Ochrona danych osobowych. Poradnik praktyczny ebook

Ochrona danych osobowych. Poradnik praktyczny

Witold Chomiczewski, Aneta Frydrych-Romańska, Wojciech Grenda, Dominik Lubasz, Joanna Łuczak-Tarka, Anna Maciaszczyk, Kinga Majczak-Górecka, Karolina Przybysz, Adam Szkurłat, Julia Wawrzyńczak, Paulina Wirska

Stan prawny na 25 maja 2023 r.

Wolters Kluwer

SŁOWO WSTĘPNE

W dniu 25.05.2023 r. minęło pięć lat od momentu, w którym rozpoczęliśmy stosowanie przepisów ogólnego rozporządzenia o ochronie danych. Choć sam akt prawny został uchwalony ponad dwa lata wcześniej, a europejski prawodawca przewidział stosownie długi okres na dostosowanie czynności przetwarzania do nowych przepisów, to wdrożenie regulacji rozporządzenia 2016/679 rodziło i rodzi nadal wiele wątpliwości i kontrowersji. Perspektywa pięciu lat stosowania nowych przepisów pozwala jednak bliżej przyjrzeć się wykładni, określić tendencje orzecznicze, zweryfikować skuteczność wytycznych oraz innych form soft law w obszarze ochrony danych osobowych, a także przeanalizować stosowane w tej dziedzinie praktyki. Zbliżający się w przyszłym roku komisyjny przegląd regulacji RODO determinuje także krytyczne spojrzenie na regulacje oraz próbę wskazania mankamentów, których usunięcie konieczne byłoby w przyszłości.

Warto podkreślić, że przepisy normujące zagadnienia ochrony danych osobowych to nie tylko RODO, ale również krajowe przepisy sektorowe czy unijne punktowe regulacje związane z różnymi aspektami przetwarzania danych osobowych. O ile rozporządzenie 2016/679 nie zmieniło się od momentu uchwalenia przepisów, o tyle w polskim porządku prawnym wprowadzono szereg nowych przepisów oddziałujących znacząco na zagadnienia związane z ochroną danych osób fizycznych. Nowe przepisy regulują praktyczne i kluczowe z perspektywy wielu administratorów kwestie, między innymi profilowanie, pracę zdalną czy badanie trzeźwości.

Wreszcie czynnikiem wpływającym na wzrost znaczenia zagadnień związanych z ochroną danych osobowych była pandemia COVID-19. Gwałtowna cyfryzacja, zamiana modelu pracy, w szczególności przejście do modelu pracy zdalnej, ujawniły, jak istotne są odpowiedni dobór narzędzi, zaadresowanie nowych wyzwań, zagrożeń i podatności oraz wdrożenie adekwatnych środków technicznych i organizacyjnych.

Wszystkie te aspekty zainspirowały zespół Autorów do opracowania niniejszej publikacji. W jej ramach podjęliśmy próbę zaprezentowania przepisów o ochronie danych osobowych z uwzględnieniem praktycznych aspektów ich stosowania. Publikacja została podzielona na dwie części – poświęconą zagadnieniom ogólnym oraz szczególnym problemom i obszarom przetwarzania danych osobowych. W każdej z części przybliżamy syntetycznie zapatrywania doktryny oraz poglądy prezentowane w orzecznictwie, wzbogacając je o liczne przykłady i podkreślając najistotniejsze wnioski.

Każdy z Autorów jest członkiem zespołu Privacy & Data Protection w kancelarii Lubasz i Wspólnicy, zaś sama publikacja stanowi efekt doświadczeń zgromadzonych przez Autorów, którzy na co dzień zajmują się praktycznym wdrażaniem przepisów o ochronie danych osobowych. Liczne wyróżnienia w branżowych rankingach, dorobek naukowy i publikacyjny oraz słowa uznania od Klientów pozwalają nam wierzyć, że wiedza, jaką dzielimy się w tej książce, będzie cenna i przydatna dla każdego z Czytelników.

Dominik Lubasz

Adam Szkurłat

Łódź, czerwiec 2023 r.

WYKAZ SKRÓTÓW

Akty prawne

EKPC – Konwencja o ochronie praw człowieka i podstawowych wolności, sporządzona w Rzymie dnia 4.11.1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2 (Dz.U. z 1993 r. Nr 61, poz. 284 ze zm.)

k.c. – ustawa z 23.04.1964 r. – Kodeks cywilny (Dz.U. z 2022 r. poz. 1360 ze zm.)

k.k. – ustawa z 6.06.1997 r. – Kodeks karny (Dz.U. z 2022 r. poz. 1138 ze zm.)

k.p. – ustawa z 26.06.1974 r. – Kodeks pracy (Dz.U. z 2022 r. poz. 1510 ze zm.)

k.p.a. – ustawa z 14.06.1960 r. – Kodeks postępowania administracyjnego (Dz.U. z 2023 r. poz. 775 ze zm.)

k.p.c. – ustawa z 17.11.1964 r. – Kodeks postępowania cywilnego (Dz.U. z 2021 r. poz. 1805 ze zm.)

KPP – Karta praw podstawowych Unii Europejskiej (wersja skonsolidowana: Dz.Urz. UE C 202 z 7.06.2016 r., s. 391)

MPPOiP – Międzynarodowy Pakt Praw Obywatelskich i Politycznych, otwarty do podpisu w Nowym Jorku 19.12.1966 r. (Dz.U. z 1977 r. Nr 38, poz. 167)

p.p.s.a. – ustawa z 30.08.2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r. poz. 259 ze zm.)

pr. pras. – ustawa z 26.01.1984 r. – Prawo prasowe (Dz.U. z 2018 r. poz. 1914)

pr. tel. – ustawa z 16.07.2004 r. – Prawo telekomunikacyjne (Dz.U. z 2022 r. poz. 1648 ze zm.)

RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1, ze zm.)

TUE – Traktat o Unii Europejskiej (wersja skonsolidowana: Dz.Urz. UE C 202 z 7.06.2016 r., s. 13)

u.d.i.p. – ustawa 6.09.2001 r. o dostępie do informacji publicznej (Dz.U. z 2022 r. poz. 902)

u.o.d.o. – ustawa z 10.05.2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781)

u.s.o.z. – ustawa z 13.04.2016 r. o systemach oceny zgodności i nadzoru rynku (Dz.U. z 2022 r. poz. 1854)

u.ś.u.d.e. – ustawa z 18.07.2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020 r. poz. 344)

u.w.t. – ustawa z 26.10.1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (Dz.U. z 2023 r. poz. 165 ze zm.)

Periodyki, publikatory urzędowe, zbiory orzecznictwa

Dz.U. – Dziennik Ustaw

Dz.Urz. UE/WE – Dziennik Urzędowy Unii Europejskiej/Wspólnot Europejskich

MoP – Monitor Prawniczy

M.P. – Monitor Polski

OSNC – Orzecznictwo Sądu Najwyższego. Izba Cywilna

PiP – Państwo i Prawo

Inne

CBOSA – Centralna Baza Orzeczeń Sądów Administracyjnych, dostępna na stronie: https://orzeczenia.nsa.gov.pl

DPIA – data protection impact assessment (ocena skutków dla ochrony danych)

ENISA – Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji

EOG – Europejski Obszar Gospodarczy

ePUAP – Elektroniczna Platforma Usług Administracji Publicznej

EROD – Europejska Rada Ochrony Danych

GIODO – Generalny Inspektor Ochrony Danych Osobowych

IOD – inspektor ochrony danych

KE – Komisja Europejska

SA – Sąd Apelacyjny

SN – Sąd Najwyższy

SO – Sąd Okręgowy

TS – Trybunał Sprawiedliwości

UODO – Urząd Ochrony Danych Osobowych

UOKiK – Urząd Ochrony Konkurencji i Konsumentów

CZĘŚĆ OGÓLNA

Rozdział I. REGULACJE PRAWNE OCHRONY DANYCH OSOBOWYCH

1. Wprowadzenie

Z perspektywy osób zajmujących się ochroną danych osobowych, ale przede wszystkim z punktu widzenia administratorów, data 25.05.2018 r. jest kluczowa dla ustalenia, jakie przepisy, a w ślad za tym – jakie obowiązki i zadania, znajdą zastosowanie w istniejących i planowanych procesach przetwarzania danych osobowych. Z tym dniem rozpoczęto – po dwuletnim okresie przygotowawczym – stosowanie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)1. Ogólna dyrektywa sformułowana w motywie 171 RODO przewiduje, że przetwarzanie, które w dniu wejścia w życie rozporządzenia, tj. dnia 24.05.2016 r., już się toczy, powinno w terminie dwóch lat od wejścia rozporządzenia w życie zostać dostosowane do jego przepisów.

2. Rola rozporządzenia 2016/679

Ogólne rozporządzenie o ochronie danych zastąpiło obowiązującą wcześniej dyrektywę 95/46/WE, a w konsekwencji również ustawę o ochronie danych osobowych z 1997 r., wprowadzając odmienny, proaktywny model ochrony, oparty na podejściu bazującym na ryzyku (risk-based approach). W ramach reformy prawa ochrony danych osobowych prawodawca odszedł od sztywnych ram regulacyjnych i precyzyjnego wskazania obowiązków, jakim powinien sprostać administrator. Były one charakterystyczne dla polskiej ustawy o ochronie danych osobowych z 1997 r. oraz rozporządzeń wykonawczych do niej, w tym zwłaszcza dla rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych2.

