powierzanie danych

Cz. 1 Nowe zasady współpracy z podmiotami przetwarzającymi dane – jakie informacje należy umieścić w umowach powierzenia?

Podobnie jak dotychczas, powierzenie przetwarzania danych osobowych podmiotom przetwarzającym w świetle przepisów RODO, będzie odbywało się na podstawie umowy. Jednak rozporządzenie unijne wprowadza nowe, bardzo istotne zmiany odnośnie reguł zawierania takich umów. Administratorzy danych, przed podpisaniem umowy, będą musieli dokonać bardzo wnikliwej weryfikacji podmiotów przetwarzających, aby sprawdzić, jak procesorzy będą zabezpieczać powierzone im dane osobowe.

Zgodnie z art. 28 RODO „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje (w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby) wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą”. Oznacza to, iż na administratorach danych spoczywa dodatkowa odpowiedzialność. Podczas kontroli będą oni musieli wykazać, iż podmiot przetwarzający, który wybrali, spełnia wymagania RODO. Dlatego też istotne jest, aby w procesie weryfikacji procesora, administratorzy, w celach dowodowych, prosili te podmioty o przekazanie wszelkich dokumentów czy procedur wskazujących na właściwy poziom stosowanych przez nie zabezpieczeń.

Umowa z podmiotem przetwarzającym może być zawarta w formie pisemnej lub elektronicznej, podmioty mogą skorzystać z własnego wzoru takiej umowy lub według standardowych klauzul umowny. Możemy spodziewać się, iż Komisja Europejska przygotuje wzór standardowych klauzul, jakie powinny być zawarte w umowie. Powinna ona zawierać następujące informacje: przedmiot i czas trwania umowy, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora. Ponadto w umowie z administratorem należy zawrzeć zobowiązania przedmiotu przetwarzającego, zgodnie z którymi:

  • przetwarza on dane osobowe, wyłącznie na udokumentowane polecenie administratora,
  • wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku,
  • zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy,
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,
  • pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
  • pomaga administratorowi wywiązać się z obowiązków związanych z zapewnieniem bezpieczeństwa danych, zgłoszeniem naruszenia, zawiadamianiem osoby, której dane dotyczą, oceną skutków dla ochrony danych oraz uczestnictwem w uprzednich konsultacjach,
  • umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenie audytów, w tym inspekcji, i przyczynia się do nich,
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania obowiązków wskazanych w umowie,
  • po zakończeniu świadczenia usług, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie.

Do 28 maja 2018 r. administratorzy muszą zweryfikować wszystkie umowy z procesorami
i ewentualnie je aneksować, aby zwierały wszystkie powyższe elementy.

Cz. 2 Nowe zasady współpracy z podmiotami przetwarzającymi dane – jakie wyzwania czekają podmioty przetwarzające?

Nowe przepisy również dla procesorów stanowią ogromne wyzwanie, gdyż będą musieli oni wykazać, iż spełniają nałożone na nich wymagania. Oprócz zobowiązań wskazanych powyżej, podmiot przetwarzający, podobnie jak administrator danych, będzie miał obowiązek:

  • niezwłocznego informowania administratora, jeżeli zdaniem podmiotu przetwarzającego wydane mu polecenie stanowi naruszenie rozporządzenia lub innych przepisów,
  • bez zbędnej zwłoki będzie musiał zgłosić administratorowi danych naruszenie ochrony danych osobowych,
  • tylko za zgodą administratora będzie mógł korzystać z innego podmiotu przetwarzającego,
  • prowadzić rejestr kategorii czynności przetwarzania danych (art. 37 RODO),
  • udostępniać rejestr na żądanie organu nadzorczego,
  • współpracować z organem nadzorczym (na jego żądanie)w ramach wykonywania przez niego swoich zadań,
  • wyznaczenia inspektora ochrony danych (w określonych przypadkach),
  • opublikowania danych kontaktowych inspektora ochrony danych i zawiadomienie o nich organu nadzorczego,
  • spełnić warunki niezbędne do przekazywania danych osobowych do państwa trzeciego.

