Autor: Natalia Groszyk

Upoważnienia do przetwarzania danych osobowych dla zbiorów danych związanych z działalnością KRPA oraz ZI

Komisja Rozwiązywania Problemów Alkoholowej  (KRPA) oraz Zespół Interdyscyplinarny ds. Przeciwdziałania Przemocy  w Rodzinie (ZI) powoływane są przez organy samorządowe.

Poniżej znajduje się charakterystyka zbiorów i ich przetwarzania .

Komisja Rozwiązywania Problemów Alkoholowej Zespół Interdyscyplinarny ds. Przeciwdziałania Przemocy  w Rodzinie
Organ powołujący  członków komisji /zespołu Wójtowie, burmistrzowie, prezydenci miast Wójtowie, burmistrzowie, prezydenci miast
Administrator Danych Osobowych zgłaszający zbiór do GIODO Gmina Ośrodek Pomocy Społecznej*
Podstawa prawna przetwarzania danych osobowych  Ustawa z dnia 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi  (t.j. Dz.U. 2016 nr poz. 487) Ustawa z dnia 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (tj.  Dz. U. z 2015 r., poz. 1390)
Czy  zbiór zawiera dane wrażliwe  TAK TAK
Forma przetwarzania danych Tradycyjna ( papierowa) Tradycyjna ( papierowa)
Osoby zaangażowane do  prac  komisji/zespołu Pracownicy Ośrodków Pomocy Społecznej, pracownicy gminy, osoby trzecie wobec organu samorządowego. Ustawa nie określa szczegółowo kręgu osób jedynie  podaje wymóg w przeszkolenia w zakresie profilaktyki i rozwiązywania problemów alkoholowych W skład zespołu interdyscyplinarnego wchodzą przedstawiciele:

1) jednostek organizacyjnych pomocy społecznej;

2) gminnej komisji rozwiązywania problemów alkoholowych;

3) Policji;

4) oświaty;

5) ochrony zdrowia;

6) organizacji pozarządowych

7) mogą być również powoływani kuratorzy i prokuratorzy  oraz przedstawiciele innych podmiotów działających na rzecz przeciwdziałania przemocy w rodzinie

ZI może powoływać grupy robocze do rozwiązywania konkretnych przypadków w których skład mogą wchodzić osoby z analogicznych   grup zawodowych powoływanych zgodnie z potrzebami.

 

*najczęściej zadania związane z realizacja programu przeciwdziałania przemocy w rodzinie oraz prowadzenie ZI realizują  kierownicy ośrodków pomocy społecznej. (umożliwia to  art.9 ust. 9 ustawy  z dnia 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie).

Ustawa z dnia 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie w art. 9 c daje możliwość administratorowi danych osobowych – Ośrodkowi Pomocy Społecznej – wydanie upoważnień członkom ZI do przetwarzania wrażliwych danych osobowych związanych z prowadzeniem działalności przez ZI. Równocześnie w tym samym artykule została zawarta treść oświadczenia o poufności, którą winien podpisać członek Zespołu/Grupy Roboczej przed rozpoczęciem czynności. Zwykle Ośrodki Pomocy Społecznej poprzestają na uzyskaniu ww. oświadczenia, pomijając obowiązek wydania upoważnienia do przetwarzania danych osobowych wynikający z ustawy o ochronie danych osobowych. Należy zaznaczyć, że w przypadku powołania grupy roboczej w celu rozpatrzenia indywidualnej sprawy upoważnienie musi określić zakres danych, który będzie wynikał z celu powołania grupy, a zakres jego ważności musi być ograniczony do prowadzenia tej sprawy.

W ocenie autora obowiązek wydania upoważnień do przetwarzania danych osobowych  wynikający z  ustawy o ochronie danych osobowych nie został zniesiony zapisami Ustawy z dnia 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie –  Administrator Danych Osobowych winien upoważnić do przetwarzania danych osobowych członków ZI czy Grup Roboczych.