Podejście oparte na ryzyku jest kluczowe dla odczytania, zrozumienia i zrealizowania obowiązków administratora i podmiotu przetwarzającego nałożonych na nich mocą przepisów rozporządzenia 2016/679.Stało się ono istotnym elementem wielu obowiązków, w tym:

– ogólnego obowiązku zapewnienia zgodności z rozporządzeniem 2016/679, o którym mowa w jego art. 24;

– uwzględniania ochrony danych już w fazie projektowania (data protection by design) w myśl art. 25 ust. 1 oraz realizacji zasady domyślnej ochrony danych (data protection by default) zgodnie z art. 25 ust. 2;

– sporządzania określonej przepisami dokumentacji przetwarzania ujętej w ramy art. 30;

– zapewnienia bezpieczeństwa przetwarzania, w szczególności wskazanego w art. 32;

– oceny skutków przetwarzania dla ochrony danych (data protection impact assessment) oraz uprzednich konsultacji z organem nadzoru, o których mowa odpowiednio w art. 35 i 36.

Jako podstawa przyjętej konstrukcji obowiązków wskazany mechanizm jest realizowany przez analizę ryzyka, dla której jednak brak szczegółowej regulacji w rozporządzeniu 2016/679. Decyzja w kwestii przyjmowanej metodyki, sposobu podejścia, użytych narzędzi analitycznych, jak również samego zakresu analizy została pozostawiona w rękach administratora.

Rysunek 1. Cechy regulacji zawartych w RODO

Źródło: opracowanie własne.

Opisane podejście jest związane ze zdiagnozowaną potrzebą unowocześnienia regulacji ochrony danych osobowych w Unii Europejskiej, zapewnienia jej neutralności technologicznej, zniwelowania negatywnych aspektów dotychczasowego wyboru środka legislacyjnego w postaci dyrektywy o minimalnym charakterze, a wreszcie – z dostrzeżeniem wartości danych osobowych w gospodarce (data driven economy) i wpływu wykorzystania danych, w szczególności w ujęciu transgranicznym, na budowanie jednolitego rynku cyfrowego w Unii Europejskiej.

3. Cele reformy prawa ochrony danych osobowych

W związku z tym sformułowano podstawowe cele, jakie przyświecają omawianej reformie. Z jednej strony jest to wysoki poziom ochrony praw osób fizycznych, z drugiej jednak – poszerzenie możliwości biznesowych poprzez ułatwienie swobodnego przepływu danych osobowych na jednolitym rynku cyfrowym.

W założeniach nowa regulacja – między innymi poprzez technologiczną neutralność – pozostawia administratorom swobodę co do wyboru metod i środków, z wykorzystaniem których będą realizować cele i zadania związane z bezpieczeństwem informacji, co stało się ostatecznie jednym z najbardziej charakterystycznych elementów tej regulacji. Zmieniono w związku z tym stosowane rozwiązania tak, by uelastycznić podejście i zróżnicować nakładane obowiązki zależnie od warunków przetwarzania danych, podmiotów przetwarzających i skali. Miało to być także odpowiedzią na sytuację prawną oraz oczekiwania małych i średnich przedsiębiorców.

Rysunek 2. Podstawowe cele związane ze stosowaniem RODO

Źródło: opracowanie własne.

4. Zakres zastosowania RODO

Przepisyart. 2 i 3 RODO odpowiednio wyznaczają zakres przedmiotowy i zakres terytorialny zastosowania rozporządzenia.

W myśl art. 2 RODO obejmuje ono swoim zakresem zastosowania wszelkiego rodzaju przetwarzanie danych osobowych stanowiących lub mających stanowić część zbioru danych, przetwarzanych w sposób całkowicie lub tylko częściowo zautomatyzowany, a także w sposób ogóle niezautomatyzowany. W konsekwencji regulacja ta znajdzie zastosowanie do większości form przetwarzania. Równocześnie podlega ona jednak pewnym ograniczeniom poprzez sformułowane w art. 2 ust. 2 wyjątki.

Wyłączenia zastosowania rozporządzenia 2016/679 obejmują:

1) przetwarzanie w ramach działalności nieobjętej zakresem prawa Unii;

2) przetwarzanie przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;

3) przetwarzanie przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

4) przetwarzanie przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Zakres terytorialny zastosowania rozporządzenia 2016/679 wyznaczany jest z kolei, zgodnie z art. 3 RODO, przez związek przetwarzania danych osobowych z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

Dostrzegając słabości regulacji dyrektywy 95/46/WE, prawodawca unijny w art. 3 ust. 2 RODO rozszerzył zastosowanie rozporządzenia również na podmioty niemające jednostek organizacyjnych w Unii, jednak przetwarzające dane osób przebywających w Unii, gdy to przetwarzanie wiąże się z:

– oferowaniem osobom przebywającym w Unii towarów lub usług (niezależnie od tego, czy wymagają one zapłaty);

– monitorowaniem zachowania osób, których dane dotyczą, o ile zachowanie to ma miejsce w Unii.

W konsekwencji rozporządzenie 2016/679 przewiduje zdecydowane rozszerzenie zakresu stosowania europejskich przepisów o ochronie danych zgodnie z koncepcją nakierowania działalności na odbiorców w Unii Europejskiej. Koncepcja ta wymaga, aby przy ocenie istnienia nakierowania uwzględniać takie czynniki, jak: posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii.

5. Relacja RODO do polskich regulacji

Jak już wskazano, z momentem rozpoczęcia stosowania przepisów RODO uchylone zostały dotychczasowe krajowe przepisy w obszarze ochrony danych osobowych. Trzeba przy tym podkreślić, że nieprzypadkowa jest zastosowana przez europejskiego prawodawcę forma regulacji w postaci rozporządzenia. Rozporządzenie jako akt prawa unijnego stosowane jest co do zasady bezpośrednio we wszystkich państwach członkowskich, bez konieczności jego implementacji czy sankcjonowania przepisami krajowymi. Europejski prawodawca pozostawił jednak państwom członkowskim pewną swobodę we wdrażaniu i uzupełnianiu przepisów rozporządzenia 2016/679 przez ustawodawstwo krajowe w zakresie wprost wskazanym w rozporządzeniu, tj. w przypadkach, do których rozporządzenie nie znajduje zastosowania (art. 2 ust. 2 RODO), oraz w przypadkach określonych w klauzulach kompetencyjnych, np. w art. 6 ust. 2, art. 9 ust. 4, art. 23, art. 43 i art. 84–91 RODO. Takie rozwiązane legislacyjne dopuszcza zachowanie lub wprowadzenie bardziej szczegółowych niż RODO przepisów w celu wypełnienia obowiązku prawnego, wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, w tym uregulowań sektorowych, dokładniej określających szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, oraz wprowadzanie dalszych warunków, w tym ograniczeń w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Dla zapewnienia stosowania rozporządzenia niezbędne było jednak uchwalenie krajowego aktu prawnego. Wynikało to z zasady autonomii proceduralnej państw członkowskich, w których wyłącznej kompetencji pozostaje ukształtowanie instytucjonalne oraz proceduralne krajowego systemu ochrony danych.

Ustawa z 10.05.2018 r. o ochronie danych osobowych3 weszła w życie 25.05.2018 r., a więc w dniu rozpoczęcia stosowania przepisów ogólnego rozporządzenia o ochronie danych.

Zgodnie z art. 1 ust. 2 u.o.d.o. ustawa określa:

1) podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;

2) warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, akredytowanego przez Polskie Centrum Akredytacji, zwanego dalej „podmiotem certyfikującym”, podmiotu monitorującego kodeks postępowania oraz certyfikacji;

3) tryb zatwierdzenia kodeksu postępowania;

4) organ właściwy w sprawie ochrony danych osobowych;

5) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;

6) tryb europejskiej współpracy administracyjnej;

7) kontrolę przestrzegania przepisów o ochronie danych osobowych;

8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;

9) odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.

Ustawą o ochronie danych znowelizowano równocześnie niektóre przepisy szczegółowe, w tym przepisy Kodeksu pracy w zakresie dotyczącym przetwarzania danych kandydatów do pracy i pracowników, czy ustaw samorządowych dotyczące monitoringu.

Ważne:

Podkreślić należy, że ustawa o ochronie danych osobowych z 2018 r. – mimo zbieżności tytułów – nie jest znowelizowaną ustawą o ochronie danych osobowych z 1997 r. ani nie powiela zakresu RODO. Akt prawny z 2018 r. uchyla obowiązywanie ustawy z 29.08.1997 r. o ochronie danych osobowych.

Dopełnieniem systemu prawnego ochrony danych osobowych są sektorowe regulacje zawarte w wielu polskich ustawach, między innymi w Kodeksie pracy, ustawie z 18.07.2002 r. o świadczeniu usług drogą elektroniczną4, ustawie z 16.07.2004 r. – Prawo telekomunikacyjne5 czy innych szczegółowych przepisach wskazanych w ustawie z 21.02.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)6. Ostatnia z przywołanych ustaw miała na celu dostosowanie rozwiązań przewidzianych w RODO do specyfiki krajowego systemu prawnego w części dotyczącej ochrony danych osobowych. Na jej podstawie dokonano nowelizacji 162 ustaw, a zmiany w niej zawarte przede wszystkim usuwały z porządku prawnego normy sprzeczne z RODO lub powielające rozwiązania przewidziane w tym unijnym akcie.

Rysunek 3. Relacja i struktura przepisów o ochronie danych osobowych w polskim porządku prawnym

Źródło: opracowanie własne.

Rozdział II. PODSTAWOWE POJĘCIA I ROLE W PROCESIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Wprowadzenie

Do prawidłowej interpretacji rozporządzenia 2016/679 konieczna jest znajomość wielu specyficznych pojęć związanych z ochroną danych osobowych. Pojęcia te zostały zdefiniowane w art. 4 RODO. Wśród kluczowych pojęć możemy wyróżnić pojęcia: danych osobowych, danych szczególnej kategorii, przetwarzania, administratora, podmiotu przetwarzającego, współadministratora, zgody oraz profilowania.