Niespełnienie któregoś z powyższych obowiązków obarczone jest oczywiście bardzo wysokimi sankcjami finansowymi.

W świetle przepisów RODO wybór procesora staje się dla administratorów danych wyzwaniem, które obarczone jest dużym ryzykiem. Będą oni musieli dokonać oceny, czy ryzyko dopuszczenia do współpracy danego podmiotu jest duże, dlatego też tak istotne jest, aby administratorzy uzbroili się w odpowiednie narzędzia, które pozwolą im kontrolować wykonywanie obowiązków przez podmioty przetwarzające. W tym celu w umowie z procesorem należy zawrzeć zapisy zobowiązujące go do:

  • przeprowadzania wewnętrznych audytów, których wyniki będą przedstawione administratorowi,
  • przeprowadzenia zewnętrznych audytów, których wyniki będą przedstawione administratorowi,
  • przeprowadzania samodzielnych kontroli przez administratora danych,
  • zapewnienia administratorowi możliwości weryfikacji poziomu bezpieczeństwa stosowanego przez podmiot przetwarzający.

Udostępnienie czy powierzenie przetwarzania danych osobowych?

Data 25 maja 2018 r. skłoniła większość podmiotów do podjęcia działań zmierzających do uregulowania wzajemnych relacji biznesowych zgodnie z RODO.

Strony najczęściej dążą do zawarcia umowy o powierzenie przetwarzania danych osobowych, co może rodzić problem z określeniem kto jest administratorem, a kto podmiotem przetwarzającym dane. Odpowiedź nie zawsze jest jednoznaczna, a czasem okazuje się, że mamy do czynienia z dwoma administratorami, co oznacza przekazanie danych w ramach udostępnienia i wyklucza zawarcie umowy powierzenia przetwarzania danych osobowych.

Należy pamiętać, że ich przekazywanie pomiędzy podmiotami może przyjąć postać powierzenia przetwarzania albo udostępnienia. Rozróżnienie ma wpływ na zakres odpowiedzialności oraz ciążące na danym podmiocie obowiązki. To, która forma przekazania danych będzie odpowiednia, zależy od łączącego strony modelu współpracy.

Administrator to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych, jest zobowiązany spełnić obowiązek informacyjny wobec podmiotu danych oraz ponosi odpowiedzialność za naruszenie bezpieczeństwa danych osobowych, również w sytuacji, gdy do naruszenia doszło z winy wybranego przez niego podmiotu przetwarzającego.

Jeśli więc, w łączącej strony umowie następuje powierzenie danych, ale każda ze stron samodzielnie i niezależnie od drugiej decyduje o tym, w jakim celu będą one przetwarzane – to ich przekazanie następuje przez udostępnienie. Model ten opiera się na współpracy podmiotów, z których każdy jest administratorem danych. Udostępnienie danych nie wymaga zawarcia umowy, gdyż nie rodzi wzajemnych zobowiązań, jak również żaden z podmiotów nie ponosi odpowiedzialności za działania czy zaniechania drugiego administratora. W tym przypadku, każdy z podmiotów jest administratorem wobec osoby, której dane są przetwarzane i we własnym zakresie jest zobowiązany do spełniania względem tej osoby ciążących na nim, jako na administratorze, obowiązków.

W przypadku powierzenia przetwarzania danych osobowych zachodzi relacja administrator – podmiot przetwarzający (procesor).