W przypadku Komisji Rozwiązywania Problemów Alkoholowej w ustawie z dnia 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi w zakresie ochrony danych osobowych ,  brak jest uregulowań z zakresu ochrony danych osobowych. To powoduje, że Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych obowiązuje wprost  wraz z zawartymi w niej wymogami.

Zwykle gminy wydają  na podstawie obowiązującej w jednostce Polityki Bezpieczeństwa Informacji upoważnienie do przetwarzania danych osobowych  w zbiorze Komisji  Rozwiązywania Problemów Alkoholowych pracownikom  urzędu, pomijając jednak  pozostałe osoby powołane do prac  Komisji Rozwiązywania Problemów Alkoholowych (powyższe dot. również pracowników ośrodka opieki społecznej, którzy wobec urzędu gminy są osobami trzecimi). Należy również pamiętać, że upoważnienie takie wraz z oświadczeniem o zachowaniu poufności – podobnie jak w przypadku pracownika urzędu – powinno zostać wydane.

Przed przystąpieniem do prac oraz wydaniem upoważnień  do przetwarzania danych osobowych, osoby powołane do Komisji powinny zostać przeszkolone w zakresie ochrony danych osobowych  oraz obowiązującej w urzędzie Polityki Bezpieczeństwa Informacji. Ta sama reguła dotyczy członków Zespołu Interdyscyplinarnego czy Grupy Roboczej.

Przekazywanie danych do państw trzecich

W świetle przepisów ogólnego rozporządzenia unijnego (GDPR) przekazanie danych osobowych poza Europejski Obszar Gospodarczy do tzw. państw trzecich jest możliwe pod pewnymi jednak warunkami. Zgodnie z ogólną definicją zamieszczoną w art. 44 rozporządzenia:

Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

Dla  korporacji czy międzynarodowych instytucji kwestia ta nadal będzie stanowiła pewne wyzwanie i ograniczenia. Zgodnie z GDPR przekazanie danych do państwa trzeciego może nastąpić na podstawie:

  • Decyzji – gdy Komisja stwierdzi, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia (art. 45).
  • Gwarancji – w przypadku braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46).
  • Wiążących reguł korporacyjnych – zatwierdza je właściwy organ nadzorczy (art. 47).
  • Współpracy międzynarodowej.

W przypadku, kiedy brak jest decyzji stwierdzającej odpowiedni poziom ochrony, brak odpowiednich zabezpieczeń lub wiążących reguł korporacyjnych, przekazanie danych poza EOG może nastąpić pod następującymi warunkami wskazanymi w art. 49 rozporządzenia:

  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej
    w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Przetwarzanie danych wrażliwych w celach naukowych

Dane wrażliwe stanowią szczególny rodzaj danych osobowych. W art. 27 ust. 1 ustawy o ochronie danych osobowych oprócz wyliczenia danych, które kwalifikujemy jako wrażliwe, ustawodawca wskazuje także na zakaz ich przetwarzania. W ust. 2 tego przepisu znajdziemy jednak wyjątki od powyższego zakazu, których przykładem jest punkt 9 ustawy: „jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone”.

W jaki sposób zatem można wykorzystywać dane wrażliwe w celach naukowych?

Podstawową kwestią jest dostęp do takich danych, a więc ich pozyskanie. Należy w tym celu zwrócić się do administratora danych z wnioskiem o udostępnienie danych i wyraźnie wskazać swój cel. Jest to ważne, ponieważ jeśli za udostępnieniem danych nie przemawia żadna podstawa prawna, to zgodnie z wyrokiem z dnia 5 lutego 2008  r. NSA w Warszawie, na podstawie celu wskazanego przez wnioskodawcę administrator danych musi ocenić, zgodnie z art. 29 ust. 2 ustawy o ochronie danych osobowych, czy cel wnioskodawcy, inny niż cel w jakim administrator dane pozyskał, został wiarygodnie uzasadniony i czy udostępnienie danych w tym celu nie naruszy praw i wolności osób, których dane dotyczą.