2. Dane osobowe

Jednym z centralnych pojęć używanych na gruncie RODO jest pojęcie danych osobowych. Dane osobowe zgodnie z art. 4 pkt 1 RODO to wszelkieinformacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Pojęcie to ma charakter otwarty. Mogą pojawiać się również nieznane dotychczas kategorie danych7.

Aby dokonać omówienia tej definicji, warto podzielić ją na następujące elementy:

– „wszelkie informacje”,

– „dotyczące”,

– „zidentyfikowanej lub możliwej do zidentyfikowania”,

– „osoby fizycznej”8.

Pojęcie wszelkich informacji obejmuje wszelkie stwierdzenia na temat danej osoby, także subiektywne opinie i oceny, a nawet informacje nieprawdziwe lub niesprawdzone, niezależnie od formy ich przedstawienia (liczbowo, alfabetycznie, fotograficznie, akustycznie) i nośnika informacji (zapisane na papierze lub w pamięci komputera)9.

Informacja musi dotyczyć określonej osoby, a więc musi być to informacja na temat tej osoby10. Związek z osobą może mieć charakter osobowy lub rzeczowy. Dane nie muszą dotyczyć bowiem ściśle określonej osoby, by uznać, że jej dotyczą. Wystarczy, że dane dotyczą przedmiotu, który należy do określonej osoby lub jest w bliskiej odległości geograficznej w stosunku do określonej osoby. Nie jest natomiast wystarczający związek wyłącznie statystyczny11.

Wystąpienie związku można oceniać przez pryzmat treści, celu lub skutku informacji. Przy ustalaniu związku pomocne może być zadanie następujących pytań:

– Czy jest to informacja na temat określonej osoby (treść informacji)?

– Czy dane zostaną użyte w celu potraktowania osoby w określony sposób lub jej oceny (cel informacji)?

– Czy użycie danych będzie wpływać na prawa i interesy danej osoby (skutek informacji)?

Ważne:

Danymi osobowymi są również numery księgi wieczystej. Ujawnienie numeru księgi wieczystej pozwala bowiem pozyskać osobie zainteresowanej takie informacje, jak: numer PESEL, imię i nazwisko, imiona rodziców oraz adres nieruchomości12.

Kolejnym elementem, który składa się na pojęcie danych osobowych, jest fakt identyfikacji osoby fizycznej lub umożliwienie potencjalnej identyfikacji. Osobę fizyczną uważa się za zidentyfikowaną, jeżeli można odróżnić ją od pozostałych członków grupy. Z kolei osoba możliwa do zidentyfikowania to osoba, wobec której nie dokonano jeszcze identyfikacji, ale jest to możliwe13.

Do identyfikacji można posłużyć się różnymi informacjami, między innymi: imieniem i nazwiskiem, numerem identyfikacyjnym, danymi o lokalizacji lub identyfikatorem internetowym. Możliwe jest również dokonanie identyfikacji przy jednoczesnym wykorzystaniu kilku szczególnych czynników określających na przykład fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Połączenie kilku takich czynników może tworzyć unikalną kombinację, która będzie identyfikowała osobę fizyczną.

Identyfikacja może następować w sposób bezpośredni lub pośredni. Bezpośrednia identyfikacja najczęściej następuje poprzez nazwisko osoby fizycznej. W przypadku pospolitych imion i nazwisk konieczne może się okazać sięgnięcie do dodatkowych informacji, ponieważ samo imię i nazwisko nie będą wystarczające do jednoznacznej identyfikacji osoby fizycznej. Z kolei identyfikacja pośrednia dokonywana jest na przykład na podstawie: numeru dowodu osobistego przypisanego do danej osoby fizycznej, informacji o lokalizacji, opisu „obecny prezes zarządu spółki X”, adresu IP, identyfikatora plików cookies.

To, czy dana informacja pozwala na bezpośrednią, czy też na pośrednią identyfikację osoby fizycznej, zależy od okoliczności sprawy. Osoba fizyczna może zostać zidentyfikowana nawet na podstawie samego pospolitego nazwiska, gdy mamy do czynienia z niewielką grupą osób. Nie dla każdego ta sama informacja będzie stanowiła dane osobowe, ponieważ nie każdy będzie miał taką samą możliwość identyfikacji danej osoby fizycznej. Zgodnie z motywem 26 RODO w celu identyfikacji osoby bierzemy pod uwagę takie czynniki, jak koszt identyfikacji, jej czas oraz dostępna technologia. Jest to tak zwana relatywizacja pojęcia danych osobowych14. Innymi słowy, to, czy konkretna informacja stanowi dane osobowe, zależy od tego, jakimi innymi informacjami i możliwościami dysponuje osoba, która weszła w jej posiadanie. Fakt, że dodatkowe informacje, za pomocą których może nastąpić identyfikacja, znajdują się w posiadaniu osoby trzeciej nie wyklucza możliwości uznania ich za dane osobowe15.

Przykład może stanowić adres IP, którego status jest dość niejednoznaczny. W świetle orzeczeń Trybunału Sprawiedliwości zarówno statyczny identyfikator IP16, jak i IP dynamiczne17 zostały uznane, w pewnych sytuacjach, za dane osobowe. W wyroku w sprawie C-70/10, Société belge des auteurs, compositeurs et éditeurs Trybunał Sprawiedliwości uznał, że adres IP to dane osobowe dla dostawcy usługi dostępu do internetu. Z kolei w sprawie C-582/14, Patrick Breyer,dotyczącej dynamicznego IP, przyjęto, że adres IP ma charakter danych osobowych dla podmiotów mających możliwość połączenia go z dodatkowymi informacjami będącymi w posiadaniu na przykład dostawcy usługi dostępu do internetu.

Przykład:

Ciąg cyfr będący numerem klienta banku stanowi dane osobowe dla banku, ale nie dla postronnej osoby, która nie ma dostępu do wewnętrznego systemu danego banku i nie jest w stanie powiązać numeru klienta z konkretną osobą fizyczną.

Adres IP stanowi dane osobowe dla dostawcy usługi dostępu do internetu, ponieważ dostawca ma możliwość połączenia go z dodatkowymi informacjami będącymi w jego posiadaniu i dokonania w ten sposób pośredniej identyfikacji osoby fizycznej.

Co istotne, zidentyfikowanie osoby fizycznej, zwłaszcza w internecie, nie musi polegać na ustaleniu jej imienia i nazwiska. Do wywarcia określonego wpływu na osobę fizyczną wystarczające jest oznaczenie użytkownika na przykład za pomocą indywidualnego identyfikatora18. Zgodnie z motywem 30 RODO osobom fizycznym mogą zostać przypisane identyfikatory internetowe, takie jak adresy IP czy identyfikatory plików cookies. W konsekwencji ślady, które pozostawia w internecie użytkownik, w połączeniu z tymi unikatowymi identyfikatorami mogą być wykorzystywane do tworzenia profili i do identyfikowania osób. Choć w doktrynie postuluje się, by wszelka aktywność internetowa była traktowana jako dane osobowe19, to przeważa stanowisko, że nie jest możliwe zakwalifikowanie określonych informacji jako danych osobowych w sposób automatyczny.

Ważne:

W orzecznictwie20 wyrażany jest pogląd, że numery telefonów nie stanowią danych osobowych, ponieważ bez dodatkowych informacji nie pozwalają one na identyfikację abonentów przypisanych do tych numerów.

Ważne:

Naczelny Sąd Administracyjny w jednym z rozstrzygnięć zaprezentował również pogląd, że numer rejestracyjny pojazdu nie stanowi danych osobowych, ponieważ identyfikuje pojazd, a nie osobę21. Zidentyfikowanie posiadacza pojazdu może być dokonane tylko poprzez dostęp do odpowiednich rejestrów lub katalogów.

Warto zaznaczyć, że powyższa linia orzecznicza Naczelnego Sądu Administracyjnego jest sprzeczna z poglądami organów ochrony danych osobowych innych państw członkowskich, w tym z poglądem wyrażonym przez Prezesa Urzędu Ochrony Danych Osobowych przy okazji prac nad projektem ustawy o zmianie ustawy o autostradach płatnych oraz Krajowym Funduszu Drogowym oraz niektórych innych ustaw22.

Informacje anonimowe nie stanowią danych osobowych, nie jest bowiem możliwe powiązanie ich z konkretną osobą. Podkreślić należy w tym miejscu różnicę pomiędzy informacjami zanonimizowanymi a informacjami spseudonimizowanymi. W przypadku danych anonimowych, w przeciwieństwie do danych spseudonimizowanych, nie jest możliwe ponowne przypisanie ich do konkretnej osoby fizycznej. Natomiast pseudominizacja jest jedną z metod zabezpieczania danych osobowych i nie pozbawia informacji cech danych osobowych23.

Pojęcie danych osobowych ogranicza się do informacji o osobach fizycznych24. W świetle polskiego prawa osobą fizyczną jest człowiek od chwili narodzin do chwili śmierci. Nie ma przy tym znaczenia czy osoba fizyczna posiada zdolność do czynności prawnych25, jakie posiada obywatelstwo, miejsca zamieszkania ani prowadzona aktywność zawodowa26. Poza zakresem RODO znajduje się natomiast przetwarzanie danych dotyczących osób prawnych, jednostek organizacyjnych nieposiadających osobowości prawnej oraz osób zmarłych.

3. Dane szczególnych kategorii

Wyróżnia się dwie zasadnicze kategorie danych osobowych, tj. dane zwykłe i dane szczególnych kategorii, potocznie określane jako dane wrażliwe. Zgodnie z art. 9 ust. 1 RODO jako dane szczególnych kategorii kwalifikowane są:

– pochodzenie rasowe lub etniczne,

– poglądy polityczne,

– przekonania religijne lub światopoglądowe,

– przynależność do związków zawodowych,

– dane genetyczne,

– dane biometryczne wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej,

– dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

Katalog ten ma charakter zamknięty.