Zgodnie z wytycznymi Grupy Roboczej art. 29 ds. Ochrony Danych (Opinia 1/2010, 00264/10/PL WP169] muszą być spełnione dwa warunki, by uznać dany podmiot za procesora. Po pierwsze musi to być podmiot odrębny i organizacyjnie niezależny od administratora. Po drugie i najważniejsze – procesor działa w imieniu administratora – wykonuje instrukcje administratora, przynajmniej w odniesieniu do celu i sposobów przetwarzania danych osobowych. W tej perspektywie legalność tego działania przez procesora jest określona przez polecenia udzielone mu przez administratora. Powyższa relacja wiąże się z szerokimi uprawnianiami administratora, który sprawuje nadzór w celu zapewnienia zgodności działań podmiotu przetwarzającego z jego instrukcjami i warunkami umowy, może przeprowadzić u procesora inspekcję oraz audyt w celu zapewnienia bezpieczeństwa danych przez niego przetwarzanych. Relacja administrator – podmiot przetwarzający wymaga zawarcia umowy o powierzenie przetwarzania danych osobowych, której niezbędne elementy zostały wskazane w art. 28 ust. 3 RODO. Podkreślenia wymaga fakt, że podmiot przetwarzający, może również przetwarzać dane we własnych celach, co stawia go wówczas w podwójnej roli – w zakresie w jakim przetwarza dane w imieniu administratora – jest procesorem – a w zakresie w jakim przetwarza dane dla własnych celów, sam staje się administratorem tych danych.

Podsumowując, wybranie odpowiedniego modelu powierzenia danych należy rozpatrywać w odniesieniu do konkretnego przypadku, mając na uwadze kto i w jakim zakresie decydować będzie o celach i sposobach przetwarzania danych osobowych.

Brokerzy ubezpieczeniowi a RODO

Obszar ubezpieczeń jest jednym z kluczowych i wymagających obszarów pod względem przetwarzania danych osobowym. Kwestia przepływów danych między firmami ubezpieczeniowymi, pośrednikami ubezpieczeniowymi, a klientami nastręcza wiele wątpliwości jaką rolę przypisać firmom będącym pośrednikami – brokerom czy agencjom ubezpieczeniowym – podmiotu przetwarzającego czy administratora w stosunku do danych osobowych klientów?

Aby odpowiedzieć na to pytanie należy przede wszystkim zastanowić się na czym polega ich rola i jakie są między nimi różnice. Działalność zarówno brokerów, jak i agencji ubezpieczeniowych szczegółowo reguluje ustawa z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń.

Zgodnie z ustawą brokerem ubezpieczeniowym może być zarówno osoba fizyczna, jak
i osoba prawna. Istotne jest, że broker działa w imieniu klienta, który zgłosi się do niego w celu przedstawienia mu dedykowanej oferty ubezpieczeniowej. W tym celu broker będzie „zbierał” oferty  od różnych firm ubezpieczeniowych, z którymi współpracuje, aby na koniec przedstawić swojemu klientowi zestawienie wszystkich ofert ze wskazaniem, która z nich spełnia określone przez klienta kryteria. Przesyłając prośbę do ubezpieczyciela o przygotowanie oferty, broker może przekazać do ubezpieczyciela dane osobowe np. osoby fizycznej prowadzącej jednoosobową działalność gospodarczą. Mamy wówczas do czynienia z udostępnieniem danych klienta brokera ubezpieczycielowi.

Współpraca między klientem a brokerem ubezpieczeniowym opiera się również na podstawie umowy, którą obie strony podpisują. W tym przypadku podstawą prawną przetwarzania danych osobowych będzie art. 6 ust. 1 lit. b RODO. Zatem broker będzie administratorem danych klientów, z którymi podpisał umowę.

Opisane powyżej sytuacje są najbardziej charakterystyczne dla relacji z brokerami ubezpieczeniowymi. Pamiętać jednak należy, że zawsze mogą wystąpić odstępstwa od ogólnie przyjętych reguł, dlatego też za każdym razem konieczne jest szczegółowe przeanalizowanie takiej współpracy.

Nadzór administratora danych nad podmiotem przetwarzającym

Sytuacja, w której podmioty gospodarcze w ramach prowadzonej przez siebie działalności, zlecają część swoich zadań podmiotom zewnętrznym jest obecnie standardem. Podmioty gospodarcze korzystają z usług podwykonawców w ramach wykonywania swojej głównej działalności czy też poszukują wsparcia firm świadczących usługi informatyczne, finansowe czy marketingowe.  Jeśli w związku ze zleceniem przez zlecającego (administratora danych) wspomnianych czynności podmiot zewnętrzny przetwarza dane osobowe w imieniu zlecającego administratora danych to mamy do czynienia z powierzeniem przetwarzania danych osobowych, które wymaga zabezpieczenia.