Przy przetwarzaniu danych wrażliwych w celach naukowych często mamy do czynienia
z danymi osób zmarłych. Ustawa o ochronie danych osobowych dotyczy tylko osób fizycznych, a więc nie obejmuje ochroną danych osób zmarłych – dane te są chronione innymi przepisami.

Jedną z podstaw do przetwarzania wrażliwych danych osobowych jest zgoda podmiotu danych. Należy jednak pamiętać, że jeśli dane są przetwarzane na podstawie zgody, to jest ona wyrażona w konkretnym, wskazanym w niej celu i w przypadku danych wrażliwych, nie może być udzielona na przetwarzanie danych w przyszłości. Powoduje to znaczne ograniczenie, zwłaszcza w zakresie udostępniania.

Jeśli administrator zadecyduje o udostępnieniu danych w celu ich przetwarzania w ramach badań naukowych, podmiot, który o udostępnienie wnioskował, staje się nowym administratorem danych. W związku z tym obligują go przepisy art. 25 ustawy o ochronie danych osobowych oraz pozostałe przepisy dotyczące obowiązków administratora danych osobowych.

Zgoda jako jedna z podstaw przetwarzania danych osobowych

Rozporządzenie unijne (RODO), które zostało przyjęte w kwietniu 2016 r., wprowadza znaczące zmiany w stosunku do wciąż obowiązującej ustawy o ochronie danych osobowych. Dotyczą one między innymi sposobu wyrażania zgody na przetwarzanie danych osobowych oraz jej treści.

Należy podkreślić, iż zgoda na gruncie RODO ma charakter autonomiczny i stanowi równoprawną przesłankę przetwarzania danych osobowych, podobnie jak prawnie usprawiedliwiony cel administratora danych czy przepis prawa.

Zgodnie z definicją zawartą w art. 4 pkt. 11 Rozporządzenia „zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Porównując tę definicję z definicją zgody zawartą w art. 7 pkt. 5. ustawy o ochronie danych osobowych, zgodnie z którą poprzez zgodę osoby, której dane dotyczą, rozumie się „oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”, możemy zauważyć, iż zgoda na gruncie RODO może być odebrana zarówno w formie oświadczenia, jak i wyraźnego działania potwierdzającego.

Odnośnie pierwszej formy odebrania zgody na przetwarzanie danych od osoby, której dane dotyczą, to jest ona zgodna w tym zakresie z obecną treścią zgody opisaną w ustawie o ochronie danych osobowych. Natomiast wymagania co do drugiej formy zgody zostały opisane w Motywie 32. preambuły w następujący sposób: Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych, i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia (…).

Zatem zgoda musi być wyrażona dobrowolnie, świadomie, poprzez jednoznaczne przyzwolenie osoby na przetwarzanie jej danych osobowych przez dany podmiot. Zarówno ustawodawca unijny, jak i polski nie wskazują, iż zgoda taka musi być udzielona w formie pisemnej.

Choć w przepisach nie ma wymogu dot. formułowania zgody, to jednak istotne jest w jaki sposób została ona sformułowana. Zgodnie z art. 7 pkt. 2 „Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca”.

Rozporządzenie kładzie bardzo duży nacisk na to, by zgoda wyrażona była w konkretnym celu i jeśli ten cel miałby ulec zmianie, to Administrator danych powinien zadbać o to, by osoba wyraziła oddzielną zgodę na każdy z celów przetwarzania danych.