Wśród danych wrażliwych ważną kategorię stanowią dane biometryczne, które wymagają specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej i umożliwiają jej jednoznaczną identyfikację lub potwierdzenie jej tożsamości. Do takich danych zaliczane są między innymi: odciski linii papilarnych na palcach, kod DNA, skan siatkówki oka, głos.

Dane wrażliwe podlegają szczególnym, bardziej restrykcyjnym zasadom przetwarzania. Na gruncie RODO ustanowiony został ogólny zakaz przetwarzania danych wrażliwych, który może być uchylony jedynie przez określone w art. 9 ust. 2 RODO okoliczności legalizujące.

Ważne:

Zgodnie z orzecznictwem Trybunału Sprawiedliwości27 pojęcia „szczególnych kategorii danych osobowych” i „danych wrażliwych” należy interpretować szeroko. Celem RODO jest bowiem zagwarantowanie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich życia prywatnego, w zakresie przetwarzania danych osobowych, które ich dotyczą. Przetwarzanie „zwykłych” kategorii danych osobowych, które w sposób pośredni mogą ujawnić informacje o danych wrażliwych osoby fizycznej, stanowi przetwarzanie dotyczące szczególnych kategorii danych.

4. Przetwarzanie

Artykuł 4 pkt 2 RODO stanowi, że przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, taką jak:

– zbieranie,

– utrwalanie,

– organizowanie,

– porządkowanie,

– przechowywanie,

– adaptowanie lub modyfikowanie,

– pobieranie,

– przeglądanie,

– wykorzystywanie,

– ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie,

– dopasowywanie lub łączenie,

– ograniczanie,

– usuwanie lub niszczenie.

Wskazany katalog operacji przetwarzania ma charakter przykładowy. Operacjami przetwarzania danych niewymienionymi wprost w wyliczeniu są na przykład profilowanie i pseudonimizacja28. Warto zwrócić uwagę na to, że odzwierciedla on zarazem cały cykl życia danych osobowych, począwszy od ich zebrania, a skończywszy na ich usunięciu29. Operacje te mogą być wykonywane w sposób zautomatyzowany lub niezautomatyzowany. Z operacjami zautomatyzowanymi mamy do czynienia między innymi w przypadku baz danych prowadzonych w systemach komputerowych umożliwiających na przykład sortowanie treści, które w znacznym stopniu ograniczają udział człowieka30. Z kolei sposób niezautomatyzowany opiera się na przetwarzaniu danych osobowych bez użycia urządzeń i programów automatyzujących, w tym w sposób ręczny. W obu przypadkach decyzja o zainicjowaniu operacji na danych osobowych należy do człowieka. Nie ma przy tym znaczenia fakt, czy osoba miała świadomość i wolę przetwarzania danych osobowych31.

Przykład:

• Zbieranie – formularze reklamacyjne wypełniane elektronicznie, rejestracja na stronie internetowej, składanie zamówienia na stronie internetowej, wypełnianie ankiet, zbieranie CV podczas rekrutacji.

• Utrwalanie – zarejestrowanie rozmowy telefonicznej klienta dzwoniącego na infolinię, rejestrowanie obrazu wideo z wizerunkiem osoby fizycznej.

• Organizowanie lub porządkowanie – układanie w sposób alfabetyczny listy klientów, kategoryzowanie danych osobowych klientów.

• Przechowywanie – zapisywanie listy klientów na nośniku danych, w chmurze, przechowywanie papierowych akt osobowych pracowników.

• Adaptowanie lub modyfikowanie – aktualizacja adresu e-mail klienta, poprawianie błędnych danych klienta.

• Pobieranie lub przeglądanie – analiza bazy klientów, przyglądanie karty medycznej pacjenta, przeglądanie akt osobowych pracownika.

• Wykorzystywanie – użycie bazy klientów do przeprowadzenia kampanii marketingowych i analizy rynku, przeprowadzenie procesu rekrutacji na podstawie przesłanych CV, przetwarzanie danych osobowych w celu identyfikacji zagrożeń o charakterze terrorystycznym.

• Ujawnianie – przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie – publikowanie zdjęć oraz imion i nazwisk pracowników na stronach internetowych, przesyłanie baz danych przez brokerów swoim kontrahentom.

• Dopasowywanie lub łączenie – tworzenie profili behawioralnych użytkowników stron internetowych.

• Ograniczanie, usuwanie lub niszczenie – usunięcie danych klienta z bazy danych osób zapisanych do newslettera, usunięcie danych osobowych na skutek decyzji organu nadzorczego.

5. Profilowanie „zwykłe” i profilowanie kwalifikowane

Definicja profilowania zwykłego sformułowana została w art. 4 pkt 4 RODO. Zgodnie z nią profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Funkcją profilowania w tym znaczeniu jest identyfikacja, ocena zachowania i cech określonej osoby oraz przewidywanie jej zachowań32.

Przykład:

Profilowaniem nie jest klasyfikacja osób fizycznych przez przedsiębiorcę ze względu na płeć, w przypadku gdy przedsiębiorstwo chce w ten sposób dowiedzieć się, jaki jest statystyczny udział mężczyzn i kobiet wśród klientów. Celem tego działania nie jest bowiem ocena cech określonej osoby fizycznej33.

Dokonując analizyart. 4 pkt 4 RODO, trzeba wyróżnić trzy przesłanki profilowania zwykłego:

– dotyczy danych osobowych;

– stanowi dowolną formę zautomatyzowanego przetwarzania;

– na jego podstawie powinna być dokonywana ocena czynników osobowych osoby fizycznej34.

Profilowanie może przybrać postać niezautomatyzowaną, częściowo zautomatyzowaną oraz całkowicie zautomatyzowaną35. Niezautomatyzowane profilowanie oparte jest na ludzkim działaniu36 i nie będzie wchodzić w zakres definicji art. 4 pkt 4 RODO37. Z kolei profilowanie częściowo zautomatyzowane pozbawione zostaje czynnika ludzkiego głównie w obszarze analiz danych38. Treść art. 4 pkt 4 RODO wskazuje na dowolną formę zautomatyzowanego przetwarzania, co potwierdza, że profilowanie zautomatyzowane może łączyć się z pewnymi formami ludzkiej interwencji39. Ostatnia, całkowicie zautomatyzowana forma profilowania oparta jest wyłącznie na algorytmach, które nie tylko dokonują analizy danych, ale też wyciągają z nich odpowiednie wnioski, kategoryzują je i wykorzystują do określonego celu40. Profilowaniem w tym znaczeniu nie będzie zatem proces, w którym człowiek będzie miał możliwość nadzoru nad wynikiem profilowania41, na przykład przez konieczność weryfikacji zaproponowanej przez algorytm rekomendacji co do sposobu rozpatrzenia wniosku kredytowego klienta. Profilowanie całkowicie zautomatyzowane opisane zostało w art. 22 RODO.

W przypadku ostatniej przesłanki profilowania zwykłego, jaką jest ocena czynników osobowych osoby fizycznej, należy podkreślić, że zawarte w art. 22 RODO wyliczenie czynników nie jest wyczerpujące42. Dokonanie takiej oceny ma na celu ułatwienie zakwalifikowania danej osoby do jakiejś kategorii43. Uważa się jednak, że prosta kategoryzacja danych bez wnioskowania o nowych informacjach nie będzie profilowaniem w rozumieniu RODO44.

Niekiedy profilowanie jest wykorzystywane do podejmowania decyzji wobec danej osoby, co uregulowane zostało w art. 22 RODO45. Podleganie takiemu profilowaniu szczególnemu podlega restrykcyjnym ograniczeniom. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Podmiot danych ma prawo do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Innymi słowy, jeżeli wynikiem zautomatyzowanego przetwarzania jest określona decyzja wobec osoby fizycznej, osoba ta ma swoiste prawo „odwołania się” od tej decyzji do człowieka. Ma to minimalizować ryzyko niebezpieczeństwa dla praw jednostki wynikające z rozwoju nowych technologii46. Obok profilowania szczególnego w art. 22 RODO wymieniono też zautomatyzowane podejmowanie decyzji, które jest kategorią szerszą od profilowania i niekoniecznie musi być z nim związane. Mogą bowiem zaistnieć sytuacje, gdy podjęcie decyzji nastąpi bez dokonywania oceny czynników osobowych danej osoby fizycznej. Niekiedy, wraz ze zmianą sposobu wykorzystania danych, działanie oparte jedynie na procesie zautomatyzowanego podejmowania decyzji może przekształcić się w działanie oparte na profilowaniu47.

Przykład:

Zautomatyzowane nakładanie mandatów na podstawie dowodów z fotoradarów nie musi opierać się na profilowaniu. Jeśli natomiast wysokość mandatu będzie uzależniona od ilości wcześniejszych naruszeń zasad ruchu drogowego przez konkretnego kierowcę, to będziemy mieli do czynienia z profilowaniem.

Aby można było mówić o profilowaniu kwalifikowanym, konieczne jest również spełnienie następujących warunków (alternatywnie): wywarcie skutków prawnych w stosunku do osoby objętej decyzją lub też wywarcie na nią podobnego istotnego wpływu. Obie te przesłanki zostały szczegółowo wyjaśnione przez Grupę Roboczą Art. 29 ds. Ochrony Danych w wytycznych dotyczących zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679.

Profilowanie kwalifikowane w rozumieniu art. 22 RODO jest co do zasady dopuszczalne w przypadku wystąpienia jednej z trzech sytuacji:

1) jeżeli decyzja jest niezbędna do zawarcia lub wykonania umowy,

2) jeżeli decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, lub

3) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Wyjątek stanowią dane szczególnie wrażliwe, określone w art. 9 ust. 1 RODO, które zgodnie z art. 22 ust. 4 RODO mogą być użyte do profilowania tylko w przypadku wystąpienia przesłanki zgody lub gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym.