Weryfikacja procesora

Weryfikacja podmiotu przetwarzającego, jest obowiązkiem administratora wynikającym z art. 28 ust. 1 RODO. Administrator powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.

Podobnie motyw 81 RODO stanowi, że w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.

Co zatem może zrobić administrator aby zrealizować powyższe wymogi RODO ?

Pierwszym sposobem weryfikacji procesora już na etapie szukania odpowiedniego kontrahenta jest stosowanie ankiety weryfikacyjnej z pytaniami dla podmiotu przetwarzającego. Taka ankieta pozwala sprawdzić spełnienie przez procesora podstawowych wymogów RODO takich jak powołanie inspektora ochrony danych czy nadawanie upoważnień do przetwarzania danych. Pozwala też na wstępne sprawdzenie czy procesor wdrożył odpowiednie środki techniczne i organizacyjne wymagane przez administratora. Ponadto ankiety, mogą zawierać pytania dotyczące stanu faktycznego w ramach którego będziemy układać naszą relację z procesorem np. kwestię ewentualnego transferu do państw trzecich czy korzystania z dalszych podmiotów przetwarzających.

Wstępną weryfikację procesora można również podzielić na kilka etapów: pierwszy etap, pozwalający uzyskać odpowiedzi na podstawowe pytania dotyczące zgodności z przepisami i poziomu stosowanych zabezpieczeń oraz drugi etap, dostosowany do konkretnego procesora, uwzględniający specyfikę zlecanych mu czynności oraz ilość, rodzaj i kategorie przetwarzanych przez niego danych osobowych.

Ankiety mogą być stosowane nie tylko na etapie wstępnej weryfikacji kontrahenta – w trakcie umów długoterminowych, mogą służyć jako element aktualizacji wiedzy na temat podmiotu przetwarzającego.

Umowa powierzenia przetwarzania danych

Kolejnym ważnym elementem który zabezpiecza interesy administratora danych w relacji z procesorem oraz stanowi element nadzoru nad nim jest umowa o powierzeniu przetwarzania.

Umowa o powierzeniu przetwarzania określa szczegóły relacji pomiędzy administratorem i podmiotem przetwarzającym. Art. 28 RODO wskazuje szereg warunków, które powinny być przedmiotem takiej umowy. Jednym z nich jest możliwość przeprowadzenia przez administratora audytu lub inspekcji podmiotu przetwarzającego.

Zgodnie z art. 28 ust. 3 lit. h RODO, podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z tym, na etapie przygotowania umowy powierzenia warto zadbać aby zawierała ona postanowienia precyzujące okoliczności prowadzenia audytu przez administratora.

W szczególności możemy w niej określić:

  • Termin na poinformowanie podmiotu przetwarzającego o planowanym audycie.
  • Zasady ponoszenia kosztów przeprowadzenia audytu.
  • Warunki korzystania z usług zewnętrznych podmiotów audytujących.

Oczywiście wypracowanie końcowego brzmienia postanowień umownych dotyczących audytu będzie zależało od woli stron, ich pozycji rynkowej oraz negocjacyjnej.

Szczególną uwagę warto zwrócić na sytuacje naruszenia ochrony danych osobowych u procesora – na tę okoliczność, administrator może zastrzec w umowie specjalny tryb prowadzenia audytu np. zapewniając sobie krótszy termin na powiadomienie o audycie, konieczność niezwłocznego udostępnienia zasobów oraz dokumentacji dotyczącej naruszenia oraz możliwość kontrolowania sposobu wdrażania przez procesora zaleceń poaudytowych.

Zgodnie z zasadą rozliczalności administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie – należy więc pamiętać że wszelkie formy weryfikacji procesora należy odpowiednio udokumentować poprzez przygotowanie raportu z audytu i przechowywanie ankiet weryfikacyjnych.