RODO, podobnie jak uodo, przewiduje możliwość odwołania zgody w każdym momencie. Różnica polega na tym, że zgodnie z RODO administrator danych zobowiązany jest poinformować o możliwości wycofania zgody jeszcze przed jej wyrażeniem oraz musi zapewnić, że „wycofanie zgody będzie równie łatwe jak jej wyrażenie”. Oznacza to, że administrator danych, planując zbieranie zgód, powinien zastanowić się nad mechanizmem pozwalającym ich odwołanie. W praktyce oznacza to, iż w taki sam sposób, w jaki zgoda została wyrażona, powinna móc być odwołana.

Na Administratorze danych będzie spoczywał ciężar udowodnienia, że osoba wyraziła zgodę na przetwarzanie danych. Należy zatem tak zaplanować sposób zbierania zgody, aby w razie skargi czy sporu móc udowodnić fakt jej pozyskania. Dlatego też, w celach dowodowych, warto odebrać taką zgodę na piśmie lub w innej formie umożliwiającej ewentualne udowodnienie pozyskania zgody na przetwarzanie danych od osoby, której dotyczą.

Istotną zmianą, jaką wprowadza Rozporządzenie, są odrębne regulacje dot. wyrażenia zgody przez dziecko. Zgodnie z art. 8 pkt. 1 „Jeżeli zastosowanie ma art. 6 ust. 1 lit. a), w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.”

Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Warto podkreślić, iż Polska skorzystała z tego uprawnienia.

Kluczową kwestią jest odpowiedź na pytanie czy zgody wyrażone na gruncie uodo zachowają swoją ważność na gruncie RODO. Zgodnie z motywem 171 preambuły ”(…) Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia (…)”. Oznacza to, iż po 25 maja 2017 r. możliwe będzie przetwarzanie danych na podstawie zebranych zgód pod warunkiem, że zostały one wyrażone zgodnie z przepisami RODO.

Serwisy SMS

Wiele jednostek samorządowych – głównie gmin – oferuje swoim mieszkańcom sms-owe  systemy powiadomień. Treść sms-ów może być różna, ale w głównej mierze dotyczy ona powiadomień alarmowych  (zagrożenia kryzysowe), bieżących (komunikaty urzędu gminy dotyczące np. dat odbioru śmieci, czy wyłączeń prądu), czy też wydarzeń kulturalnych.

Informacja o możliwości „zamówienia” usługi znajduje się na stronie internetowej gminy, gdzie z reguły  zamieszczony jest  regulamin usługi. Usługi powiadamiania realizowane są bezpłatne. Na ogół wyrażenie zgody na otrzymywanie sms z systemu powiadomień polega na wysłaniu sms aktywującego, który w treści może zawierać rodzaj zamawianego serwisu. W podobny sposób zgoda ta jest odwoływana.

Jakie problemy pojawiają się do rozwiązania w aspekcie ustawy o ochronie danych

1. Czy numery telefonów użytkowników serwisu sms tworzą zbiór danych osobowych?

TAK – niekiedy  wystarczy jeden typ danych by zestaw danych był zakwalifikowany jako zbiór  (tu numer telefonu).

2. Kto jest administratorem danych?

Administratorem danych osobowych jest gmina – to ona decyduje o celu i sposobie przetwarzania danych.

3. Czy zgłaszać zbiór do GIODO?

TAK/NIE – o ile Gmina nie powołała ABI zbiór należy głosić w GIODO, w przeciwnym razie zbiór rejestruje ABI we własnym rejestrze ze względu na jego formę (system informatyczny).

4. Czy zapis w Regulaminie usługi deklarujący przetwarzanie  danych osobowych zgodnie z ustawą o ochronie danych przy równoczesnym zapisie, że wysłanie sms aktywującego stanowi akceptację Regulaminu jest równoznaczne z wyrażeniem zgody na przetwarzanie danych osobowych?

NIE – zgoda na przetwarzanie danych osobowych powinna zostać wyrażona odrębnie i nie powinno być żadnych wątpliwości, że dotyczyła ona właśnie przetwarzania danych osobowych. Ponadto należy spełnić obowiązek informacyjny wobec użytkownika serwisu polegający między innymi na  zadeklarowaniu celu przetwarzania danych i poinformowania o jego prawach ( np. w zakresie wglądu do danych, ich poprawiania czy możliwości wstrzymania ich przetwarzania).