6. Zgoda

Zgoda jest jedną z podstaw przetwarzania danych osobowych wymienionych w art. 6 RODO. Artykuł 4 pkt 11 RODO stanowi, że zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (art. 7 ust. 1 RODO). Zgoda taka powinna spełniać warunki określone w art. 4 pkt 11 i art. 7 RODO, a więc powinna być dobrowolna, konkretna, świadoma, jednoznaczna i wyrażona przez oświadczenie lub wyraźne potwierdzenie działania.

Szczegółowe informacje dotyczące zgody znajdują się w dalszej części opracowania – w rozdziale IV, dotyczącym podstaw prawnych przetwarzania.

7. Administrator

Pojęcia administratora, współadministratora oraz podmiotu przetwarzającego określają rolę podmiotów z uwagi na pełnione przez nie funkcje. Status podmiotu jako administratora lub podmiotu przetwarzającego nie będzie zależeć od formalnego wyznaczenia ich na przykład w umowie, ale od analizy elementów stanu faktycznego lub okoliczności sprawy48.

Ważne:

Administratorem nie jest konkretna osoba sprawująca kierownicze stanowisko czy pracownik, któremu powierzono zadania związane z przetwarzaniem danych. Funkcji administratora nie można na te osoby scedować.

Zgodnie z art. 4 pkt 7 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Innymi słowy, administrator decyduje o tym, dlaczego i jak należy przetwarzać dane. Właśnie ten element odróżnia administratora od podmiotu przetwarzającego.

W celu omówienia definicji administratora należy wyróżnić następujące elementy tej definicji:

– „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot”,

– „ustala”,

– „samodzielnie lub wspólnie z innymi”,

– „cele i sposoby”,

– „przetwarzania danych osobowych”49.

Przechodząc do omówienia poszczególnych składowych definicji administratora, należy zauważyć, że sformułowanie „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot” oznacza, że w zasadzie administratorem może być każdy. W praktyce stosunkowo rzadko administratorem danych są konkretne osoby fizyczne. Nawet jeśli organizacja wyznacza konkretną osobę fizyczną, która odpowiada za zapewnienie zgodności z RODO, a nawet decyduje o celach przetwarzania danych osobowych pod kontrolą organizacji, nie prowadzi to do uzyskania przez tę osobę przymiotu administratora danych – w dalszym ciągu jest nim sama organizacja, w imieniu której działa wyznaczona osoba fizyczna50.

Słowo „ustala” oznacza, że administrator decyduje o kluczowych elementach przetwarzania. Administrowanie zwykle wynika z przepisów prawnych lub faktycznego pełnienia roli decyzyjnej.

Przykład:

• Przepisy nakładają na lokalne władze obowiązek zapewniania obywatelom świadczeń socjalnych w zależności od sytuacji finansowej oraz określają, że administratorem danych związanych z wykonaniem powyższego obowiązku są lokalne władze.

• Przedsiębiorstwo zajmuje się wysyłką newsletterów na zlecenie i zgodnie z instrukcjami podmiotu prowadzącego sklep internetowy. W umowie strony określiły, że administratorem danych jest przedsiębiorstwo zajmujące się wysyłką newsletterów. Mimo takich ustaleń umownych administratorem danych zawartych w bazie klientów jest podmiot prowadzący sklep internetowy.

Ustalanie celów i sposobów następuje „samodzielnie lub wspólnie z innymi podmiotami”, które określa się mianem „współadministratorów”. Szerzej na temat współadministrowania w rozdziale XII.

Administrator jest podmiotem, który określa, dlaczego odbywa się przetwarzanie (tj. „w jakim celu”, „po co”) i jak ten cel zostanie osiągnięty (tj. jakie środki zostaną zastosowane, aby osiągnąć ten cel)51. Niekiedy wybór sposobów przetwarzania będzie dokonywany nie tylko przez administratora, ale także przed podmioty przetwarzające.

Dla administratora zostały zastrzeżone takie decyzje, jak:

– wybór danych, jakie będą przetwarzane;

– czas trwania przetwarzania;

– kategorie odbiorców danych;

– ustalenie, czyje dane osobowe będą przetwarzane.

Z kolei podmiot przetwarzający zwykle dokonuje mniej istotnych wyborów dotyczących sposobów przetwarzania, w tym między innymi wyboru sprzętu lub oprogramowania oraz wyboru odpowiednich środków bezpieczeństwa52.

Przesłanka przetwarzania danych osobowych została wyjaśniona w punktach 1 i 3 tego rozdziału.

8. Podmiot przetwarzający

Zgodnie z art. 4 pkt 8 RODO podmiot przetwarzający (nazywany także procesorem) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Warunkiem zakwalifikowania podmiotu jako podmiotu przetwarzającego jest:

– pełnienie roliodrębnego podmiotu w stosunku do administratora,

– przetwarzanie danych osobowych w imieniu administratora.

Warunek odrębności nie zostanie spełniony w przypadku powierzenia przetwarzania wyodrębnionemu działowi w ramach tej samej organizacji. Warunek ten jest natomiast spełniony w przypadku powierzenia przetwarzania odrębnemu podmiotowi w ramach grupy kapitałowej.

Działanie w imieniu administratora polega na tym, że administrator nie sprawuje nad podmiotem przetwarzającym organizacyjnej kontroli, ale określa granice, w jakich podmiot przetwarzający może przetwarzać dane osobowe, tj. jakie dane i w jakim celu będą przetwarzane oraz jakie operacje będą mogły być dokonywane przez podmiot przetwarzający na danych osobowych53. Podmiot przetwarzający nie może działać wbrew instrukcjom administratora i nie może przetwarzać danych do własnych celów. W takiej sytuacji zostanie on bowiem samoistnym administratorem danych.

Ważne:

W proces przetwarzania danych może być zaangażowanych wiele podmiotów przetwarzających.

Przykład:

• Podmiot dostarczający rozwiązania IT lub usługi przechowywania danych w chmurze zwykle będzie dla swoich klientów podmiotem przetwarzającym. Z kolei klient takiego podmiotu będzie administratorem.

• Spółka X korzysta z usług księgowych spółki Y w celu wypłaty pracownikom wynagrodzeń. Spółka X przekazuje spółce Y wszelkie niezbędne informacje dotyczące wynagrodzeń. Spółka X jest w tym przypadku administratorem, a spółka Y podmiotem przetwarzającym.

Więcej informacji na temat powierzenia przetwarzania danych osobowych w rozdziale XI publikacji.

Rozdział III. ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

1. Wprowadzenie

W motywie 39 i art. 5 RODO wymienione zostały podstawowe zasady przetwarzania danych osobowych, które są podstawą interpretacji innych przepisów zawartych w tym akcie prawnym.

Wśród reguł przetwarzania danych osobowych wyróżnia się:

– zasadę zgodności z prawem, rzetelności i przejrzystości,

– zasadę ograniczenia celu,

– zasadę minimalizacji danych,

– zasadę prawidłowości,

– zasadę ograniczenia przechowywania,

– zasadę integralności i poufności,

– zasadę rozliczalności.

Zasady te tylko wyjątkowo mogą doznawać ograniczeń. Wyjątki te powinny być określone w przepisach prawa i nie mogą być one interpretowane rozszerzająco54. Naruszenie tych zasad może prowadzić do nałożenia administracyjnej kary pieniężnej (art. 83 ust. 5 lit. a RODO).

2. Zasada zgodności z prawem i rzetelności

Zasada zgodności z prawem ma charakter nadrzędny wobec wszystkich pozostałych zasad.

Zasada zgodności z prawem oznacza nie tylko konieczność spełnienia przesłanek legalności przetwarzania danych określonych w RODO, ale również konieczność przestrzegania norm ustanowionych w innych przepisach prawa, między innymi wdrożenie pozostałych zasad przetwarzania, zapewnienie zgodnego z prawem przekazywania danych podmiotom przetwarzającym i prawidłowość transferów do państw trzecich55.

Ważne:

Analiza spełnienia zasady zgodności z prawem w modelu uwzględniania ochrony danych osobowych w fazie projektowania powinna obejmować następujące elementy:

• ustalenie i zastosowanie właściwej podstawy prawnej do przetwarzania danych;

• podstawa prawna stosowana w odniesieniu do każdej czynności przetwarzania powinna być zróżnicowana;

• podstawa prawna powinna być wyraźnie powiązana z konkretnym celem przetwarzania;

• aby cel przetwarzania mógł być uznany za zgodny z prawem, przetwarzanie powinno być niezbędne i bezwarunkowe;

• osobie, której dane dotyczą, należy przyznać najwyższy możliwy stopień autonomii w kontroli nad danymi osobowymi w ramach podstawy prawnej;

• zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna (szczególnie w przypadku dzieci i młodzieży);

• w przypadku gdy podstawą prawną jest zgoda, jej wycofanie musi być równie proste, jak udzielenie zgody;

• w przypadku gdy podstawą prawną są prawnie uzasadnione interesy, należy przeprowadzić test równowagi;

• podstawa prawna powinna być ustalana przed rozpoczęciem przetwarzania danych;

• w przypadku ustania zastosowania podstawy prawnej należy przerwać przetwarzanie;

• jeżeli nastąpiła zmiana podstawy prawnej przetwarzania, należy dostosować przetwarzanie;

• przeprowadzenie podziału obowiązków w przypadku współadministrowania56.

