Autor: Natalia Groszyk

Założenia dla MŚP – do 250 pracowników

Unijne Rozporządzenie o ochronie danych osobowych (RODO) nakłada na przedsiębiorców liczne obowiązki. Dostosowanie się do nowych regulacji obejmuje wszystkich przedsiębiorców, niezależnie od wielkości firmy i zatrudnienia. Jednak przedsiębiorcy z sektora MŚP mogą liczyć na pewne ulgi ze strony ustawodawcy w tym zakresie.

Firmy, które nie zatrudniają więcej niż 250 pracowników i nie osiągają przychodu ze sprzedaży większego niż 50 mln euro rocznie, traktowane są przez UE jako mniejszy podmiot gospodarczy. Ponadto jeśli dodatkowo firmy te nie przetwarzają szczególnych kategorii danych oraz nie udostępniają danych osobowych innym podmiotom, będą mogły skorzystać z przygotowanych dla nich ulg.

Jednym z obowiązków, jaki zobowiązany jest spełnić administrator danych, jest obowiązek informacyjny wobec osób, których dane przetwarza. Aby obowiązek ten był zgody z wymogami RODO, musi zawierać kilkanaście elementów, m.in. nazwę i adres administratora, cel przetwarzania danych, podstawę prawną przetwarzania, dane kontaktowe inspektora ochrony danych ( jeśli został powołany) czy informację o przysługujących podmiotom danych prawach (np. prawo do przenoszenia danych, prawo do zapomnienia, prawo do ograniczenia przetwarzania). I właśnie tego ostatniego wymogu informacyjnego nie muszą realizować małe i średnie przedsiębiorstwa. Nie oznacza to oczywiście, iż w praktyce nie muszą tych praw realizować.

Kolejną ulgą jest brak obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr ten zawiera wykaz wszystkich procesów związanych z przetwarzaniem danych w firmie. Istotne jest, że wymóg ten nie jest realizowany tylko wówczas, kiedy nie są przetwarzanie szczególne kategorie danych. W innym przypadku, niezależnie od wielkości przedsiębiorstwa, musi ono prowadzić rejestr czynności przetwarzania.

Firmy zatrudniające mniej niż 250 pracowników zwolnione są ponadto z obowiązku powołania Inspektora Ochrony Danych. Podobnie jak w przypadku rejestru czynności przetwarzania ulga ta dotyczy firm, które nie przetwarzają szczególnych kategorii danych oraz jeśli ich główna działalność nie jest ściśle związana z przetwarzaniem danych.

Natomiast  małe i średnie przedsiębiorstwa podlegają obowiązkowi wynikającemu z art. 33 RODO dot. poinformowania Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu.  Tym samym ponoszą one pełną odpowiedzialność za naruszenie prawa w tym zakresie.

Ponadto, niezależnie od przysługujących im ulg, małe i średnie przedsiębiorstwa muszą zapewnić odpowiednią ochronę przetwarzanym przez siebie danym osobowych  poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych. Wymóg ten dotyczy zarówno dokumentów papierowych, w których przetwarzane są dane osobowe, jak i systemów informatycznych wykorzystywanych do przetwarzania danych.

Modele działania funkcji Inspektora Ochrony Danych

Inspektor Ochrony Danych – tę funkcję mogą lub są zobowiązani powołać administratorzy danych i podmioty przetwarzające zgodnie z art. 37 RODO. Przepis ten nie tylko wskazuje podstawy do obligatoryjnego wyznaczenia funkcji IOD, ale także daje możliwość powołania Inspektora w różnych wariantach.

IOD, a więc następca administratora bezpieczeństwa informacji (ABI), może funkcjonować jako osoba zatrudniona w zakładzie pracy administratora danych. Może to być także osoba z zewnątrz organizacji, świadcząca usługę jako współpracownik w ramach outsourcingu IOD, który to outsourcing świadczą doświadczone firmy z branży.

Jak mogą poradzić sobie z tym zagadnieniem grupy kapitałowe i duże międzynarodowe korporacje?

Te podmioty mogą powołać Data Protection Officer (DPO) w ramach kilku modeli.

Po pierwsze, osoba pełniąca funkcję IOD/DPO może ją pełnić jako wewnętrzny pracownik, lub w ramach outsourcingu IOD (outsourcingu DPO) dla wszystkich spółek korporacji. Wtedy każda ze spółek grupy zgłasza jedną osobę, jako globalnego DPO do właściwego wg siedziby każdej ze spółek organu nadzorczego.

Kolejna opcja, to powołanie globalnego DPO zgodnie z powyższym opisem, a dodatkowo powołanie lokalnych koordynatorów ds. danych osobowych w poszczególnych spółkach grupy. Koordynatorów ochrony danych (KOD), będących lokalnym wparciem dla DPO nie zgłasza się do organu nadzorczego, ważne jednak by pracownicy przetwarzający dane osobowe w organizacji mieli świadomość w jaki sposób mogą się skontaktować ze swoim lokalnym KOD i lokalnym DPO i jaki jest podział odpowiedzialności obu tych funkcji, tj. na wsparcie w jakim zakresie można liczyć od osób pełniących powyższe funkcje.

Istnieje także możliwość by powołać lokalnych IOD, zgłaszanych do urzędu zgodnie z przepisami poszczególnych państw członkowskich (w  Polsce zgodnie z art. 10 ustawy o ochronie danych osobowych z 10 maja 2018r.) oraz globalnego koordynatora ds. ochrony danych, który wpierałby lokalnych Inspektorów w zakresie ujednolicenia prowadzonych w grupie działań biznesowych, w ramach których przetwarzane są dane osobowe.

Niezależnie od wybranego modelu, należy  pamiętać o terminach i sposobie zgłaszania IOD do organu nadzorczego. Do UODO zgłosić Inspektora można jedynie w sposób elektroniczny, za pomocą kwalifikowanego podpisu elektronicznego albo podpisu potwierdzonego profilem zaufanym ePUAP wykorzystując w tym celu formularz dostępny na stronie www.uodo.gov.pl.

Każdy nowy administrator powinien zostać zgłoszony do Urzędu Ochrony Danych w ciągu 14 dni od chwili jego powołania w organizacji. Podmioty, które miały wyznaczonego ABI, zgodnie ze starymi przepisami, i decydują się na kontynuację współpracy, zgłaszają Inspektora do 1 września br.

Outsourcing IOD

Kiedy powoływać Inspektora ochrony danych?

Mimo że RODO obowiązuje od 25 maja, to wciąż rodzą się wątpliwości dotyczące konieczności  powołania przez administratorów inspektora ochrony danych. Grupa Robocza art. 29 wydała wytyczne, które rozjaśniają wymogi dot. powołania IOD w świetle RODO.

Zgodnie z RODO, powołanie IOD jest obowiązkowe kiedy:

  • przetwarzanie danych osobowych odbywa się kiedy administratorem jest podmiot publiczny (nie ma tutaj znaczenia jaki rodzaj danych osobowych przetwarza), np. urząd lub instytucja państwowa;
  • główna działalność administratora polega na regularnym i systematycznym monitorowaniu osób których dane dotyczą, i jest to monitorowanie na dużą skalę;
  • główna działalność podmiotu przetwarzającego polega na przetwarzaniu danych na dużą skalę, przetwarzaniu szczególnych kategorii danych, np. dotyczących wyroków skazujących i naruszeń prawa.

Co to jest duża skala i jak ją określić?

W samej treści RODO nie znajdziemy definicji  „dużej skali”, natomiast Grupa Robocza art. 29 w ramach wskazówek proponuje by brać pod uwagę poniższe kryteria, które pomogą  określić kiedy mamy do czynienia z dużą skalą:

  • jaka jest liczba (lub procent) osób, których dane dotyczą?
  • jaki jest zakres przetwarzania danych?
  • przez jaki czas dane są przetwarzane?
  • jaki jest zakres terytorialny przetwarzania danych (np. miasto, województwo, UE)

Przykłady dużej skali można zobrazować jako:

  • przetwarzanie danych pacjentów szpitala;
  • przetwarzanie dotyczące geo-lokalizacji np. przy aplikacjach mierzących dane wykonanego treningu, map internetowych, aplikacjach dobierających dietę;
  • przetwarzanie danych przez banki, ubezpieczycieli;
  • przetwarzanie danych w celach prowadzenia reklamy behawiorlanej.