5. Co jeśli czynności techniczne związane z obsługą systemu wykonuje firma zewnętrzna?

Nie zmienia to pozycji Gminy jako Administratora Danych Osobowych. Natomiast konieczne jest zawarcie umowy powierzenia z firmą, która prowadzi obsługę techniczną serwisu. W umowie niezbędne jest zawarcie zapisów dotyczących m.in. przestrzegania przez firmę ustawy o ochronie danych osobowych, poufności, obowiązku usunięcia zbioru danych po zakończeniu umowy i/lub jej przekazania wskazanemu podmiotowi, możliwości kontroli ze strony gminy. Istotne jest, aby firma której powierzyliśmy dane była wiarygodna.

Należy podkreślić, że po rozpoczęciu obowiązywania RODO (05.2018) obowiązki informacyjne Administratora Danych Osobowych wobec właściciela danych osobowych podobnie jak wymagania w stosunku do firm, którym powierzymy dane, zostaną rozszerzone. Ponadto na Administratorze będzie ciążył obowiązek udowodnienia wyrażenia zgody na przetwarzanie. Dlatego już teraz należy zwrócić szczególną uwagę na te aspekty przetwarzania danych.

Wizerunek jako dana osobowa

Czy zdjęcie jest daną osobową? Czy fotografia pracownika jest jego daną osobową?

Zgodnie z definicją danych osobowych zawartą w RODO, wizerunek jest uznawany za daną osobową; dlatego też podlega ochronie na zasadach zawartych we wskazanym akcie prawnym.

Najczęstsze problemy powoduje przetwarzanie wizerunku przez pracodawcę lub przyszłego pracodawcę. Na etapie rekrutacji kandydaci do pracy przesyłają CV, załączając na nim swoje zdjęcie. Nie ma problemu, jeśli robią to dobrowolnie. Jeśli natomiast ogłoszenie o pracę zawiera informację, by do CV dołączyć zdjęcie, to będzie to niezgodne z przepisami. Przyszły pracodawca nie może żądać od kandydata do pracy danych wykraczających poza zakres wskazany w art. 221 Kodeksu Pracy oraz Rozporządzeniu Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Wskazane akty prawne dotyczą również zakresu danych pracownika przetwarzanych przez pracodawcę w trakcie trwania stosunku pracy. W żadnych z tych przypadków zdjęcie nie jest wymagane, dlatego pracodawca lub przyszły pracodawca nie może zdjęcia wymagać.

Jeśli pracodawca potrzebuje zdjęcia pracownika do umieszczenia go w Internecie, lub innym miejscu dostępnym powszechnie, pracownik musi zostać przez pracodawcę poinformowany, zgodnie z art. 81 ustawy o prawach autorskich i pokrewnych, o formie, miejscu, czasie przedstawienia jego wizerunku oraz o zestawieniu z innymi wizerunkami i towarzyszącymi wizerunkowi komentarzami. Mając pełną świadomość powyższych kwestii, pracownik wyraża zgodę lub też odmawia wykorzystania jego wizerunku. Jeśli wykorzystanie wizerunku pracownika wynika z wewnętrznych regulaminów, pracodawca musi w nich zawrzeć cel i wszystkie okoliczności dotyczące wykorzystania wizerunku pracownika. Zgoda pracownika musi być dobrowolna, co znaczy, że pracodawca nie może żądać od pracownika udostępnienia mu fotografii i rozpowszechniania jej, nawet wewnętrznie. Odmowa pracownika na wykorzystanie jego wizerunku nie może wiązać się z żadnymi przykrymi konsekwencjami zawodowymi względem pracownika.