Zagadnienia związane z realizacją zasady legalności były przedmiotem wielu rozstrzygnięć Prezesa Urzędu Ochrony Danych Osobowych nakładających administracyjne kary pieniężne. Do najbardziej reprezentatywnych decyzji w tym obszarze należą:

– decyzja z 18.02.2020 r., ZSZZS.440.768.2018 – dotycząca przetwarzania danych biometrycznych dzieci bez ważnej podstawy prawnej podczas korzystania z usług stołówki szkolnej (decyzja uchylona, sprawa będzie rozpatrywana przez Naczelny Sąd Administracyjny);

– decyzja z 24.08.2020 r., DKN.5112.13.2020 – dotycząca udostępnienia danych osobowych w postaci ksiąg wieczystych, w tym imion, nazwisk i innych danych osobowych, na platformie internetowej, bez wystarczającej podstawy prawnej;

– decyzja z 18.10.2019 r., ZSPU.421.3.2019 – zwracająca uwagę na brak zawarcia umowy powierzenia przetwarzania danych z zewnętrznym usługodawcą, a w konsekwencji udostępnienie danych bez podstawy prawnej.

Z kolei wymóg rzetelności odnosi się do przetwarzania danych w dobrej wierze, nacechowanego dokładnością i uczciwością. Zgodnie z zasadą rzetelności podczas procesu przetwarzania należy brać pod uwagę interesy osoby, której dane dotyczą, i wyważyć odpowiednio prawo do ochrony danych oraz interesy administratora57.

Zasada rzetelności jest nakierowana na wyeliminowanie przetwarzania bezzasadnie szkodliwego, dyskryminującego, nieoczekiwanego lub wprowadzającego w błąd względem osoby, której dane dotyczą58. W przypadku procesu profilowania RODO w motywie 71 wskazuje, że zapewnienie przestrzegania zasady rzetelności polega na wdrożeniu środków technicznych i organizacyjnych mających na celu między innymi korektę czynników powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczenie danych osobowych w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobieganie skutkom w postaci dyskryminacji osób fizycznych.

Ważne:

Analiza spełnienia zasady rzetelności w modelu uwzględniania ochrony danych osobowych w fazie projektowania powinna obejmować następujące elementy:

• przyznanie podmiotom danych najwyższego zakresu autonomii, aby mogły decydować o sposobie wykorzystania ich danych osobowych, a także o zakresie i warunkach tego wykorzystania lub przetwarzania;

• zapewnienie możliwości informowania o swoich prawach i korzystania z nich w odniesieniu do danych osobowych przetwarzanych przez administratora danych;

• przetwarzanie powinno odpowiadać uzasadnionym oczekiwaniom osób, których dane dotyczą;

• przetwarzanie nie powinno mieć charakteru dyskryminacyjnego;

• przetwarzanie nie powinno wykorzystywać słabości ani potrzeb podmiotów danych;

• administrator nie powinien w sposób nieuczciwy uzależniać swoich użytkowników od jednego dostawcy;

• unikanie nierównowagi sił;

• nieprzenoszenie ryzyka związanego z przedsiębiorstwem na osoby, których dane dotyczą;

• informacje na temat przetwarzania danych należy przekazywać w sposób obiektywny i neutralny, unikając mylących lub manipulujących sformułowań;

• przestrzeganie podstawowych praw podmiotów danych oraz wdrażanie odpowiednich środków i zabezpieczeń;

• uwzględnianie kwestii etycznych i wpływu przetwarzania na godność podmiotu danych;

• administrator podczas przetwarzania danych powinien działać w taki sposób, jak zadeklarował;

• administrator musi zapewniać wykwalifikowaną interwencję człowieka, dzięki której możliwe będzie wykrywanie błędów stronniczości, jakie maszyny mogą popełniać;

• dokonywanie systematycznej oceny funkcjonowania algorytmów zgodnie z celami i dostosowanie algorytmów, aby ograniczyć wykryte uprzedzenia i zapewnić rzetelność w procesie przetwarzania59.

3. Zasada przejrzystości

Artykuł 5 ust. 1 lit. a RODO stanowi także, że dane powinny być przetwarzane w sposób przejrzysty dla osoby, której dane te dotyczą. Innymi słowy, administrator powinien zapewnić osobie, której dane dotyczą, szczegółowe, ale zarazem jasne i zrozumiałe informacje na temat procesu przetwarzania danych osobowych.

Zasada przejrzystości ma zastosowanie do następujących obszarów:

1) informowania osób, których dane dotyczą, w odniesieniu do rzetelności przetwarzania;

2) sposobu, w jaki administratorzy danych kontaktują się z osobami, których dane dotyczą, w związku z ich prawami wynikającymi z RODO;

3) sposobu, w jaki administratorzy danych ułatwiają wykonywanie praw osobom, których dane dotyczą60.

Zasada przejrzystości skupia się na użytkowniku i jest realizowana za pomocą wymogów praktycznych, a nie prawnych61. Zasada ta materializuje się w szczególności w politykach informacyjnych, politykach prywatności i klauzulach informacyjnych. Zgodnie z motywem 39 RODO osoba, której dane dotyczą, powinna wiedzieć, że jej dane będą zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane, w jakim stopniu i w jakim celu dane osobowe są lub będą przetwarzane, jakie ryzyka wiążą się z przetwarzaniem danych osobowych, kto jest administratorem jej danych osobowych, a także o tym, jakie prawa w związku z przetwarzaniem danych jej przysługują. Zasada przejrzystości ma znaczenie przez cały okres przetwarzania, na przykład w sytuacji naruszenia przepisów o ochronie danych, w trakcie realizacji praw przysługujących osobom, których dane dotyczą62.

Informacje i komunikaty związane z przetwarzaniem danych osobowych powinny być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania, do czego odnosi się kolejna opisywana zasada przetwarzania – zasada ograniczenia celu. Informacje udzielane podmiotom danych mogą być również uzupełniane o znaki graficzne, które przedstawiają sens zamierzonego przetwarzania (art. 12 ust. 7 RODO).

Ważne:

Analiza spełnienia zasady przejrzystości w modelu uwzględniania ochrony danych osobowych w fazie projektowania powinna obejmować następujące elementy:

• informacje powinny być podawane jasnym językiem, być zwięzłe i zrozumiałe;

• dostosowanie komunikacji do danej grupy odbiorców, a zwłaszcza grup szczególnie wrażliwych;

• łatwa dostępność informacji;

• informacje powinny być przekazywane w odpowiednim czasie i w odpowiedniej formie;

• informacje powinny być spersonalizowane i mieć zastosowanie do konkretnego podmiotu danych;

• informacje powinny być dostępne dla wszystkich podmiotów danych, w tym dla osób z niepełnosprawnościami;

• informacje powinny być przekazywane za pośrednictwem różnych kanałów i mediów, nie tylko w formie tekstowej, w celu zwiększenia prawdopodobieństwa skutecznego dotarcia informacji do osoby, której dane dotyczą;

• informacje powinny być ułożone warstwowo63.

Wśród decyzji Prezesa Urzędu Ochrony Danych Osobowych nakładających kary pieniężne za brak realizacji zasady przejrzystości należy zwrócić uwagę w szczególności na następujące decyzje:

– decyzję z 15.03.2019 r., ZSPR.421.3.2018 – przekazanie klauzuli informacyjnej wyłącznie tym podmiotom danych, których adresy e-mail posiadał administrator, natomiast pozostałym podmiotom przedstawienie klauzuli informacyjnej wyłącznie na stronie internetowej administratora (decyzja uchylona);

– decyzję z 16.10.2019 r., ZSPR.421.7.2019 – naruszenie zasad przejrzystości i rzetelności w procesie odwołania zgody poprzez kierowanie do osób, których dane dotyczą, sprzecznych komunikatów, co skutkuje tym, że osoba odwołująca zgodę wprowadzana jest w błąd i nie może odwołać zgody.

4. Zasada ograniczenia celu

Artykuł 5 ust. 1 lit. b RODO stanowi, że dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Wskazanie celu jest ważnym elementem procesu przetwarzania, który ogranicza jego zakres. Należy zatem unikać określania celu zbierania danych zbyt ogólnikowo. Cel powinien być wyraźny dla wszystkich osób zaangażowanych w proces przetwarzania danych, na przykład podmiotów przetwarzających64. Określenie celów powinno nastąpić najpóźniej w momencie zbierania danych osobowych.

Ponadto cel zbierania danych osobowych powinien być również prawnie uzasadniony, a więc zgodny z prawem. Zbieranie danych powinno odbywać się na odpowiedniej podstawie prawnej. Za niedopuszczalne należy uznać zbieranie danych do celów przyszłych, jeszcze nieoznaczonych65 lub ukrytych oraz przetwarzanie danych osobowych niezgodnie z ustalonymi celami. Administrator co do zasady jest bowiem związany ustalonym celem przetwarzania.

Artykuł 5 ust. 1 lit. b RODO zakłada, że dane nie powinny być przetwarzane w sposób niezgodny z pierwotnymi celami, dla których zostały zebrane, chyba że przetwarzanie odbywa się na podstawie:

– zgody osoby, której dane dotyczą;

– prawa Unii Europejskiej lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1 RODO.

Zgodnie z art. 6 ust. 4 RODO przetwarzanie danych w celu innym niż cel, w którym zostały one zebrane, wymaga przeprowadzenia przez administratora testu zgodności z celami, w których dane osobowe zostały pierwotnie zebrane. W celu dokonania powyższej oceny administrator powinien wziąć pod uwagę między innymi:

– wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

– kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

– charakter danych osobowych, w szczególności to, czy przetwarzane są dane wrażliwe;

– ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

– istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami.

Przykład:

Zasada ograniczenia celu nie stoi na przeszkodzie utrwalaniu i przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych, jeżeli takie dalsze przetwarzanie jest zgodne z konkretnymi celami, w jakich dane osobowe zostały pierwotnie zebrane. Przeprowadzenie testów na bazie danych abonentów wykazuje związek z wykonaniem umów abonenckich, na potrzeby których dane pierwotnie zebrano66.