Co wskazuje na „regularne i systematyczne monitorowanie”?

To pojęcie także nie jest zdefiniowane w RODO. Przykładem jest śledzenie i profilowanie w sieci, natomiast nie ogranicza się ono tylko do Internetu, może dotyczyć także innych kanałów np. monitorowanie pracy kierowców poprzez zainstalowane czujniki, kamery na dworcach, lotniskach.

Grupa Robocza art. 29 definiuje „regularność” jako przynajmniej jedno z poniższych kryteriów:

  • kiedy przetwarzanie jest stałe lub występujące w określonych odstępach czasu przez pewien wskazany, ustalony okres;
  • kiedy przetwarzanie jest cykliczne lub powtarza się w określonych odstępach czasu.

Następnie Grupa Robocza art. 29 definiuje „systematyczność” jako jedno z poniższych kryteriów:

  • kiedy przetwarzanie występuje zgodnie z określonym systemem;
  • kiedy przetwarzanie jest zaaranżowane, zorganizowane lub metodyczne;
  • kiedy przetwarzanie odbywa się na podstawie generalnego planu zbierania danych;
  • kiedy przetwarzanie jest przeprowadzone w ramach określonej strategii.

Przykładem  regularnego i systematycznego przetwarzania może być:

  • świadczenie usług telekomunikacyjnych;
  • profilowanie i dokonywanie oceny oraz przewidywania na potrzeby oceny ryzyka (np. przy ocenie zdolności kredytowej, ubezpieczeniowej, działaniach zapobiegających przestępstwom);
  • śledzenie lokalizacji przez dedykowane do tego aplikacje;
  • prowadzenie monitoringu wizyjnego;
  • Internet Rzeczy (w ramach np. inteligentnych domów, inteligentnych liczników).

Jak oznaczyć „główną działalność administratora”?

To inaczej główne operacje, które są wykonywane  aby administrator danych osiągał swoje cele biznesowe. Czyli np. dla sklepu internetowego główną działalnością jest sprzedaż produktów, dla firmy ochroniarskiej – pełnienie ochrony, dla szpitala – leczenie, a dla szkoły – nauczanie. Ale  trzeba mieć tu także na uwadze czynności, które są wykonywane aby owe główne cele biznesowe zrealizować. Dlatego firma ochroniarska w ramach świadczonych usług monitoruje obiekty; sklep internetowy może wysyłać newslettery, może przetwarzać szczególne kategorie danych,  np. o orientacji seksualnej  (w zależności od sprzedawanych produktów); szpital prowadzi dokumentację medyczną, zawierającą  dane o stanie zdrowia elektronicznie, w systemach IT jak i w formie papierowej. Przedsiębiorcy przetwarzają dane także w ramach działań wspierających,  które mają na celu zapewnienie lepszego funkcjonowania organizacji.

Dodatkowo Grupa Robocza art. 29 w ramach dobrowolnego stosowania tzw. dobrych praktyk zaleca powołanie inspektora  nawet wówczas, kiedy nie jest to obowiązkowe. Mogą na to wskazywać  przepisy unijne, państw członkowskich lub administrator danych sam może zdecydować o powołaniu  w swojej organizacji inspektora . Należy zauważyć, że wówczas na takim inspektorze ciążą takie same obowiązki jak na inspektorach powołanych u administratorów, którzy do powołania IOD byli zobowiązani.

Wytyczne GR Art. 29 dotyczące zgody

Zgodnie z art. 6 RODO zgoda jest jedną z sześciu równorzędnych podstaw przetwarzania danych osobowych. Administrator, rozpoczynając proces przetwarzania danych osobowych, musi dokonać oceny czy zgoda będzie legalną podstawą przetwarzania w tym procesie, czy też należy wybrać inną podstawę. Grupa Robocza Artykułu 29 w wytycznych dotyczących zgody uszczegóławia i rozszerza istniejące dotychczas opinie dotyczące zgody.

RODO w art. 4 ust. 11 definiuje zgodę jako: „dobrowolne, konkretne, świadome
i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Dobrowolna – oznacza, że osoba, której dane dotyczą, ma realną możliwość wyboru, a jeśli nie ma takiej możliwości, czuje się zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje, jeżeli zgody nie wyrazi, wówczas zgoda taka jest nieważna. Poniżej przedstawiono sytuacje, które zdaniem GR Art. 29 mają wpływ na dobrowolność wyrażenia zgody.

GR Art. 29 zwraca uwagę na brak równowagi sił w przypadku wykorzystania zgody jako podstawy prawnej przetwarzania przez organy publiczne. Zgodnie z motywem 43 RODO jeśli administratorem danych jest organ publiczny, to często istnieje wyraźny brak równowagi sił w relacji między administratorem a osobą, której dane dotyczą. Dlatego też GR Art. 29 uważa, że istnieją inne podstawy prawne przetwarzania, które są bardziej odpowiednie dla organów publicznych. Jednak nie wyklucza ona całkowicie wykorzystania zgody jako podstawy prawnej przetwarzania. Podobna sytuacja braku równowagi sił występuje w relacji pracodawca – pracownik. Dlatego też zdaniem GR Art. 29 przetwarzanie danych przyszłych i obecnych pracowników jest problematyczne, gdyż jest mało prawdopodobne, aby zgoda wyrażona była dobrowolnie. Jednak i w tym przypadku nie jest wykluczone, iż pojawią się sytuacje, kiedy pracodawca będzie mógł  wykorzystać zgodę jako legalną podstawę przetwarzania.

Zgodnie z art. 7 ust. 4 RODO na dobrowolność wyrażenia zgody ma wpływ sytuacja „połączenia” zgody z innymi oświadczeniami. Zgoda musi zostać przedstawiona w sposób wyraźnie odróżniający ją od innych kwestii.

Kolejną kwestią wpływającą na dobrowolność wyrażenia zgody jest szczegółowość, czyli uzyskanie przez administratora oddzielnej zgody na wszystkie cele przetwarzania, jeśli przetwarzanie służy różnym celom. Jeśli administrator połączył kilka celów przetwarzania
i nie uzyskał odrębnej zgody na przetwarzanie dla każdego z tych celów, wówczas nie może być mowy o dobrowolności wyrażenia zgody.

Administrator, zdaniem  GR Art. 29, musi być także w stanie wykazać, że możliwe jest wycofanie zgody bez niekorzystnych konsekwencji dla osoby, która tę zgodę wyraziła, np. wycofanie zgody nie wymaga dodatkowych kosztów od osoby, której dane dotyczą i tym samym nie powoduje niekorzystnych konsekwencji (motyw 42 RODO).

Konkretna – wymóg, aby zgoda była konkretna, ma na celu zapewnienie kontroli użytkownika oraz przejrzystości dla osoby, której dane dotyczą. Zgodnie z wytycznymi GR Art. 29, aby zapewnić prawidłowość wyrażonej zgody z elementem „konkretna” muszą zostać spełnione przez administratora poniższe warunki:

  1. określenie konkretnego, wyraźnego celu przetwarzania danych;
  2. zachowanie szczegółowości w zapytaniach o zgodę (uzyskanie oddzielnej zgody na każdy cel przetwarzania);
  3. wyraźne oddzielenie zapytań o zgodę od innych oświadczeń.