Niektóre zawody wymagają jednak wykorzystania wizerunku pracownika, np. dla zachowania bezpieczeństwa. Przykładem może być identyfikator dla ochroniarza budynku. Są też zawody, gdzie wizerunek jest wymagany i przetwarzany na postawie przepisu prawa, np. legitymacja służbowa policjantów.

W przypadku ochrony wizerunku osoby fizycznej, wykorzystywanego w innym celu niż przez pracodawcę, zastosowanie ma ponownie ustawa o prawach autorskich i pokrewnych. Zgodnie z jej przepisami rozpowszechnianie wizerunku może odbywać się tylko na podstawie zgody osoby, którą przedstawia fotografia. Przy czym osoba ta musi posiadać informację o miejscu, czasie i formie rozpowszechnienia swojego wizerunku.

Zgody nie będzie wymagać rozpowszechnianie wizerunku przedstawiającego osobę powszechnie znaną, zwłaszcza w momencie pełnienia przez nią funkcji publicznych.

Zgodne z prawem będzie też rozpowszechnianie wizerunku osoby stanowiącej tylko część, szczegół większej całości, np. fotografie z wydarzeń plenerowych.

Cz. 2 Nowe zasady współpracy z podmiotami przetwarzającymi dane – jakie wyzwania czekają podmioty przetwarzające?

Nowe przepisy również dla procesorów stanowią ogromne wyzwanie, gdyż będą musieli oni wykazać, iż spełniają nałożone na nich wymagania. Oprócz zobowiązań wskazanych powyżej, podmiot przetwarzający, podobnie jak administrator danych, będzie miał obowiązek:

  • niezwłocznego informowania administratora, jeżeli zdaniem podmiotu przetwarzającego wydane mu polecenie stanowi naruszenie rozporządzenia lub innych przepisów,
  • bez zbędnej zwłoki będzie musiał zgłosić administratorowi danych naruszenie ochrony danych osobowych,
  • tylko za zgodą administratora będzie mógł korzystać z innego podmiotu przetwarzającego,
  • prowadzić rejestr kategorii czynności przetwarzania danych (art. 37 RODO),
  • udostępniać rejestr na żądanie organu nadzorczego,
  • współpracować z organem nadzorczym (na jego żądanie)w ramach wykonywania przez niego swoich zadań,
  • wyznaczenia inspektora ochrony danych (w określonych przypadkach),
  • opublikowania danych kontaktowych inspektora ochrony danych i zawiadomienie o nich organu nadzorczego,
  • spełnić warunki niezbędne do przekazywania danych osobowych do państwa trzeciego.

Niespełnienie któregoś z powyższych obowiązków obarczone jest oczywiście bardzo wysokimi sankcjami finansowymi.

W świetle przepisów RODO wybór procesora staje się dla administratorów danych wyzwaniem, które obarczone jest dużym ryzykiem. Będą oni musieli dokonać oceny, czy ryzyko dopuszczenia do współpracy danego podmiotu jest duże, dlatego też tak istotne jest, aby administratorzy uzbroili się w odpowiednie narzędzia, które pozwolą im kontrolować wykonywanie obowiązków przez podmioty przetwarzające. W tym celu w umowie z procesorem należy zawrzeć zapisy zobowiązujące go do:

  • przeprowadzania wewnętrznych audytów, których wyniki będą przedstawione administratorowi,
  • przeprowadzenia zewnętrznych audytów, których wyniki będą przedstawione administratorowi,
  • przeprowadzania samodzielnych kontroli przez administratora danych,
  • zapewnienia administratorowi możliwości weryfikacji poziomu bezpieczeństwa stosowanego przez podmiot przetwarzający.

Cz. 1 Nowe zasady współpracy z podmiotami przetwarzającymi dane – jakie informacje należy umieścić w umowach powierzenia?

