofilowanej grupy.

Przy okazji profilowania warto wspomnieć o podejmowaniu zautomatyzowanych decyzji wobec podmiotów danych, tj. sytuacji, gdzie proces decyzyjny wykonywany jest bez obecności czynnika ludzkiego – w pełni decyduje system. System, który jak wiemy, przyporządkowuje dane zgodnie ze schematem i kryteriami, bez uwzględnienia wyjątków, co w konkretnych przypadkach może dyskryminować osoby fizyczne. Aby uniknąć stosowania decyzyjności przypisanej systemowi informatycznemu, należy uzależnić finalny sposób realizacji procesu biznesowego od decyzji kompetentnej osoby, a nie jedynie wyliczeń i wskazań systemowych.

Niektóre procesy przetwarzania danych oparte na profilowaniu są jednak możliwe na podstawie szczególnych przepisów prawa – tak będzie np. przy administratorach danych, którzy stosują profilowanie przy ocenie zdolności kredytowej podmiotów danych.

Należy pamiętać, że procesy przetwarzania danych osobowych, w których dochodzi do profilowanie i podejmowania zautomatyzowanych decyzji wymagają przeanalizowania ryzyka jakie za sobą niosą, zgodnie z DPIA (art. 35 ust. 3 RODO).

Działanie niepożądane produktu leczniczego – okres przechowywania danych osobowych przez podmiot odpowiedzialny

RODO w sektorze farmaceutycznym

Zgodnie z definicją zawartą w prawie farmaceutycznym działaniem niepożądanym badanego produktu leczniczego jest każde niekorzystne i niezamierzone działanie tego produktu, występujące po zastosowaniu jakiejkolwiek jego dawki.

Działania niepożądane produktów leczniczych zgłasza się Prezesowi Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych lub podmiotowi odpowiedzialnemu (tj. przedsiębiorca sektora farmaceutycznego, który uzyskał pozwolenie na dopuszczenie produktu leczniczego do obrotu).

Zgłoszeń działań niepożądanych produktów leczniczych mogą dokonać osoby wykonujące zawód medyczny oraz pacjenci, przy czym pacjenci (bądź ich opiekunowie) dokonują zgłoszenia osobie wykonującej zawód medyczny, Prezesowi Urzędu lub podmiotowi odpowiedzialnemu.

Prawidłowo wniesione zgłoszenia zawiera m.in.: dane chorego (inicjały, płeć lub inne dane identyfikujące chorego), dane osoby zgłaszającej (imię, nazwisko, sposób kontaktu – adres, telefon, faks, e-mail). W odniesieniu do danych pacjenta przydatne do oceny są również informacje o wzroście i masie ciała, dotyczy to zwłaszcza dzieci oraz osób dorosłych o nietypowym wzroście i masie ciała. Dane osoby zgłaszającej muszą zostać podane w każdym przypadku, z uwzględnieniem imienia, nazwiska, pełnego adresu lub numeru telefonu, faksu czy też adresu elektronicznego.

Zgodnie z powyższym, w ramach zgłaszania działań niepożądanych produktów leczniczych, dochodzi do przetwarzania danych osobowych, zarówno danych dotyczących stanu zdrowia pacjentów (jeżeli możliwa jest identyfikacja pacjenta) oraz danych zwykłych osób zgłaszających działania niepożądane.

Jedną z podstawowych zasad RODO jest zasada ograniczenia czasowego przechowywania danych, zgodnie z którą dane powinny być przechowywane w formie umożliwiającej identyfikacje osoby, której dotyczą, przez okres nie dłuższy niż jest to niezbędne do osiągnięcia celów, dla których dane te są przetwarzane (retencja).

Na administratorze danych ciąży obowiązek określenia powyższego okresu oraz poinformowania o tym osoby, której dane są przetwarzane.

W zakresie zgłaszania działań niepożądanych brak jest przepisów regulujących okres przechowywania danych przez podmiot odpowiedzialny. Praktyka wskazuje, że najczęściej stosowane są dwa rozwiązania.

Zastosowanie przez analogię art. 8 ust. 8 prawa farmaceutycznego „dokumenty dołączone do wniosku, raporty oraz inne dokumenty i dane gromadzone w postępowaniu o dopuszczenie do obrotu, o przedłużenie terminu ważności pozwolenia, o zmianę danych stanowiących podstawę wydania pozwolenia lub o zmianę w dokumentacji będącej podstawą wydania pozwolenia są przechowywane w Urzędzie Rejestracji przez 10 lat po wygaśnięciu pozwolenia i przyjęcie okresu retencji wynoszącego 10 lat od chwili wygaśnięcia pozwolenia, albo odniesienie się do terminów przechowywania dokumentacji medycznej (por. art. 29 ustawy o prawach pacjenta), co polega na przyjęciu okresu retencji 30 lat od wystąpienia zdarzenia.

Do czasu jednoznacznego uregulowania powyżej kwestii, należy uznać, że okres retencji powinien być dostosowany do konkretnego przypadku, przy uwzględnieniu, że podmioty odpowiedzialne – zgodnie z RODO – zobowiązane są do minimalizacji przetwarzanych danych np.: anonimizować dane pacjenta (gdy nie są potrzebne), oraz osoby która w imieniu pacjenta dokonała zgłoszenia a dane lekarza zgłaszającego działanie niepożądane przetwarzać (przechowywać) do czasu wygaśnięcia pozwolenia na dopuszczenie produktu leczniczego do obrotu.

Prawo do sprzeciwu

RODO wprowadziło rozbudowane prawo do wniesienia sprzeciwu przez osobę której dane dotyczą. Warunki skorzystania z prawa do sprzeciwu różnią się w zależności od rodzaju przetwarzania.