Świadoma – RODO wskazuje, iż zgoda musi być świadoma. Wymóg ten polega na przekazaniu przez administratora szczegółowych informacji osobom, których dane dotyczą, zanim uzyska on od nich zgodę. Umożliwi to osobom podjęcie świadomej decyzji
i zrozumienia na co wyrażają zgodę oraz realizacji prawa do wycofania zgody. Zdaniem GR Art. 29 do uzyskania świadomej zgody konieczne są co najmniej poniższe informacje:

  • tożsamość administratora;
  • cel każdej operacji przetwarzania, dla której prosi się o zgodę;
  • rodzaj danych jakie będą zbierane i wykorzystywane;
  • informacja o przysługującym prawie do wycofania zgody;
  • informacje na temat wykorzystania danych do decyzji opartych na zautomatyzowanym przetwarzaniu, w tym profilowaniu;
  • w przypadku jeśli zgoda jest przekazywana – informacje na temat ewentualnych zagrożeń związanych z przekazywaniem danych do krajów trzecich w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony oraz odpowiednich zabezpieczeń.

RODO nie określa, w jakim kształcie informacje muszą być przekazane, aby spełniony był wymóg świadomej zgody. Jednak zgodnie z art. 7 ust. 2 i motywem 32 RODO, administratorzy prosząc o zgodę, powinni zawsze używać jasnego i prostego języka. Oznacza to, iż informacje powinny być zrozumiałe dla przeciętnej osoby, zwłaszcza jeśli odbiorcami będą osoby nieletnie.

Jednoznacznego okazania woli – RODO jednoznacznie wskazuje, iż zgoda wymaga oświadczenia od osoby, której dane dotyczą lub działania potwierdzającego, co w efekcie przekłada się na wymóg, iż zgoda musi być wyrażona poprzez aktywne działanie lub deklarację. Zgodnie z art. 4 ust. 11 RODO ważna zgoda wymaga „jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego”. Oznacza to, iż osoba, która wyraziła zgodę na przetwarzanie jej danych, musiała w tym celu podjąć celowe działanie.

Zatem, nim administrator rozpocznie przetwarzanie danych osobowych, na które potrzebna jest zgoda, musi ją uzyskać przed rozpoczęciem przetwarzania. A zgoda ta, by była legalna, musi spełniać wyżej opisane wymogi RODO dotyczące jej wyrażenia.

SPROSTOWANIE z maja 2018 r.

SPROSTOWANIE

do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

(Dziennik Urzędowy Unii Europejskiej L 119 z dnia 4 maja 2016 r.)

Strona 14, motyw 71, zdania piąte i szóste zamiast:

„(71) (…) Takie przetwarzanie nie powinno dotyczyć dzieci. Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę powodujcych nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualną lub skutkujący środkami mającymi taki efekt.”

powinno być:

„(71) (…) Takie przetwarzanie nie powinno dotyczyć dzieci. Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę czynników powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiec m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny lub orientację seksualną, lub przetwarzaniu skutkującemu środkami mającymi taki efekt.”.

Strona 15, motyw 75

zamiast:

„(75) Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych (…) jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; (…)”

powinno być:

„(75) Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych (…) jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa; (…)”.

Strona 15, motyw 77

zamiast:

„(77) Wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane – w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko (…)”

powinno być:

„(77) Wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane – w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko (…)”.

Strona 15, motyw 80

zamiast:

„(80) Gdy administrator lub podmiot przetwarzający niemający jednostki organizacyjnej w Unii przetwarza dane osobowe osób, których dane dotyczą, znajdujących się w Unii, a jego czynności przetwarzania wiążą się z oferowaniem towarów lub usług tym osobom w Unii (niezależnie od tego, czy wymaga od tych osób płatności) lub z monitorowaniem ich zachowania (o ile ma ono miejsce w Unii), to taki administrator lub podmiot przetwarzający powinien wyznaczyć przedstawiciela, chyba że przetwarzanie ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa, i jest mało prawdopodobne (…)”

powinno być:

„(80) Gdy administrator lub podmiot przetwarzający niemający jednostki organizacyjnej w Unii przetwarza dane osobowe osób, których dane dotyczą, znajdujących się w Unii, a jego czynności przetwarzania wiążą się z oferowaniem towarów lub usług tym osobom w Unii (niezależnie od tego, czy wymaga od tych osób płatności) lub z monitorowaniem ich zachowania (o ile ma ono miejsce w Unii), to taki administrator lub podmiot przetwarzający powinien wyznaczyć przedstawiciela, chyba że przetwarzanie ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, i jest mało prawdopodobne (…)”.

Strona 17, motyw 91, zdanie drugie

zamiast:

„Oceny skutków dla ochrony danych należy także dokonywać w przypadkach, w których dane osobowe przetwarza się w celu podjęcia decyzji wobec konkretnej osoby fizycznej po dokonaniu systematycznej, kompleksowej oceny czynników osobowych osób fizycznych na podstawie profilowania tych danych lub po przetworzeniu szczególnych kategorii danych osobowych, danych biometrycznych lub danych osobowych dotyczących wyroków skazujących, naruszeń prawa lub odnośnych środków bezpieczeństwa.”

powinno być:

„Oceny skutków dla ochrony danych należy także dokonywać w przypadkach, w których dane osobowe przetwarza się w celu podjęcia decyzji wobec konkretnej osoby fizycznej po dokonaniu systematycznej, kompleksowej oceny czynników osobowych osób fizycznych na podstawie profilowania tych danych lub po przetworzeniu szczególnych kategorii danych osobowych, danych biometrycznych lub danych osobowych dotyczących wyroków skazujących, czynów zabronionych lub odnośnych środków bezpieczeństwa.”.

Strona 18, motyw 97

zamiast:

„(97) Jeżeli przetwarzania dokonuje organ publiczny z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości lub jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, to w monitorowaniu wewnętrznego przestrzegania (…)”

powinno być:

„(97) Jeżeli przetwarzania dokonuje organ publiczny z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości lub jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, to w monitorowaniu wewnętrznego przestrzegania (…)”.

Strona 33, art. 4 ust. 1

zamiast:

„1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); (…)”

powinno być:

„1) „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); (…)”.

Strona 37, art. 6 ust. 4 lit c)

zamiast:

„c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10;”

powinno być:

„c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;”.

Strona 39, art. 10

zamiast:

Artykuł 10

Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 (…)”

powinno być:

Artykuł 10

Przetwarzanie danych osobowych dotyczących wyroków skazujących i czynów zabronionych

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 (…)”.

Strona 41, art. 13 ust. 1 lit. f)

zamiast:

„f) (…) wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.”

powinno być:

„f) (…) wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.”.

Strona 42, art. 14 ust. 1 lit. f)

zamiast:

„f) (…) wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.”

powinno być:

„f) (…) wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.”.

Strona 43, art. 15 ust. 3

zamiast:

„3. (…) Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.”

powinno być:

„3. (…) Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.”.

Strona 47, art. 23 ust. 2 lit. g)

zamiast:

„g) ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; oraz”

powinno być:

„g) ryzykach naruszenia praw lub wolności osoby, której dane dotyczą; oraz”.

Strona 47, art. 23 ust. 2 lit. h)

zamiast:

„h) prawie osób, której dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.”

powinno być:

„h) prawie osób, których dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.”.

Strona 47, art. 24 ust. 1

zamiast:

„1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne,(…)”

powinno być:

„1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, (..)”.

Strona 48, art. 25 ust. 1

zamiast:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, (…)”

powinno być:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, (…)”.

Strona 48, art. 27 ust. 2 lit. a)

zamiast:

„a) przetwarzania, które ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10, (…)”

powinno być:

„a) przetwarzania, które ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10, (…)”.

Strona 50, art. 28 ust. 9

zamiast:

„9. Umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym formę elektroniczną.”

powinno być:

„9. Umowa lub inny akt prawny, o których mowa w ust. 3 i 4, mają formę pisemną, w tym formę elektroniczną.”.

Strona 51, art. 30 ust. 5

zamiast:

„5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”

powinno być:

„5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.”

Strona 51, art. 32 ust. 1

zamiast:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający (…)”

powinno być:

„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający (…)”.

Strona 53, art. 35 ust. 3 lit. b)

zamiast:

„b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub”

powinno być:

„b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10; lub”.