Podobnie jak dotychczas, powierzenie przetwarzania danych osobowych podmiotom przetwarzającym w świetle przepisów RODO, będzie odbywało się na podstawie umowy. Jednak rozporządzenie unijne wprowadza nowe, bardzo istotne zmiany odnośnie reguł zawierania takich umów. Administratorzy danych, przed podpisaniem umowy, będą musieli dokonać bardzo wnikliwej weryfikacji podmiotów przetwarzających, aby sprawdzić, jak procesorzy będą zabezpieczać powierzone im dane osobowe.

Zgodnie z art. 28 RODO „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje (w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby) wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą”. Oznacza to, iż na administratorach danych spoczywa dodatkowa odpowiedzialność. Podczas kontroli będą oni musieli wykazać, iż podmiot przetwarzający, który wybrali, spełnia wymagania RODO. Dlatego też istotne jest, aby w procesie weryfikacji procesora, administratorzy, w celach dowodowych, prosili te podmioty o przekazanie wszelkich dokumentów czy procedur wskazujących na właściwy poziom stosowanych przez nie zabezpieczeń.

Umowa z podmiotem przetwarzającym może być zawarta w formie pisemnej lub elektronicznej, podmioty mogą skorzystać z własnego wzoru takiej umowy lub według standardowych klauzul umowny. Możemy spodziewać się, iż Komisja Europejska przygotuje wzór standardowych klauzul, jakie powinny być zawarte w umowie. Powinna ona zawierać następujące informacje: przedmiot i czas trwania umowy, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora. Ponadto w umowie z administratorem należy zawrzeć zobowiązania przedmiotu przetwarzającego, zgodnie z którymi:

  • przetwarza on dane osobowe, wyłącznie na udokumentowane polecenie administratora,
  • wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku,
  • zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy,
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,
  • pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
  • pomaga administratorowi wywiązać się z obowiązków związanych z zapewnieniem bezpieczeństwa danych, zgłoszeniem naruszenia, zawiadamianiem osoby, której dane dotyczą, oceną skutków dla ochrony danych oraz uczestnictwem w uprzednich konsultacjach,
  • umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenie audytów, w tym inspekcji, i przyczynia się do nich,
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania obowiązków wskazanych w umowie,
  • po zakończeniu świadczenia usług, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie.

Do 28 maja 2018 r. administratorzy muszą zweryfikować wszystkie umowy z procesorami
i ewentualnie je aneksować, aby zwierały wszystkie powyższe elementy.

Jak podmiot danych może dochodzić egzekucji praw przyznanych na gruncie RODO?

Reforma unijnych regulacji ochrony danych osobowych daje osobom, których dane są przetwarzane, nowe uprawnienia i tym samym niesie nowe wyzwania dla firm i organizacji przetwarzających dane. Zagadnienie jest istotne dla administratora danych osobowych, gdyż po jego stronie istnieje obowiązek zapewnienia możliwości realizacji praw podmiotu danych. W sytuacji, gdy wdrożone przez administratora rozwiązania okażą się niewystarczające, osoba może skorzystać z innych sposobów egzekwowania swoich praw. Stwierdzenie naruszenia praw może prowadzić do pociągnięcia administratora do odpowiedzialności i nałożenia sankcji, przykładowo w postaci administracyjnej kary pieniężnej.

RODO wprowadza obowiązkową, przejrzystą komunikację na linii administrator – podmiot danych w kwestii informowania i ułatwiania wykonania praw przez podmioty danych. Administrator danych jest więc zobowiązany do udzielenia odpowiedzi na żądania podmiotu danych bez zbędnej zwłoki tj. w terminie do  14 dni, jednak nie później niż w ciągu miesiąca. Jeśli administrator nie zamierza spełnić żądania musi podać tego powody i wskazać możliwości wniesienia skargi do organu nadzorczego lub wejścia na drogę sądową. Tak skonstruowany obowiązek stanowić będzie ciężar dla administratora , zwłaszcza w przypadku dużej ilości wniesionych zapytań. Jest szansą na wyjaśnienie wątpliwości podmiotu danych i załatwienie sprawy zanim zajdzie konieczność skierowania jej do właściwego organu.