Nowe standardowe klauzule umowne Komisji Europejskiej

Komisja Europejska (KE) przyjęła w piątek 4 czerwca dwa zestawy nowych standardowych klauzul umownych (nowe klauzule) mające ułatwić relację pomiędzy administratorami danych a podmiotami przetwarzającymi w zapewnieniu bezpiecznego transferu danych osobowych do państw spoza EOG[1] (tzw. państw trzecich). Opublikowanie nowych klauzul jest pokłosiem wydanego w lipcu 2020 r. wyroku Trybunału Sprawiedliwości Unii Europejskiej – Shrems II – unieważniającego dotychczasową podstawę transferu jaką była decyzja Privacy Shield[2]. O tym wyroku pisaliśmy już na naszym blogu.

Opublikowane przez KE nowe klauzule mają ułatwić uczestnikom rynku, którzy przetwarzają dane osobowe zapewnienie zgodności z przepisami RODO.

Nowe klauzule oddziałują na dwóch płaszczyznach tj poprzez zapewnienie:

  1. Odpowiedniego poziomu bezpieczeństwa przetwarzanych danych podczas przekazywania danych do państw trzecich.
  2. Odpowiednich narzędzi regulujących przekazywanie danych podmiotom przetwarzającym a także dalszym podmiotom przetwarzającym, czyli takim którzy przetwarzają dane w imieniu administratorów danych.

Nowe standardowe klauzule umowne wprowadzają rozwiązania odpowiadające obecnym wyzwaniom rynku, a mianowicie:

  • Zapewnienie zgodności klauzul z przepisami RODO.
  • Podejście modułowe umożliwiające elastyczne kształtowanie treści klauzul, poprzez wybór odpowiedniego modułu do potrzeb konkretnego procesu przekazywania danych.
  • Możliwość dodania klauzul i korzystania z nich przez więcej niż 2 strony np. przez dalsze podmioty przetwarzające w przypadku przystąpienia przez nie do zawartych przez strony standardowych klauzul umownych.

Nowe przyjęte klauzule mają zastąpić standardowe klauzule umowne obowiązujące do tej pory w oparciu dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Podmioty, które dotychczas opierały przekazywanie danych do państw trzecich na wcześniejszych standardowych klauzulach umownych będą miały okres przejściowy na dostosowanie się do nowej regulacji. Mogą one w dalszym ciągu na ich podstawie przekazywać dane do państw trzecich przez okres przejściowy 18 miesięcy. Okres ten podzielony jest na 2 etapy:

  • I etap – 3 miesiące od dnia przyjęcia nowych klauzul – w tym okresie możliwe jest zawieranie w nowych umowach wcześniejszych klauzul. Po tym okresie ma nastąpić uchylenie decyzji 2001/497/WE i 2010/87/UE zawierającej wcześniejsze klauzule umowne.
  • II etap – 15 miesięcy od dnia uchylenia wcześniejszych klauzul czyli od zakończenia I etapu– w tym okresie, przy zawieraniu nowych umów, możliwe jest używanie jedynie nowych klauzul. W przypadku umów zawierających wcześniejsze klauzule umowne, zawartych przed tym okresem, nie ma konieczności aktualizacji umów, jeżeli aktualizacja miałaby dotyczyć jedynie zmiany klauzul umownych. Konieczność aktualizacji klauzul umownych występuje jedynie w przypadku, gdy w trakcie II etapu nastąpi zmiana treści umowy. Wtedy konieczne jest również dokonanie aktualizacji standardowych klauzul umownych.

Poprzednie standardowe klauzule będą obowiązywać do 27 grudnia 2022 r.

Wprowadzone nowe standardowe klauzule umowne są jedną z możliwości przekazywania danych do państw trzecich. Zaprezentowane klauzule będą najszybszą i najprostszą możliwością zapewnienie odpowiedniego poziomu bezpieczeństwa transferu danych poza EOG. Jest to wygodne i łatwe w stosowaniu podejście modułowe, które uwzględnia 4 możliwości transferu:

  1. Pomiędzy administratorami z czego jeden z administratorów znajduje się w państwie trzecim.
  2. Między administratorem a podmiotem przetwarzającym znajdującym się w państwie trzecim.
  3. Pomiędzy podmiotami przetwarzającymi z czego jeden z podmiotów przetwarzających znajduje się w państwie trzecim.
  4. Między podmiotem przetwarzającym a administratorem znajdującym się w państwie trzecim.