Strona 55, art. 37 ust. 1 lit. c)

zamiast:

„c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”

powinno być:

„c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.”.

Strona 58, art. 41 ust. 3

zamiast:

„3. Właściwy organ nadzorczy przedkłada proponowane kryteria akredytacji podmiotu, o którym mowa w ust. 1 niniejszego artykułu, Europejskiej Radzie Ochrony Danych zgodnie z mechanizmem spójności, o którym mowa w art. 63.”

powinno być:

„3. Właściwy organ nadzorczy przedkłada proponowane wymogi akredytacji podmiotu, o którym mowa w ust. 1 niniejszego artykułu, Europejskiej Radzie Ochrony Danych zgodnie z mechanizmem spójności, o którym mowa w art. 63.”.

Strona 58, art. 41 ust. 5

zamiast:

„5. Właściwy organ nadzorczy cofa akredytację podmiotu, o którym mowa w ust. 1, jeżeli podmiot ten nie spełnia lub przestał spełniać warunki akredytacji lub jeżeli działania przez niego podejmowane nie są zgodne z niniejszym rozporządzeniem.”

powinno być:

„5. Właściwy organ nadzorczy cofa akredytację podmiotu, o którym mowa w ust. 1, jeżeli podmiot ten nie spełnia lub przestał spełniać wymogi akredytacji lub jeżeli działania przez niego podejmowane nie są zgodne z niniejszym rozporządzeniem.”.

Strona 59, art. 42 ust. 7

zamiast:

„7. Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat; certyfikację można przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi. W stosownym przypadku organy certyfikujące, o których mowa w art. 43, lub właściwy organ nadzorczy cofają certyfikację, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.”

powinno być:

„7. Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat; certyfikację można przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne kryteria. W stosownym przypadku organy certyfikujące, o których mowa w art. 43, lub właściwy organ nadzorczy cofają certyfikację, jeżeli jej kryteria nie są spełnione lub przestały być spełniane.”.

Strona 60, art. 43 ust. 3

zamiast:

„3. Akredytacja podmiotów certyfikujących, o których mowa w ust. 1 i 2 niniejszego artykułu, jest dokonywana na podstawie kryteriów zatwierdzonych przez organ nadzorczy właściwy zgodnie z art. 55 lub 56 lub przez Europejską Radę Ochrony Danych zgodnie z art. 63. W przypadku akredytacji na mocy ust. 1 lit. c) niniejszego artykułu wymogi te są uzupełnieniem wymogów przewidzianych w rozporządzeniu (WE) nr 765/2008 oraz przepisów technicznych określających metody i procedury podmiotów certyfikujących.”

powinno być:

„3. Akredytacja podmiotów certyfikujących, o których mowa w ust. 1 i 2 niniejszego artykułu, jest dokonywana na podstawie wymogów zatwierdzonych przez organ nadzorczy właściwy zgodnie z art. 55 lub 56 lub przez Europejską Radę Ochrony Danych zgodnie z art. 63. W przypadku akredytacji na mocy ust. 1 lit. b) niniejszego artykułu wymogi te są uzupełnieniem wymogów przewidzianych w rozporządzeniu (WE) nr 765/2008 oraz przepisów technicznych określających metody i procedury podmiotów certyfikujących.”.

Strona 60, art. 43 ust. 6

zamiast:

„6. Organ nadzorczy w łatwo dostępny sposób podaje do wiadomości publicznej wymogi, o których mowa w ust. 3 niniejszego artykułu, oraz kryteria, o których mowa w art. 42 ust. 5. Organy nadzorcze przekazują te wymogi i kryteria także Europejskiej Radzie Ochrony Danych. Gromadzi ona w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości w dziedzinie ochrony danych i udostępnia je opinii publicznej za pomocą odpowiednich środków.”

powinno być:

„6. Organ nadzorczy w łatwo dostępny sposób podaje do wiadomości publicznej wymogi, o których mowa w ust. 3 niniejszego artykułu, oraz kryteria, o których mowa w art. 42 ust. 5. Organy nadzorcze przekazują te wymogi i kryteria także Europejskiej Radzie Ochrony Danych.”.

Strona 62, art. 46 ust. 3

zamiast:

„3. Z zastrzeżeniem zezwolenia właściwego organu nadzorczego (…)”

powinno być:

„3. Pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego (…)”.

Strona 62, art. 47, tytuł

zamiast:

„Artykuł 47 wiążące reguły korporacyjnych”

powinno być:

„Artykuł 47 Wiążące reguły korporacyjne”.

Strona 69, art. 57 ust. 1 lit. p)

zamiast:

„p) opracowuje i publikuje kryteria akredytacji podmiotu monitorującego kodeksy postępowania na mocy art. 41 oraz podmiotu certyfikującego na mocy art. 43;”

powinno być:

„p) opracowuje i publikuje wymogi akredytacji podmiotu monitorującego kodeksy postępowania na mocy art. 41 oraz podmiotu certyfikującego na mocy art. 43;”.

Strona 74, art. 64 ust. 1 lit. c)

zamiast:

„c) zatwierdzenia kryteriów akredytacji podmiotu na mocy art. 41 ust. 3 lub podmiotu certyfikującego na mocy art. 43 ust. 3;”

powinno być:

„c) zatwierdzenia wymogów akredytacji podmiotu na mocy art. 41 ust. 3, podmiotu certyfikującego na mocy art. 43 ust. 3 lub kryteriów akredytacji, o których mowa w art. 42 ust. 5;”.

Strona 74, art. 64 ust. 6, 7 i 8

zamiast:

„6. Właściwy organ nadzorczy nie przyjmuje projektu decyzji, o którym mowa w art. ust. 1 przed upływem terminu, o którym mowa w ust. 3.

7. Organ nadzorczy, o którym mowa w ust. 1, w jak największym stopniu uwzględnia opinię Europejskiej Rady Ochrony Danych i w terminie dwóch tygodni po otrzymaniu tej opinii informuje drogą elektroniczną przewodniczącego Europejskiej Rady Ochrony Danych, czy podtrzymuje projekt decyzji, czy też go zmieni, a w stosownym przypadku przekazuje mu w standardowym formacie zmieniony projekt decyzji.

8. Jeżeli w terminie, o którym mowa w ust. 7 niniejszego artykułu, organ nadzorczy, którego sprawa dotyczy, poinformuje przewodniczącego Europejskiej Rady Ochrony Danych, że nie zamierza się zastosować do całości lub części jej opinii podając odpowiednie uzasadnienie, zastosowanie ma art. 65 ust. 1.”

powinno być:

„6. Właściwy organ nadzorczy, o którym mowa w ust. 1, nie przyjmuje projektu decyzji przed upływem terminu, o którym mowa w ust. 3.

7. Właściwy organ nadzorczy, o którym mowa w ust. 1, w jak największym stopniu uwzględnia opinię Europejskiej Rady Ochrony Danych i w terminie dwóch tygodni po otrzymaniu tej opinii informuje drogą elektroniczną przewodniczącego Europejskiej Rady Ochrony Danych, czy podtrzymuje projekt decyzji, czy też go zmieni, a w stosownym przypadku przekazuje mu w standardowym formacie zmieniony projekt decyzji.

8. Jeżeli w terminie, o którym mowa w ust. 7 niniejszego artykułu, właściwy organ nadzorczy, o którym mowa w ust. 1, poinformuje przewodniczącego Europejskiej Rady Ochrony Danych, że nie zamierza się zastosować do całości lub części jej opinii podając odpowiednie uzasadnienie, zastosowanie ma art. 65 ust. 1.”.

Strona 74, art. 65 ust. 1 lit. a)

zamiast:

„a) jeżeli w przypadku, o którym mowa w art. 60 ust. 4, organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony. …”

powinno być:

„a) jeżeli w przypadku, o którym mowa w art. 60 ust. 4, organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy nie przychylił się do tego sprzeciwu lub odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony. …”.