Jeżeli natomiast załatwienie sprawy poprzez bezpośrednią komunikację pomiędzy administratorem i osobą nie będzie możliwe to osoba, której dane dotyczą ma prawo zwrócić się do:

  • organu nadzorczego – W Polsce organem właściwym do spraw związanych z ochroną danych osobowych będzie Urząd Ochrony Danych Osobowych,
  • sądu właściwego dla administratora danych osobowych lub podmiotu przetwarzającego lub sądu właściwego ze względu na miejsce swojego zwykłego pobytu.

Osoba może dochodzić swoich praw przed sądem niezależnie od postępowania toczącego się przed organem nadzorczym. Rozstrzygnięcia wydane przez organ nadzorczy mogą stać się przedmiotem postępowania sądowego zarówno z inicjatywy osoby, jak i administratora. Dodatkowo podmiot danych może zaskarżyć organ nadzorczy do sądu, jeżeli ten nie rozpatrzy jego sprawy lub nie poinformuje podmiotu danych o postępach w ciągu trzech miesięcy.

Poza sankcjami nakładanymi przez organ nadzorczy na administratora danych każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku danego naruszenia ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę na drodze cywilnej.

Rejestr czynności przetwarzania

Dla wszystkich Administratorów Danych prowadzących Rejestr Zbiorów, twórcy RODO mają dobrą wiadomość: obowiązek rejestracji zbiorów danych znika! Jednak w związku z prawdziwością powiedzenia, że „w przyrodzie nic nie ginie”, obowiązek prowadzenia Rejestru Zbiorów nie znika zupełnie, a zostaje zastąpiony obowiązkiem prowadzenia Rejestru Czynności Przetwarzania.

Czym rejestr ten będzie się różnił od swojego poprzednika?

Przede wszystkim, każdy administrator oraz procesor jest zobowiązany rejestr prowadzić. W każdym rejestrze powinny znaleźć się informacje dotyczące administratora oraz współadministratorów, przedstawiciela administratora oraz inspektora ochrony danych. Nie może zabraknąć też informacji o celu i sposobach technicznych zabezpieczających przetwarzanie, kategoriach osób, których dane dotyczą i co oczywiste, kategoriach samych danych. Wymienić należy także kategorie odbiorców, którym dane zostaną ujawnione i przekazane, zwłaszcza tych w państwach trzecich. Co ciekawe, w Rejestrze powinny znaleźć się także informacje dot. planowanego terminu usunięcia poszczególnych kategorii danych.

Rejestr może być prowadzony zarówno w sposób elektroniczny, jak i papierowy. Ważne, by można było go w razie kontroli organu uprawnionego, bez przeszkód udostępnić. Organ nadzorczy będzie dokonywał kontroli rejestrów w ramach monitorowania prowadzonych operacji związanych z przetwarzaniem.

Od obowiązku prowadzenia rejestru istnieją wyjątki. Przepisy zwalniają z konieczności prowadzenia Rejestru administratorów, którzy zatrudniają mniej niż 250 pracowników. Ponadto, zwolnienie z obowiązku będzie dotyczyło administratorów, którzy przetwarzają dane w sposób sporadyczny, przetwarzanie nie niesie za sobą ryzyka naruszenia praw lub wolności osób, których dane dotyczą, przetwarzanie nie obejmuje szczególnych kategorii danych osobowych lub kategorii danych dotyczących wyroków skazujących i naruszeń prawa, zgodnie z art. 10 RODO.

Mając na uwadze powyższe wyliczenia, zdecydowana większość administratorów danych osobowych będzie zobowiązana prowadzić Rejestr Czynności Przetwarzania. Co do procesorów, przepisy RODO nie przewidują zwolnienia ich z obowiązku prowadzenia Rejestru, tak więc muszą go prowadzić w każdym przypadku.