Nowe standardowe klauzule umowne pomogą zapewnić bezpieczeństwo transferu danych do państw trzecich. Jednakże dopiero z perspektywy czasu będzie można wskazać czy wprowadzone rozwiązania ułatwiły proces przekazywania danych poza EOG.

[1] Europejski Obszar Gospodarczy (EOG) – to porozumienia państw zawarte w celu utworzenia wewnętrznego rynku oraz strefy wolnego handlu. Do EOG należą kraje członkowskie Unii Europejskiej oraz Islandia, Norwegia i Liechtenstein.

[2] Privacy Shield – określała zasady transferu danych osobowych między Państwami Unii Europejskiej a Stanami Zjednoczonymi.

Pomoc obywatelom Ukrainy a RODO (Stan prawny aktualny na dzień 16 marca 2022r.)

12 marca 2022 r. Prezydent RP podpisał ustawę z dnia 12 marca 2022 r. O pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa. Tego samego dnia ustawa została ogłoszona w Dzienniku Ustaw RP i tego samego dnia weszła w życie, z mocą od dnia 24 lutego 2022 r.

 

W dniu 24 lutego 2022 r. wojska Federacji Rosyjskiej zaatakowały terytorium Ukrainy. W wyniku tej agresji setki tysięcy obywateli Ukrainy zaczęło kierować się do krajów sąsiednich. Do dnia 16 marca 2022 r. ponad 2 miliony z nich znalazło schronienie w Rzeczypospolitej Polskiej.  W związku w zaistniałą sytuacją, konieczne stało się opracowanie rozwiązań prawnych adresowanych do opisanej wyżej grupy cudzoziemców. Rząd RP przygotował  projekt ustawy, która stwarza podstawy prawne dla legalizacji pobytu w Polsce osób przybywających z terytorium Ukrainy.

 

„Ustawa o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa” (dalej „Specustawa”) została uchwalona i podpisana przez Prezydenta RP w dniu 12 marca 2022 r. Tego samego dnia weszła w życie z mocą od dnia rozpoczęcia agresji Rosji na Ukrainę, tj. od dnia 24 lutego 2022 r.

 

Podstawowym celem ustawy jest stworzenie szczególnych  regulacji prawnych, zapewniających podstawę dla zgodnego z prawem pobytu obywatelom Ukrainy, którzy w wyniku działań wojennych zostali zmuszeni do opuszczenia swojego kraju i legalnie przedostali się przez granicę do Polski. Zgodnie z art. 2 ust. 1 Specustawy za legalny w Polsce, przez okres 18 miesięcy (liczony od dnia 24 lutego 2022 r.), czyli do dnia 23 sierpnia 2023 r. uznaje się pobyt obywatela Ukrainy, który legalnie przekroczył granicę RP w okresie od dnia 24 lutego 2022 r. i jednocześnie deklaruje zamiar pozostania na terytorium RP.

 

Przepisy ustawy regulują m.in. kwestie dotyczące uprawnień obywateli Ukrainy do opieki medycznej, obejmującej świadczenia opieki zdrowotnej na zasadach i w zakresie, w jakim osobom objętym obowiązkowym lub dobrowolnym ubezpieczeniem zdrowotnym przysługuje prawo do świadczeń na podstawie ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.

 

Zgodnie z art. 4 ust. 1 Specustawy, każdy legalnie przebywający na terenie RP obywatel Ukrainy otrzyma, na podstawie złożonego wniosku, numer PESEL, dzięki któremu będzie mógł założyć profil zaufany (ePuap), legalnie podjąć pracę, uzyska prawo do edukacji, będzie także mógł podejmować i wykonywać w Polsce działalność gospodarczą na takich samych  zasadach jak obywatel RP.