Strona 76, art. 69 ust. 2

zamiast:

„2. Bez uszczerbku dla wniosków Komisji, o których mowa w art. 70 ust. 1 lit. b) i art. 70 ust. 2, Europejska Rada Ochrony Danych podczas wypełniania swoich zadań lub wykonywania swoich uprawnień nie zwraca się do nikogo o instrukcje ani ich od nikogo nie przyjmuje.”

powinno być:

„2. Bez uszczerbku dla wniosków Komisji, o których mowa w art. 70 ust. 1 i 2, Europejska Rada Ochrony Danych podczas wypełniania swoich zadań lub wykonywania swoich uprawnień nie zwraca się do nikogo o instrukcje ani ich od nikogo nie przyjmuje.”.

Strona 77, art. 70 ust. 1 lit. l)

zamiast:

„l) dokonuje przeglądu praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk, o których mowa w lit. e) i f);”

powinno być:

„l) dokonuje przeglądu praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk;”.

Strona 77, art. 70 ust. 1 lit o)

zamiast:

„o) akredytuje podmioty certyfikujące i dokonuje okresowego przeglądu certyfikacji zgodnie z art. 43 oraz prowadzi publiczny rejestr podmiotów akredytowanych zgodnie z art. 43 ust. 6 i administratorów i podmiotów przetwarzających akredytowanych zgodnie z art. 42 ust. 7, mających siedzibę w państwach trzecich;”

powinno być:

„o) zatwierdza kryteria certyfikacji zgodnie z art. 42 ust. 5 oraz prowadzi publiczny rejestr mechanizmów certyfikacji oraz znaków jakości i oznaczeń w dziedzinie ochrony danych zgodnie z art. 42 ust. 8, a także administratorów lub podmiotów przetwarzających certyfikowanych zgodnie z art. 42 ust. 7, mających siedzibę w państwach trzecich;”.

Strona 77, art. 70 ust. 1 lit p)

zamiast:

„p) precyzuje wymogi, o których mowa w art. 43 ust. 3, z myślą o akredytacji podmiotów certyfikujących zgodnie z art. 42;”

powinno być:

„p) zatwierdza wymogi, o których mowa w art. 43 ust. 3, z myślą o akredytacji podmiotów certyfikujących, o których mowa w art. 43;”.

Udostępnienie czy powierzenie przetwarzania danych osobowych?

Data 25 maja 2018 r. skłoniła większość podmiotów do podjęcia działań zmierzających do uregulowania wzajemnych relacji biznesowych zgodnie z RODO.

Strony najczęściej dążą do zawarcia umowy o powierzenie przetwarzania danych osobowych, co może rodzić problem z określeniem kto jest administratorem, a kto podmiotem przetwarzającym dane. Odpowiedź nie zawsze jest jednoznaczna, a czasem okazuje się, że mamy do czynienia z dwoma administratorami, co oznacza przekazanie danych w ramach udostępnienia i wyklucza zawarcie umowy powierzenia przetwarzania danych osobowych.

Należy pamiętać, że ich przekazywanie pomiędzy podmiotami może przyjąć postać powierzenia przetwarzania albo udostępnienia. Rozróżnienie ma wpływ na zakres odpowiedzialności oraz ciążące na danym podmiocie obowiązki. To, która forma przekazania danych będzie odpowiednia, zależy od łączącego strony modelu współpracy.

Administrator to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych, jest zobowiązany spełnić obowiązek informacyjny wobec podmiotu danych oraz ponosi odpowiedzialność za naruszenie bezpieczeństwa danych osobowych, również w sytuacji, gdy do naruszenia doszło z winy wybranego przez niego podmiotu przetwarzającego.

Jeśli więc, w łączącej strony umowie następuje powierzenie danych, ale każda ze stron samodzielnie i niezależnie od drugiej decyduje o tym, w jakim celu będą one przetwarzane – to ich przekazanie następuje przez udostępnienie. Model ten opiera się na współpracy podmiotów, z których każdy jest administratorem danych. Udostępnienie danych nie wymaga zawarcia umowy, gdyż nie rodzi wzajemnych zobowiązań, jak również żaden z podmiotów nie ponosi odpowiedzialności za działania czy zaniechania drugiego administratora. W tym przypadku, każdy z podmiotów jest administratorem wobec osoby, której dane są przetwarzane i we własnym zakresie jest zobowiązany do spełniania względem tej osoby ciążących na nim, jako na administratorze, obowiązków.

W przypadku powierzenia przetwarzania danych osobowych zachodzi relacja administrator – podmiot przetwarzający (procesor).

Zgodnie z wytycznymi Grupy Roboczej art. 29 ds. Ochrony Danych (Opinia 1/2010, 00264/10/PL WP169] muszą być spełnione dwa warunki, by uznać dany podmiot za procesora. Po pierwsze musi to być podmiot odrębny i organizacyjnie niezależny od administratora. Po drugie i najważniejsze – procesor działa w imieniu administratora – wykonuje instrukcje administratora, przynajmniej w odniesieniu do celu i sposobów przetwarzania danych osobowych. W tej perspektywie legalność tego działania przez procesora jest określona przez polecenia udzielone mu przez administratora. Powyższa relacja wiąże się z szerokimi uprawnianiami administratora, który sprawuje nadzór w celu zapewnienia zgodności działań podmiotu przetwarzającego z jego instrukcjami i warunkami umowy, może przeprowadzić u procesora inspekcję oraz audyt w celu zapewnienia bezpieczeństwa danych przez niego przetwarzanych. Relacja administrator – podmiot przetwarzający wymaga zawarcia umowy o powierzenie przetwarzania danych osobowych, której niezbędne elementy zostały wskazane w art. 28 ust. 3 RODO. Podkreślenia wymaga fakt, że podmiot przetwarzający, może również przetwarzać dane we własnych celach, co stawia go wówczas w podwójnej roli – w zakresie w jakim przetwarza dane w imieniu administratora – jest procesorem – a w zakresie w jakim przetwarza dane dla własnych celów, sam staje się administratorem tych danych.

Podsumowując, wybranie odpowiedniego modelu powierzenia danych należy rozpatrywać w odniesieniu do konkretnego przypadku, mając na uwadze kto i w jakim zakresie decydować będzie o celach i sposobach przetwarzania danych osobowych.

Biometryczna kontrola czasu pracy – czytniki linii papilarnych

Czytniki linii papilarnych – urządzenia które mają zrewolucjonizować sposób ewidencji czasu pracy pracowników, zastępując tradycyjne, podpisywane listy obecności, czy nawet personalizowane karty dostępu do pomieszczeń biurowych. Jak rzeczywiście obraz tych urządzeń wpisuje się w przepisy RODO?

Pracodawca, zgodnie z przepisami kodeksu pracy, może na potrzeby zatrudnienia przetwarzać tylko te dane pracownika, które są wskazane w konkretnych przepisach dot. prawa pracy.

Dane biometryczne nie wchodzą w zakres danych, których pracodawca może wymagać od pracownika. Skan linii papilarnych, będący szczególną kategorią danych – danymi biometrycznymi, może być przetwarzany jedynie w przypadku zastosowania odpowiednich obostrzeń związanych z przetwarzaniem danych sensytywnych. Należy pamiętać bowiem, że przetwarzanie danych osobowych szczególnych kategorii jest w RODO, co do zasady, zabronione, zatem przetwarzanie ich np. bez odpowiedniej podstawy prawnej lub bez zachowania adekwatnych środków ochrony praw i wolności osób fizycznych, może narazić administratora danych na wysokie sankcje finansowe (górna granica to 20 mln euro lub 4% rocznego globalnego obrotu przedsiębiorstwa).

Najwięcej trudności przy wprowadzeniu czytników linii papilarnych może sprawić ustalenie właściwej podstawy prawnej przetwarzania danych biometrycznych. Podstawą prawną do przetwarzania danych wrażliwych pracowników mogłaby być zgoda pracownika, ale zgoda ta musi być opatrzona odpowiednimi warunkami ważności wyrażenia. W związku ze specyficzną sytuacją nierównorzędności stron – podmiotu danych (pracownika) i administratora danych (pracodawcy), trudno dopatrywać się jednak niezbędnego warunku ważności wyrażenia zgody, jakim jest „dobrowolność jej wyrażenia”. Dobrowolność tę można podważyć, a przez to narazić administratora na dotkliwe konsekwencje finansowe.