Ważne:

Analiza spełnienia zasady ograniczenia celu w modelu uwzględniania ochrony danych osobowych w fazie projektowania powinna obejmować następujące elementy:

• prawnie uzasadnione cele należy określić przed zaprojektowaniem przetwarzania;

• podanie konkretnych i wyraźnych celów, w których przetwarzane są dane osobowe;

• cel przetwarzania powinien kierować projektowaniem przetwarzania i stanowić podstawę granic przetwarzania;

• określenie danych osobowych niezbędnych do przetwarzania na podstawie celu;

• każdy nowy cel musi być zgodny z celem pierwotnym, dla którego zebrano dane, i musi prowadzić do istotnych zmian w projekcie;

• administrator nie powinien łączyć zbiorów danych ani dokonywać dalszego przetwarzania w nowych celach niezgodnych z celem pierwotnym;

• administrator powinien stosować środki techniczne w celu ograniczenia możliwości ponownego wykorzystania danych osobowych w innym celu;

• administrator powinien uwzględniać strategie i zobowiązania umowne, które ograniczają możliwość ponownego, nieuprawnionego wykorzystania danych osobowych;

• administrator ma obowiązek regularnie sprawdzać, czy przetwarzanie danych jest niezbędne do celów, dla których zebrano te dane, a także testować projekt pod względem ograniczenia celu67.

5. Zasada minimalizacji danych

Zgodnie z art. 5 ust. 1 lit. c RODO przetwarzane dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Ocena spełniania zasady minimalizacji danych powinna być dokonywana zarówno na etapie projektowania operacji przetwarzania68, jak i przez cały okres przetwarzania danych osobowych.

Zasada ta jest nierozerwalnie powiązana z zasadą ograniczenia celu. Cel przetwarzania determinuje niezbędny zakres przetwarzanych danych osobowych. Pomiędzy celem przetwarzania a zakresem przetwarzanych danych powinien istnieć związek, który administrator powinien móc wykazać69.

Praktyczne zastosowanie analizowanej zasady wiąże się z:

– zbieraniem tylko danych niezbędnych do osiągnięcia celu;

– usuwaniem danych w sytuacji, gdy są one już niepotrzebne do osiągnięcia celu70.

Ważne:

Określenie „adekwatne” oznacza „odpowiednie, zgodne, proporcjonalne, nienadmierne” i może być traktowane jako synonim słowa „stosowne”. W pewnych okolicznościach możliwe jest zatem przetwarzanie także takich danych, które „istotnie” wspomagają osiąganie celów przetwarzania, choćby samo ich osiągnięcie było możliwe także bez nich. W efekcie dopuszczalne jest przetwarzanie danych w szerszym zakresie niż minimum, o ile dane te mają ścisły związek z realizacją celu71.

Zasada minimalizacji może odnosić się także do zastosowania odpowiedniego stopnia identyfikacji podmiotu danych, o czym stanowi art. 11 RODO. Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, nie ma on obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do RODO.

Przykład:

W celu opracowania statystyk zbierane są dane o zidentyfikowanej lub możliwej do zidentyfikowania osobie. Następnie z tych danych tworzone są dane statystyczne, gdzie nie jest konieczne, by zbiór danych odnosił się do zidentyfikowanej lub możliwej do zidentyfikowania osoby. W takiej sytuacji administrator powinien usunąć dane osobowe, zanonimizować je lub ewentualnie spseudonimizować w celu zminimalizowania ryzyka naruszenia praw osób, których dane te dotyczą72.

Ważne:

Analiza spełnienia zasady minimalizacji danych w modelu uwzględniania ochrony danych osobowych w fazie projektowania powinna obejmować następujące elementy:

• unikanie przetwarzania danych osobowych, jeżeli jest to możliwe w określonym celu;

• ograniczenie ilości zbieranych danych osobowych do ilości niezbędnej do osiągnięcia danego celu;

• ograniczenie dostępu do danych osobowych do minimum;

• dane osobowe muszą mieć znaczenie dla danego przetwarzania, a administrator musi być w stanie tę stosowność wykazać;

• każda kategoria danych osobowych powinna być niezbędna do osiągnięcia określonych celów;

• używanie zagregowanych danych;

• stosowanie pseudonimizacji, anonimizacji oraz usuwania danych;

• przepływ danych musi być na tyle skuteczny, aby nie tworzyć większej liczby kopii niż jest to konieczne;

• administrator danych powinien stosować aktualne i odpowiednie technologie, aby ograniczyć i zminimalizować ilość danych73.

W kontekście zasady minimalizacji danych warto zwrócić uwagę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 18.02.2020 r., ZSZZS.440.768.2018, w której organ nadzorczy wskazał, że przetwarzanie danych biometrycznych dzieci nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Taką identyfikację szkoła może przeprowadzić za pomocą środków mniej ingerujących w prywatność (przedmiotowa decyzja została uchylona przez sąd administracyjny w pierwszej instancji, sprawa będzie rozpatrywana przez Naczelny Sąd Administracyjny).

6. Zasada prawidłowości

Zgodnie z art. 5 ust. 1 lit. d RODO dane powinny być prawidłowe i w razie potrzeby uaktualniane. Nieprawidłowe dane osobowe rodzą bowiem ryzyko naruszenia praw i wolności osób, których dane dotyczą, na przykład poprzez doprowadzenie do błędnej diagnozy lub podejmowania decyzji na niewłaściwej podstawie74. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Zasada ta koresponduje z prawami przysługującymi osobom, których dane dotyczą, w tym z prawem do sprostowania danych.

Ważne:

Analiza spełnienia zasady prawidłowości w modelu uwzględniania ochrony danych osobowych w fazie projektowania powinna obejmować następujące elementy:

• źródła danych osobowych powinny być wiarygodne pod względem prawidłowości danych;

• każdy element danych osobowych musi być na tyle prawidłowy, na ile jest to niezbędne do osiągnięcia określonych celów;

• zmniejszenie liczby fałszywych wyników dodatnich/ujemnych;

• administrator powinien weryfikować poprawność danych osobowych z osobą, której dane dotyczą, przed rozpoczęciem przetwarzania i na różnych jego etapach;

• administrator musi usunąć lub sprostować nieprawidłowe dane bez zbędnej zwłoki;

• administratorzy powinni ograniczać skutki skumulowanych błędów w łańcuchu przetwarzania;

• osoby, których dane dotyczą, powinny otrzymywać informacje na temat danych osobowych i mieć zapewniony skuteczny dostęp do nich, aby mogły kontrolować ich poprawność i w razie potrzeby je sprostować;

• dane osobowe powinny być prawidłowe na wszystkich etapach przetwarzania;

• dane osobowe muszą być aktualizowane;

• zastosowanie właściwości technologicznych i organizacyjnych projektu w celu zmniejszenia nieprawidłowości75.

7. Zasada ograniczenia przechowywania

Zgodnie z art. 5 ust. 1 lit. e RODO dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Po osiągnięciu wyżej wymienionych celów dane powinny zostać usunięte albo zanonimizowane76. Cel jest więc głównym kryterium decydującym o okresie przechowywania danych osobowych.

Przykład:

Zasada ograniczenia przechowywania stoi na przeszkodzie przechowywaniu przez administratora w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów danych osobowych zebranych wcześniej w innych celach przez okres dłuższy, niż jest to niezbędne do przeprowadzenia tych testów i poprawienia owych błędów77.

Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to konieczne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Aby odpowiednio ustalić okres przetwarzania, należy uwzględnić przede wszystkim cel przetwarzania, ale także terminy przedawnienia roszczeń czy przysługujące klientom prawa, na przykład z tytułu rękojmi78. W niektórych przypadkach terminy przetwarzania ustalane są wprost w przepisach prawa. Taka sytuacja dotyczy między innymi okresu przechowywania dokumentacji osobowej pracowników.

Zasada ograniczenia przechowywania determinuje zakaz przetwarzania danych „na zapas” czy „na wszelki wypadek”. Dane osobowe można jednak przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą.

Ważne:

Analiza spełnienia zasady ograniczenia przechowywania w modelu uwzględniania ochrony danych osobowych w fazie projektowania powinna obejmować następujące elementy:

• administrator powinien posiadać wewnętrzne procedury usuwania i anonimizacji danych i je egzekwować;

• ponowna identyfikacja zanonimizowanych danych lub odzyskanie usuniętych danych nie powinny być możliwe;

• usuwanie danych osobowych powinno odbywać się w zautomatyzowany sposób;

• administrator ma obowiązek określić, jakie dane są niezbędne do osiągnięcia danego celu i jak długo należy je przechowywać;

• administrator danych powinien umieć uzasadnić przyjęty okres przechowywania oraz wskazać podstawy prawne takiego okresu przechowywania79.

W jednej ze swoich decyzji Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w związku z brakiem realizacji zasady zgodności z prawem, polegającym na niewdrożeniu polityki retencyjnej80.

8. Zasada integralności i poufności

Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zasada poufności danych). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym.

Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem81.

W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji.

Ważne:

Artykuł 32 RODO nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różnymi rozmiarami. „Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka”82.

Zgodnie z art. 32 ust. 1 RODO środkami technicznymi i organizacyjnymi mogą być:

a) pseudonimizacja i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Powyższy katalog ma charakter przykładowy i nie stanowi wyczerpującego wyliczenia środków zapewniających poufność i integralność danych.