 

Osoby, które przebywają na terytorium Unii Europejskiej korzystają z praw, które daje im Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/ 46/ WE (ogólne rozporządzenie o ochronie danych – RODO). Z  ochrony tej, w tym z wynikających z  RODO uprawnień mogą korzystać również osoby znajdujące schronienie w Polsce w związku z konfliktem zbrojnym na terytorium Ukrainy.

 

Obywatele Ukrainy potrzebują nie tylko wsparcia materialnego, lecz również szeroko rozumianej pomocy prawnej. W związku z tym Urząd Ochrony Danych Osobowych (UODO) uruchomił specjalny adres poczty elektronicznej, pod którym obywatele Ukrainy, przebywający w Polsce mogą uzyskać  niezbędne informacje dotyczące przetwarzania danych osobowych: forukraine@uodo.gov.pl.

UODO przygotował specjalny poradnik, dzięki któremu przebywający w Polsce obywatele Ukrainy będą mogli zapoznać się z przysługującymi im na gruncie RODO prawami oraz dowiedzą się jak z tych  praw korzystać. Poradnik został przygotowany w języku ukraińskim i angielskim i dostępny jest tutaj (https://uodo.gov.pl/pl/file/3979).

 

Od początku konfliktu zbrojnego na Ukrainie wiele instytucji w Polsce zaangażowało się w świadczenie obywatelom Ukrainy pomocy humanitarnej. Świadczenie takiej pomocy wiąże się niewątpliwie z przetwarzaniem danych osobowych. Ponieważ kwestie pomocy humanitarnej wyłączone zostały zasadniczo spod prawa UE, stosuje się w tym zakresie ogólne przepisy obowiązujące w prawie międzynarodowym. O ile jednak podczas przetwarzania danych osobowych znajdują zastosowanie przepisy RODO (zgodnie z motywem 46 RODO), wtedy podstawę prawną do przetwarzania takich danych stanowi bądź zgoda na przetwarzanie podmiotu danych, udzielona w celu umożliwienia niesienia pomocy humanitarnej (art. 6 ust. 1 lit. a RODO) i wyrażona w formie zgodnej z treścią art. 7 ust. 2 RODO oraz w warunkach wskazanych w art. 4 pkt. 11 RODO,, bądź przetwarzanie takie jest„niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej” (art. 6 ust. 1 lit. d RODO).

 

Pomoc humanitarną mogą świadczyć zarówno podmioty publiczne, jak i prywatne. W przypadku, gdy pomoc taką świadczą podmioty publiczne, podstawą prawną do jej świadczenia stanowi także art. 6 ust. 1 lit c oraz e RODO, bowiem przetwarzanie jest niezbędne do „wypełnienia obowiązku prawnego ciążącego na administratorze” oraz „do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”.  W wypadku zaś, gdy pomoc humanitarna jest świadczona przez profesjonalne podmioty prywatne, podstawą prawną do jej świadczenia stanowi także art. 6 ust. 1 pkt f   RODO, bowiem „przetwarzanie takie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią”. W obydwu wypadkach celem, dla którego dane osobowe są przetwarzane jest niesienie pomocy osobom w związku z konfliktem zbrojnym na terytorium Ukrainy.

 

W wypadku gdy przetwarzane byłyby dane szczególnych kategorii, wskazane w art. 9 ust. 1 RODO (np. dotyczące stanu zdrowia), przetwarzanie takich danych może zostać oparte o art. 9 ust. 2 lit. c RODO, czyli niezbędności „do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą jest fizycznie lub prawnie niezdolna do wyrażenia zgody”.

 

Niezależnie od podstaw prawnych do przetwarzania danych osobowych przez organizacje zajmujące się świadczeniem pomocy humanitarnej, należy również pamiętać o dopełnieniu obowiązków informacyjnych, wskazanych w art. 13 RODO. Najważniejsze z nich to wskazanie administratora danych osobowych, celu przetwarzania danych osobowych, podstawy prawnej przetwarzania, okresie przez który dane osobowe będą przechowywane oraz przysługujących podmiotom danych praw.