Pewnego rodzaju rozwiązaniem tej sytuacji może być zastosowanie dualnych czytników. Zgodnie z tym rozwiązaniem pracownik może zarejestrować swoją obecność, używając karty dostępu lub odcisku swojego wcześniej zeskanowanego palca. Pozostawienie pracownikowi alternatywy, będzie z pewnością przesłanką utrudniającą możliwość podważenie dobrowolności wyrażonej przez pracownika zgody na przetwarzanie jego danych biometrycznych. Pracownik samodzielnie dokonując wyboru (karta dostępu, skan palca, możliwość korzystania z obu sposobów jednocześnie), będzie mógł przy tym wyrazić w pełni dobrowolną zgodę na przetwarzanie jego danych biometrycznych, lub wybrać opcję, która nie obliguje go do przekazywania pracodawcy swoich danych wrażliwych. Warto, odnośnie podstawowej zasady przetwarzania szczególnej kategorii danych biometrycznych, wyważyć cel administratora względem praw, wolności i uzasadnionych interesów podmiotu danych biometrycznych i zgodnie z tym podejściem, zastosować czytniki np. tylko w obszarach pracy szczególnie niebezpiecznych – narażonych np. na większe prawdopodobieństwo pożaru lub miejsc szczególnie chronionych, np. kancelarie tajne.

Ochrona danych biometrycznych, szczególnych kategorii danych osobowych

Pracownik musi zostać odpowiednio poinformowany o wszystkich atutach i konsekwencjach wprowadzonego rozwiązania rejestracji czasu pracy lub lokalizacji pracownika zgodnie z wymogami przepisów prawa pracy.

Warto też zastanowić się, co w sytuacji gdy pracownik ulegnie skaleczeniu, które dotknie właśnie zeskanowanego palca, lub będzie miał bliznę – dającą niejasny obraz skanu. Wszelkie techniczne i technologiczne uwarunkowania należy rozważyć przy okazji wyboru podmiotu dostarczającego rozwiązanie czytników. A także, znając proces przetwarzania, który proponuje podwykonawca, odpowiednio zabezpieczyć w umowie kwestie ochrony danych biometrycznych pracowników, pamiętając o wspomnianych wyżej limitach kar administracyjnych.

Prowadzenie marketingu jako prawnie uzasadniony interes administratora danych

Przetwarzając dane osobowe w celach marketingowych, administrator może, w pewnych okolicznościach, powołać się na konieczność ich przetwarzania w celach wynikających z jego prawnie uzasadnionych interesów. W takim przypadku nie jest konieczne odbieranie zgody na przetwarzanie danych osobowych w celu prowadzenia marketingu. Zastosowanie tej konstrukcji nie jest niczym nowym, ponieważ obowiązująca przez 25 maja 2018 r. ustawa o ochronie danych osobowych również dopuszczała taką możliwość.

Różnica pomiędzy RODO a uchyloną już ustawą o ochronie danych osobowych (na potrzeby niniejszego artykułu określmy ją jako sUODO) polega na zawartości treści marketingowych, które administrator może wysyłać przy zastosowaniu tej podstawy prawnej. W art. 23 ust. 4 pkt 1) sUODO stanowiła, iż za prawnie usprawiedliwiony cel administratora uważało się w szczególności „marketing bezpośredni własnych produktów lub usług administratora danych”. Istotne jest w tym przypadku użycie sformułowania „własnych”. Oznaczało to, iż administrator może w takim przypadku przetwarzać dane osobowe podmiotu danych w celach marketingowych tylko kierując do niego ofertę dotyczącą jego produktów i usług.

Należy również pamiętać, że w sUODO nieznana była konstrukcja współadministrowania danymi, którą wprowadziło RODO. Zatem, o ile samodzielnie funkcjonujący administrator nie odczuwał problemów praktycznych sformułowania tego przepisu sUODO, o tyle administrator funkcjonujący w grupie kapitałowej musiał często wybrać pomiędzy ograniczeniem działalności marketingowej, a zgodnością z przepisami.

RODO w powyższym zakresie daje potencjalnie większe możliwości. Co prawda w art. 6, który określa możliwe podstawy prawne do przetwarzania danych osobowych, nie odnosi się wprost do marketingu, to nieco więcej światła w tej kwestii rzuca motyw 47. Zgodnie z jego treścią za działanie wykonywane w prawnie uzasadnionym interesie administratora „można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”.

Jak widać, przytoczony motyw nie ogranicza działalności marketingowej do własnych produktów lub usług administratora, co potencjalnie daje możliwość przesyłania odbiorcom treści marketingowych treści dotyczące np. innej spółki, będącej członkiem grupy kapitałowej administratora. Należy jednak pamiętać, że administrator nie może udostępniać danych osobowych odbiorców innej spółce, aby ona we własnym zakresie opisany marketing prowadziła – treści muszą być nadal kierowane przez pierwotnego administratora.

Cz. 2 O przetwarzaniu danych w badaniu klinicznym w praktyce

Poprzednio opisywaliśmy podstawowe zasady przetwarzania danych osobowych w badaniach klinicznych w świetle przepisów unijnego Ogólnego rozporządzenia o ochronie danych osobowych (RODO). Na łamach niniejszego artykułu przeanalizujemy prawne aspekty przetwarzania danych uczestnika badania oraz badaczy i innych członków zespołu badawczego.

Świadoma zgoda

Jedna z głównych zasad przeprowadzania badań klinicznych wyrażona jest w prawie uczestnika badania klinicznego do zapewnienia jego integralności fizycznej i psychicznej, prywatności oraz ochrony danych osobowych (art. 37b ust. 2 pkt 3 Prawa farmaceutycznego). Funkcję wypełniającą te przesłanki, jak również legalizującą sam proces badań klinicznych, pełni tzw. świadoma zgoda na udział w badaniu, udzielona przez uczestnika po poinformowaniu go o istocie, znaczeniu, skutkach i ryzyku badania klinicznego (art. 2 pkt 40a Prawa farmaceutycznego). Zasadnicze pytanie, które pojawia się w związku z RODO, dotyczy implikacji udzielenia świadomej zgody, a dokładniej kwestii objęcia jej zakresem również zgody na przetwarzanie danych osobowych, jako że proces badania klinicznego w sposób oczywisty obejmuje przetwarzanie danych dotyczących zdrowia pacjenta. Wejście w życie RODO poddaje natomiast w wątpliwość dotychczasową praktykę zbierania oddzielnej zgody na przetwarzanie danych w ramach tych badań.

Należy podkreślić, że nowe rozporządzenie unijne wskazuje także inne podstawy przetwarzania danych osobowych, które mogą znaleźć zastosowanie również w przypadku badań klinicznych i przetwarzania danych wrażliwych. Kluczową naszym zdaniem (na co powoływaliśmy się w poprzednim artykule) jest podstawa przetwarzania odwołująca się do prowadzenia badań naukowych (art. 9 ust. 2 lit. j RODO). W świetle tej interpretacji udzielenie zgody na udział w badaniu klinicznym będzie obejmować zgodę na przetwarzanie danych uczestnika. Jedyną istotną przeszkodą w zastosowaniu polityki wyłączenia dodatkowych zgód na przetwarzanie danych w badaniu klinicznym jest krajowe prawo sektorowe, którego przepisy wciąż pozostają niedostosowane do RODO.