Ważne:

Analiza spełnienia zasady integralności i poufności w modelu uwzględniania ochrony danych osobowych w fazie projektowania powinna obejmować następujące elementy:

• posiadanie systemu zarządzania bezpieczeństwem informacji;

• opracowanie i utrzymanie kompleksowego, systematycznego i realistycznego „modelowania zagrożeń”;

• uwzględnienie wymogów bezpieczeństwa na jak najwcześniejszym etapie projektowania;

• regularny przegląd i testowanie oprogramowania, sprzętu, systemów i usług;

• administrator powinien dokonać zróżnicowania uprawnień dostępu dla upoważnionych pracowników;

• przekazywanie i przechowywanie danych powinno być zabezpieczone przed nieuprawnionym i przypadkowym dostępem i wprowadzeniem zmian;

• stosowanie pseudonimizacji, tworzenie kopii zapasowych, wprowadzenie rozwiązań przywracających dostępność danych osobowych na wypadek awarii;

• wszystkie kategorie danych osobowych powinny być chronione za pomocą środków dostosowanych do ryzyka naruszenia bezpieczeństwa;

• należy wprowadzić procedury, zasady postępowania i zasoby służące wykrywaniu naruszeń ochrony danych, ograniczaniu naruszeń, postępowaniu z nimi, zgłaszaniu ich i wyciąganiu z nich wniosków;

• administrator powinien dysponować procedurami umożliwiającymi reagowanie na naruszenia i incydenty83.

Ważne:

Za naruszenie obowiązków wskazanych w art. 32 RODO odpowiada podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa. O naruszeniu powołanego przepisu nie przesądza sama okoliczność nieuprawnionego dostępu do danych (np. hakera), ponieważ nawet dochowanie najwyższego poziomu zabezpieczeń nie wyklucza całkowicie możliwości wystąpienia takiej sytuacji84.

Wśród istotnych dla praktyki decyzji Prezesa Urzędu Ochrony Danych Osobowych związanych z realizacją zasady poufności należy zwrócić uwagę na:

– decyzję z 10.09.2019 r., ZSPR.421.2.2019 – nieskuteczny środek uwierzytelniania przyczynił się do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu do danych klientów, brak odpowiednich środków zapewniających bezpieczeństwo danych, brak bieżącego reagowania na naruszenie i natychmiastowego wprowadzenia działań zaradczych;

– decyzję z 21.08.2020 r., ZSOŚS.421.25.2019 – administrator w sposób niewystarczający dokonywał oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia;

– decyzję z 16.11.2022 r., DKN.5112.1.2020 – niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych;

– decyzję z 11.02.2021 r., DKN.5130.2024.2020 – niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania; administrator nie podjął wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania zarówno przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu;

– decyzję z 18.10.2019 r., ZSPU.421.3.2019 – nieprzeprowadzenie analizy ryzyka związanego z korzystaniem narzędzia do transmisji obrad.

9. Zasada rozliczalności

Zgodnie z art. 5 ust. 2 RODO administrator ma obowiązek nie tylko postępowania zgodnie z wyżej wymienionymi zasadami, ale także wykazania zgodności przetwarzania z przepisami RODO.

Zasada rozliczalności zakłada konieczność:

– podjęcia przez administratora właściwych środków gwarantujących przestrzeganie przepisów RODO;

– przedstawienia dowodów (np. dokumentacji dotyczącej przetwarzania) służących wykazaniu, jakie środki zostały wdrożone w celu zapewnienia przestrzegania przepisów RODO85.

Ważne:

Z rozliczalnością związany jest wyrażony w art. 24 ust. 1 RODO obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać.

Ocena przyjętych środków bezpieczeństwa ma charakter dynamiczny. Na administratorze i podmiocie przetwarzającym dane spoczywa obowiązek określenia odpowiednich (adekwatnych) środków bezpieczeństwa, z zachowaniem kompetencji organu nadzorczego do weryfikacji przyjętego poziomu zabezpieczeń86.

Prezes UODO posiada kompetencję do samodzielnej oceny, czy stosowane przez stronę środki techniczne i organizacyjne były odpowiednie. Jednocześnie zgodnie z art. 84 k.p.a., gdy w sprawie wymagane są wiadomości specjalne, organ administracji publicznej może zwrócić się do biegłego lub biegłych o wydanie opinii. Oceny, czy w sprawie są wymagane wiadomości specjalne, dokonuje organ administracji, uwzględniając okoliczności danej sprawy, wymagany zakres ustaleń, stopień ich skomplikowania, a także kwalifikacje własnego zasobu kadrowego (wyrok NSA z 22.11.2022 r., III OSK 6189/21, LEX nr 3451892). Organ powinien być w stanie uprawdopodobnić, że posiada wiedzę, która obiektywnie pozwoli dokonać wymagającej wiedzy specjalistycznej oceny okoliczności sprawy87.

W decyzjach nakładających administracyjne kary pieniężne wydanych przez Prezesa UODO jednym z kluczowych naruszeń wskazywanych przez organ nadzorczy jest naruszenie zasady rozliczalności. Najważniejsze decyzje Prezesa UODO nakładające kary pieniężne za brak realizacji zasady rozliczalności dotyczą następujących okoliczności:

– decyzja z 21.08.2020 r., ZSOŚS.421.25.2019 – administrator nie uwzględniał w sposób wystarczający zasady rozliczalności, korzystając z systemu informatycznego służącego do przetwarzania danych osobowych kandydatów na studia; administrator powinien przeanalizować, biorąc pod uwagę zakres, kontekst i cele przetwarzania, na jakim poziomie szczegółowości powinny być rejestrowane zdarzenia w celu zachowania zgodności przetwarzania danych w organizacji z przepisami o ochronie danych osobowych;

– decyzja 10.09.2019 r., ZSPR.421.2.2019 – niewykazanie, że dane osobowe z wniosków ratalnych zbierane przed 25.05.2018 r. były przetwarzane na podstawie zgody osoby, której dane dotyczyły, niezapewnienie bezpieczeństwa przetwarzania i niewykazanie adekwatności środków technicznych i organizacyjnych zmierzających do zapewnienia odpowiedniego stopnia bezpieczeństwa (decyzja uchylona i przekazana do ponownego rozpoznania);

– decyzja 16.11.2022 r., DKN.5112.1.2020 – brak wykazania realizacji wymogu testowania, mierzenia i oceniania, które muszą być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie.

Rozdział IV. PODSTAWY PRAWNE PRZETWARZANIA

1. Wprowadzenie

Zasada legalności, wyrażona wprost w art. 5 ust. 1 lit. a RODO, zakłada, że przetwarzanie danych osobowych powinno odbywać się w sposób zgodny z prawem. W szczególności zaś administrator powinien dysponować jedną z przesłanek przetwarzania określonych w art. 6 lub9 RODO. Kryterium wyróżnienia tych przesłanek i ich odrębnego unormowania sprowadza się do kategorii przetwarzanych danych – pierwsza grupa podstaw przetwarzania odnosi się do danych osobowych zwykłych, zaś druga do danych osobowych szczególnych kategorii. Lista opisanych niżej podstaw przetwarzania, zawarta w art. 6 ust. 1 orazart. 9 ust. 2 RODO, ma charakter zamknięty.

2. Dane osobowe zwykłe

W odniesieniu do danych osobowych zwykłych rozporządzenie 2016/679 dopuszcza jako regułę możliwość ich przetwarzania, o ile zajdzie jedna z sześciu przewidzianych w art. 6 ust. 1 RODO autonomicznych i równoprawnych podstaw legalizujących przetwarzanie. Autonomia każdej z przesłanek polega na tym, że na potrzeby przetwarzania zwykłych danych osobowych wystarczające jest spełnienie jednej z nich. Równoprawność przesłanek oznacza z kolei, że nie istnieje ich hierarchia, według której powinna być ustalana kolejność ich stosowania.

Zgodnie z art. 6 ust. 1 RODO: „Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem”.

Ważne:

Kolejność podstaw przetwarzania skatalogowanych w art. 6 ust. 1 RODO nie ma znaczenia normatywnego. Żadna z przesłanek przetwarzania danych osobowych zwykłych nie jest nadrzędna ani nie dominuje nad pozostałymi. Przykładowo zgoda nie stanowi przesłanki nadrzędnej względem innych i nie powinna być ona odbierana wówczas, gdy spełniona jest inna przesłanka legalizująca, np. niezbędność przetwarzania dla wykonywania umowy. Możliwe są przy tym sytuacje, w których przetwarzanie może być oparte na więcej niż jednej podstawie prawnej przetwarzania.

3. Dane szczególnych kategorii

W przypadku danych osobowych szczególnych kategorii zasadą jest, ze względu na ich charakter i znaczenie dla podmiotu danych, zakaz ich przetwarzania, chyba że zajdzie jedna z wyjątkowych okoliczności enumeratywnie wyliczonych w art. 9 ust. 2 RODO, tj.:

a) „osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;

e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;

i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;

j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą”.

Ważne:

Dane szczególnych kategorii to wskazane w art. 9 ust. 1 RODO dane:

• ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych;

• genetyczne (zdefiniowane w art. 4 pkt 13 RODO jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej);

• biometryczne (zdefiniowane w art. 4 pkt 14 RODO jako dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne), przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej;

• dotyczące zdrowia (zdefiniowane w art. 4 pkt 15 RODO jako dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia);

• dotyczące seksualności lub orientacji seksualnej.

Przetwarzanie danych osobowych bez podstawy prawnej ma swoje daleko idące konsekwencje dla administratora. Naruszenie podstawowych zasad przetwarzania (w tym zasady zgodności z prawem) czy warunków zgody, o których mowa w art. 5, 6, 7 i 9 RODO, podlega karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Ponadto nielegalne przetwarzanie danych osobowych zgodnie z art. 107 ust. 1 u.o.d.o. stanowi czyn zabroniony, zagrożony grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch. W kwalifikowany sposób penalizowane jest także przetwarzanie szczególnych kategorii danych osobowych, które podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech (art. 107 ust. 2 u.o.d.o.).

4. Podstawy prawne przetwarzania danych osobowych zwykłych

4.1. Zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO)

Operacje na danych osobowych można opierać na zgodzie podmiotu danych osobowych. W RODO dokładnie określono warunki, jakim musi odpowiadać zgoda, by mogła być podstawą przetwarzania.

Rysunek 4. Wymagania RODO wobec zgody

Źródło: opracowanie własne.

Zgodnie z