Zgodnie z art. 21 ust. 1 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów.

Zgodnie z RODO, prawo do złożenia sprzeciwu dotyczącego przetwarzania danych może być wniesione w dwóch poniżej opisanych przypadkach:

W przypadku gdy dane przetwarzane są przez Administratora w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi (art. 6 ust. 1 lit. e RODO).
W przypadku gdy dane przetworzone są w celu realizacji prawnie uzasadnionych interesów Administratora (art. 6 ust. 1 lit. f RODO).

Zgłaszając sprzeciw, osoba której dane dotyczą ma obowiązek wskazać swoją szczególną sytuacje z uwagi na którą Administrator nie powinien przetwarzać jej danych osobowych. Administrator może odmówić zaprzestania przetwarzania danych powołując się na:

Istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub
Istnienie podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Jedyny wyjątek stanowi sytuacja gdy, Administrator danych przetwarza dane osobowe na potrzeby marketingu bezpośredniego. Osoba której dane dotyczą może w każdym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby marketingu, w tym profilowania, w granicach w jakich przetwarzanie jest związane z marketingiem bezpośrednim. Po wniesieniu sprzeciwu Administrator nie może przetwarzać danych w tym celu. Ponadto, skorzystanie z prawa sprzeciwu jest bezpłatne (powinna istnieć możliwość wniesienia sprzeciwu drogą elektroniczną) i nie wymaga uzasadnienia.

Należy zauważyć, że wykorzystanie prawa do sprzeciwu nie prowadzi do tego, że Administrator danych usunie dane, lecz jedynie przestanie z nich korzystać. W celu usunięcia danych należy skorzystać z drugiego prawa – do bycia zapomnianym (żądanie do usunięcia danych).

W podsumowaniu należy zaznaczyć, że prawo do wniesienia sprzeciwu nie ma charakteru bezwzględnego i nie można go zastosować w każdym przypadku. Wyjątek stanowi tylko przetwarzanie danych w celach marketingowych, gdzie najwyraźniej prawo do złożenia sprzeciwu powinno działać zawsze.

Przetwarzanie „służbowych” danych osobowych

Wiele firm podczas wdrażania przepisów RODO zastanawia się jak podejść do przetwarzania danych osobowych pracowników swoich kontrahentów, których dane pozyskiwane są w ramach realizacji umowy lub zamówienia. Dane tych osób pojawiają się na umowach (jako reprezentanci firmy), w stopkach maili (jako osoby oddelegowane do kontaktu w celu jej realizacji), czy na wizytówkach (jako przedstawicieli handlowych). W takich okolicznościach pozyskiwane są takie informacje jak: imię, nazwisko, służbowy adres e-mail, służbowy numer telefonu.

Czytając przepisy RODO, a w szczególności definicję danych osobowych, można dojść do wniosku, że do tego rodzaju danych osobowych należy przyłożyć RODO w całej rozciągłości. Przy takiej interpretacji jednak szybko dojdziemy do wniosku, iż wiązałoby się to nieustanną wymianą obowiązków informacyjnych pomiędzy pracownikami kontrahentów. W praktyce każdy przedstawiciel handlowy powinien dysponować plikiem kartek z klauzulami informacyjnymi i wręczać je każdemu pracownikowi partnera biznesowego, którego dane pozyskuje. Idąc dalej należałoby przyjąć, iż prezes firmy mógłby poprosić każdego kontrahenta, który zawarł umowę z jego firmą, o dostarczenie kopii swoich danych zawartych na umowie lub ich usunięcia.

Wydaje się, że taka interpretacja przepisów RODO może prowadzić do wypaczenia sensu tej reformy oraz wprowadza nadmierne obowiązki na przedsiębiorców, które nie służą ochronie praw osób fizycznych.

Aby przy okazji wdrażania RODO nie „wylewać dziecka z kąpielą” warto przyjrzeć się motywowi 14 RODO, który stanowi, iż „(…) Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.”

Trudno sobie wyobrazić, aby firmy mogły funkcjonować, zawierać i realizować umowy zachowując anonimowość swoich przedstawicieli – osób fizycznych. Kontrahenci i partnerzy biznesowi muszą wymieniać się danymi kontaktowymi swoich przedstawicieli, aby móc uczestniczyć w obrocie gospodarczym. Celem RODO nie jest ograniczanie tego obrotu i utrudnianie prowadzenia działalności gospodarczej, a przyjmowanie zarysowanej na początku niniejszego tekstu wysoce ostrożnościowej interpretacji może do tego prowadzić.

Już w 2010 roku Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż „Informacje o pracowniku takie jak np. jego imię i nazwisko, czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą.”

Co prawda powyższe stanowisko GIODO, jak również orzecznictwo sądów powszechnych powstawało w poprzednim stanie prawnym, ale odnoszą się do podobnych stanów faktycznych, związanych z przetwarzaniem danych osobowych pracowników na potrzeby reprezentacji firmy. Słuszne wydaje się zatem przyjęcie, iż informacje o przedstawicielach osób prawnych, w zakresie służbowym, są danymi kontaktowymi firmy, dla której te osoby pracują, a nie danymi osobowymi sensu stricto tych osób.

Z uwagi na fakt, że dane służbowe nie są jednak danymi dostępnymi publicznie, warto zapewnić zachowanie poufności tych danych, czyli zabezpieczyć sposób ich przechowywania i udostępniania, tak by były one przetwarzane zgodnie z ich przeznaczeniem, a więc w obrębie działalności biznesowej administratora.