Dobra Praktyka Kliniczna a RODO

Kluczowym dla badań klinicznych aktem jest, m.in. rozporządzenie Ministra Zdrowia z dnia
2 maja 2012 r. w sprawie Dobrej Praktyki Klinicznej (Dz. U. poz. 489), które do obowiązków badacza zalicza konieczność zapewnienia ochrony danych uczestników badania klinicznego uzyskanych w związku z tym badaniem (w §4 pkt 11). Rozporządzenie ws. Dobrej Praktyki Klinicznej wskazuje również w §7 na konieczność:

  • wyrażenia pisemnej zgody na dostęp badacza do dokumentacji medycznej uczestnika badania klinicznego wytworzonej przed rozpoczęciem badania (pkt 12);
  • wyrażenia zgody na przetwarzanie danych osobowych uczestnika badania klinicznego związanych z jego udziałem w badaniu klinicznym (pkt 13).

Przewidziane w pkt 13 zabezpieczenie w postaci zgody na przetwarzanie danych osobowych uczestnika wydaje się w tym wypadku nadmierne, bowiem przesłanka legalizująca przetwarzanie w ramach badań naukowych obecna była  także w nieaktualnej już ustawie o ochronie danych  osobowych z 1997 r. (art. 27 ust. 2 pkt 9 ustawy o ochronie danych osobowych). Niemniej jednak taki stan prawny wpisuje się w dotychczasową praktykę zbierania zgód „na zapas”, od której kategorycznie odchodzi RODO. Nowe unijne rozporządzenie narzuca pojęciu zgody dużo bardziej rygorystyczny charakter, wiążąc je z szeregiem nowych obowiązków po stronie administratora, przede wszystkim z odpowiednim zarządzaniem zebranymi zgodami i realizowaniem praw osób, których dane dotyczą.

Zgoda – nie tylko informacyjnie

Warto podkreślić, że samo zebranie zgody nie gwarantuje bezpieczeństwa danych, które powinno być zapewnione przez administratora w każdym wypadku i bez względu na przyjętą podstawę przetwarzania. Niestety do tej pory formularz zgody niejednokrotnie spełniał funkcję głównie informacyjną. Wraz z RODO traktowanie zgody jako formy zabezpieczenia interesów administratora poprzez automatyczną legalizację jego działań powinno ulec zmianie ze względu na znaczące rozszerzenie jego obowiązków, solidarną odpowiedzialność administratora i procesora oraz znacznie wyższe sankcje za naruszenie przepisów.

Wymierny skutek odnośnie zmiany przyjmowanej wykładni przepisów może przynieść wymóg dotyczący spełniania obowiązku informacyjnego – obecny przy każdej przesłance przetwarzania. Odnosi się to również do badań klinicznych, bowiem uczestnik badań powinien zostać w jasny sposób poinformowany o podstawie przetwarzania jego danych wrażliwych oraz możliwości wyrażenia sprzeciwu. Wypełnienie obowiązku informacyjnego powinno nastąpić przed rozpoczęciem przetwarzania danych, a zatem najbardziej naturalny będzie moment zbierania zgody na udział w badaniu. Dodatkowy obowiązek wprowadzany przez RODO nie wydaje się dotkliwy, biorąc pod uwagę wykorzystywany do tej pory rozbudowany formularz świadomej zgody przekazywany pacjentowi przez badacza.

Obowiązek informacyjny a pseudonimizacja

Uczestnika badania klinicznego należy poinformować o tym, kto jest administratorem jego danych, jak i o odbiorcach jego danych osobowych. Nie wykluczamy przy tym możliwości przyjęcia w praktyce liberalnej interpretacji polegającej na tym, że wystarczające w przypadku tej pierwszej opcji jest tylko wyjaśnienie, kto jest sponsorem badania – mając na uwadze wątpliwości dotyczące uznania sponsora za faktycznego administratora w związku z przetwarzaniem przez niego danych podlegających pseudonimizacji.

Na wymóg pseudonimizacji wyraźnie wskazuje §7 pkt 14 rozporządzenia ws. Dobrej Praktyki Klinicznej mówiący o konieczności zachowania poufności tej części dokumentacji badania klinicznego, która pozwoliłaby na identyfikację uczestnika badania klinicznego i wyłączenia danych osobowych z ewentualnej publikacji wyników badania klinicznego. Warto podkreślić, że kwestie zachowania poufności są poważnie traktowane przez badaczy, a uczestnikowi badania klinicznego nadaje się konkretny numer bądź oznaczenie inicjałami, aby dane osobowe nie były identyfikowalne poza ośrodkiem. Ze względu na racjonalność gospodarowania danymi oraz w związku z brakiem realnej potrzeby szerszego dostępu do szczegółowych danych medycznych dla osób postronnych – do sponsora badania trafiają głównie dane podległe pseudonimizacji.

Należy jednakże podkreślić, że dane spseudonimizowane są wyraźnie traktowane przez RODO jako dane osobowe, co związane jest z odwracalnością tej techniki szyfrowania. Pomimo faktu, że sam sponsor nie przetwarza, co do zasady, danych w formie odszyfrowanej, to i tak decyduje o sposobach i celach przetwarzania informacji w postaci danych osobowych. Nie można również kategorycznie wykluczyć, że w praktyce nie mógłby otrzymać danych odszyfrowanych, zwłaszcza w przypadku poinformowania go o ciężkim zdarzeniu niepożądanym uczestnika badania czy też za pośrednictwem monitora badania.

Dane badaczy i innych członków zespołu

Należy pamiętać, że badania kliniczne nie wiążą się tylko z przetwarzaniem danych pacjentów, ale również badaczy i innych członków zespołu. Wyjaśnienia wymagają wzajemne role pełnione przez sponsora i badacza w świetle przepisów o ochronie danych osobowych. Sponsor, będąc administratorem danych osobowych badaczy na podstawie umowy o przeprowadzenie badania klinicznego, posiada podstawę do przetwarzania danych osobowych badacza, ze względu na realizację łączącej ich umowy o prowadzenie badania klinicznego (art. 6 ust. 1 pkt b RODO). Powstaje ponadto pytanie, czy współbadacze oraz inne osoby wchodzące w skład zespołu powinny udzielać zgody na przetwarzanie ich danych osobowych w odrębnym formularzu w sytuacji, gdy sponsor nie zawrze z nimi odrębnych umów (wtedy podstawą przetwarzania danych jest realizacja tych umów). Uważamy, że podstawą przetwarzania ich danych może być prawnie uzasadniony interes administratora danych, co oznaczałoby, że udzielenie przez nich zgody nie będzie potrzebne ani celowe.

Rozpoczęcie stosowania RODO daje szansę na usprawnienie i usystematyzowanie wielu procesów, którym towarzyszy przetwarzanie danych osobowych, co powinno przynieść rezultat w postaci uporządkowania tej materii w branży badań klinicznych. Jest to pożądany efekt z uwagi na sensytywność przetwarzanych danych. Największe znaczenie będzie miał w tym zakresie czynnik ludzki, a dokładniej praktyka urzędów – zarówno PUODO (GIODO), jak i regulatorów w postaci Urzędu Rejestracji Produktów Leczniczych czy Ministerstwa Zdrowia, które – jak pokazuje nasze doświadczenie – opierają się w największym stopniu na ustawach branżowych. Wydaje się zatem, że rewolucja w badaniach klinicznych może nadejść dopiero wraz ze zmianą przepisów krajowych, uwzględniających nową unijną politykę w zakresie ochrony danych osobowych oraz prowadzenia badań klinicznych.

Cz. 1 Badania kliniczne w świetle RODO

Rozpoczęcie stosowania Ogólnego rozporządzenia o ochronie danych osobowych (RODO) wymaga ustalenia zasad przetwarzania danych osobowych uczestników badań klinicznych oraz badaczy i innych członków zespołów badawczych. W niniejszym artykule przedstawiamy podstawowe zagadnienia związane z tematyką przetwarzania danych w badaniach klinicznych, natomiast w kolejnym uzasadnimy interpretację przepisów RODO ułatwiającą prowadzenie badań klinicznych w Polsce.

Problematyczne badania kliniczne

Do tej pory stosowanie przepisów o ochronie danych osobowych do badań klinicznych przysparzało licznych problemów interpretacyjnych, co wielokrotnie podnoszono w doktrynie[1]. Nie ulega jednak wątpliwości, że jedną z istotnych barier dla rozwoju tego sektora w Polsce było właśnie krajowe prawo ochrony danych osobowych, a w szczególności archaiczna już ustawa o ochronie danych osobowych z 1997 r., niejednokrotnie poddawana błędnej wykładni przez organy nadzorcze. Mowa również o rozporządzeniach z  2004 i 2008 r. szczegółowo określających zasady rejestracji zbiorów danych czy wymogi dotyczące środków techniczno-organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych[2], a także innych ustawach szczególnych, które odnoszą się do zasad przetwarzania danych osobowych, m.in. o ustawie o prawach pacjenta.

Niestety stosunkowo nowe sektorowe prawo Unii Europejskiej również nie okazało się pomocne w omawianym zakresie. W rozporządzeniu Parlamentu Europejskiego i Rady (UE) Nr 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE zabrakło określenia szczegółowych zasad przetwarzania danych osobowych uczestników badań, co należy uznać za istotną wadę tej regulacji. Poza jedną wskazówką pojawia się tam tylko odesłanie w art. 93 do przepisów nieaktualnej już dyrektywy 95/46/WE do przetwarzania danych osobowych, które odbywa się w państwach członkowskich – a więc do aktu, który został już zastąpiony przez RODO.

Kliniczne = naukowe

Należy zauważyć, że unijne przepisy regulujące badania kliniczne pomimo swojej lakoniczności w zakresie ochrony danych osobowych wypełniają jednakże jedno podstawowe zadanie. Z jednej strony wzmacniają  ich ochronę, obejmując prawo do dostępu do danych osobowych, a także ich poprawiania i wycofywania, z drugiej natomiast wprowadzają ograniczenie tych praw. Ten celowy zabieg umożliwia zachowanie równowagi pomiędzy wiarygodnością danych z badań klinicznych wykorzystywanych do celów naukowych, jak i bezpieczeństwem uczestników badań klinicznych. Jednym z kluczowych rozwiązań zachowania właściwego balansu jest zastrzeżenie, że wycofanie świadomej zgody nie może mieć wpływu na wyniki przeprowadzonych już działań, takich jak przechowywanie i wykorzystywanie danych uzyskanych w oparciu o świadomą zgodę przed jej wycofaniem.

W RODO wzmocnienie ochrony danych wyrażone jest w zamkniętym katalogu przesłanek legalności przetwarzania danych zwykłych (art. 6) oraz szczególnych kategorii danych (art. 9). Wyróżnienie tej drugiej kategorii w postaci danych sensytywnych (wrażliwych), do których zaliczają się dane dotyczące zdrowia, ma znaczenie z uwagi na zawężenie podstaw dopuszczalnego przetwarzania danych oraz zakaz przetwarzania danych tego rodzaju, chyba że wykazano konkretną podstawę ich przetwarzania (art. 9 ust. 2 lit. a-j RODO). Jest to o tyle istotne, że w zbiorach danych osobowych dotyczących badań klinicznych przetwarzane są przede wszystkim dane sensytywne w rozumieniu RODO. Szczególną podstawą prawną, która umożliwia ich przetwarzanie, jest natomiast prowadzenie badań naukowych, do których kategorii zaliczają się również badania kliniczne.

Kto jest kim?

Zgodnie z RODO, podmioty przetwarzające dane osobowe mogą występować wyłącznie w dwóch rolach:

  • administratora danych lub
  • podmiotu, któremu powierzono przetwarzanie danych osobowych (tzw. procesora).

Zawarta w rozporządzeniu definicja legalna administratora danych (art. 4 pkt 7 RODO) stanowi, że jest nim osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W praktyce administratorem danych jest podmiot, który samodzielnie bądź za pomocą innych podmiotów przetwarza dane osobowe na własne potrzeby. Za administratora danych osobowych należy zatem uznać sponsora badania klinicznego, który będąc osobą odpowiedzialną za podjęcie, prowadzenie i finansowanie badania klinicznego (art. 2 ust. 37a Prawa farmaceutycznego), spełnia przesłanki z rozporządzenia unijnego. Z kolei podmiotem, który w badaniach klinicznych przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO), a więc procesorem, będzie badacz.

Powyższe rozróżnienie ma podstawowe znaczenie dla wyznaczenia zakresu obowiązków mających na celu ochronę danych, które powinien spełnić sponsor, gdyż jako administrator danych jest nie tylko głównym adresatem prawnych obciążeń wynikających z RODO, ale również decyzji wydawanych przez organ nadzorczy (docelowo – Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych). W relacji do sponsora podmiot przetwarzający działa zaś tylko na jego rzecz.

Konieczne jest również podkreślenie, że znane badaczowi (jako podmiotowi przetwarzającemu) dane pacjentów pozbawione są funkcji identyfikacyjnej dla sponsora (np. przez posłużenie się jedynie inicjałami czy przy użyciu innych metod pseudonimizacji danych). Zatem do przetwarzania danych osobowych dochodzi tylko i wyłącznie w taki sposób, aby nie można było przypisać ich konkretnej osobie bez użycia dodatkowych informacji. Należy przy tym jednak zastrzec, że takie dodatkowe informacje w ramach badania klinicznego są przechowywane osobno (w dokumentacji badania prowadzonej przez badacza).

Rozliczalność sponsora

RODO wprowadza szereg zasad warunkujących legalność przetwarzania danych.
W kontekście badań klinicznych w szczególności istotne jest zachowanie zgodności z regułą minimalizacji przetwarzanych danych (zapewnienie, że dane osobowe są przetwarzane jedynie w niezbędnym zakresie, nie dłużej niż przez czas wymagany do osiągnięcia celów w związku z którymi są przetwarzane), regułą poufności informacji przetwarzanych (zapewnienie, że dane osobowe są udostępniane jedynie osobom upoważnionym), regułą rozliczalności (zapewnienie, że osoby upoważnione mają dostęp do danych tylko wtedy, gdy istnieje taka potrzeba oraz istnieje możliwość identyfikacji takiej osoby) oraz regułą integralności przetwarzanych informacji (zapewnienie dokładności i kompletności oraz nienaruszalności danych osobowych, tj. ochrony przed nieuprawnionym ich zmienianiem bądź zniszczeniem). Oczywiście zasady te muszą uwzględniać specyfikę badań klinicznych, które są prowadzone w interesie publicznym.

Z praktycznego punktu widzenia najistotniejszą z powyżej przedstawionych zasad RODO jest zasada rozliczalności, którą odnosimy do administratora danych. W przypadku prowadzenia badań klinicznych – w razie potencjalnej kontroli – to na sponsorze będzie spoczywał obowiązek udowodnienia, że dane osobowe pacjentów są przetwarzane zgodnie z prawem, a przyjęte przez sponsora środki techniczne i organizacyjne uniemożliwiają ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Powyższe wynika z faktu, że to sponsor decyduje o celu i sposobach przetwarzania danych, zaś badacz pozostaje tylko podmiotem przetwarzającym dane.

Podsumowując, RODO wprowadza wiele obostrzeń w dziedzinie przetwarzania danych w badaniach klinicznych, które nie stoją w sprzeczności z poprzednim stanem prawnym, jednakże w związku z większą szczegółowością przepisów unijnych i brakiem regulacji sektorowych budzą jeszcze więcej wątpliwości interpretacyjnych. Powstają nowe pytania o faktyczną realizację obowiązków administratora, w tym obowiązku informacyjnego. W doktrynie pojawiają się również wątpliwości odnośnie klasyfikacji sponsora jako administratora w związku z faktyczną pseudonimizacją danych uczestników badania (realny dostęp do wszystkich danych pacjentów mają bowiem tylko badacz i ośrodek badawczy), czy też obligatoryjnego charakteru dobrowolności zgody przewidzianej w nowym rozporządzeniu unijnym. W następnym artykule przeprowadzimy analizę przepisów RODO, mającą na celu ułatwienie prowadzenia badań i wyjaśnienie wątpliwych kwestii w tej materii.