Z dniem 25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, zwane potocznie RODO. Rozporządzenie, z racji jego bezpośredniego stosowania w krajach członkowskich UE, ujednolici przepisy dotyczące ochrony danych osobowych na terenie Unii (obecnie każde […]
Z dniem 25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, zwane potocznie RODO. Rozporządzenie, z racji jego bezpośredniego stosowania w krajach członkowskich UE, ujednolici przepisy dotyczące ochrony danych osobowych na terenie Unii (obecnie każde państwo unijne w ramach prawodawstwa krajowego ma własne uregulowania dotyczące ochrony danych osobowych). RODO wprowadza bardzo istotne zmiany w stosunku do obecnie obowiązujących w Polsce przepisów o ochronie danych osobowych. W tym opracowaniu chciałbym dokonać analizy pewnych ogólnych zasad dotyczących ochrony danych osobowych, wynikających z treści Rozporządzenia.
Pierwszą podstawową zasadą dotyczącą ochrony danych osobowych, wynikająca z RODO jest zasada mówiąca o tym, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty, dla osoby, której dane dotyczą. Przetwarzanie danych osobowych zgodnie z prawem oznacza, że przetwarzanie musi odbywać się na podstawie przesłanek wynikających z przepisów RODO. RODO reguluje szereg przypadków, w których dopuszczalne jest przetwarzanie danych osobowych niemniej zwrócić uwagę należy na przesłankę wyrażenia zgody na przetwarzanie danych osobowych osoby, której dane te dotyczą. Jest to przesłanka analogiczna do funkcjonującej w obecnym stanie prawnym, przy czym RODO doprecyzowuje, że to na administratorze ciążyć będzie obowiązek wykazania, że osoba, której dane są przez niego przetwarzane wyraziła zgodę na przetwarzanie swoich danych osobowych. Co więcej, jeżeli osoba, której dane mają być przetwarzane, wyraża zgodę na piśmie, zapytanie o zgodę musi zostać przedstawione jej w formie zrozumiałej, przejrzystej, jasnym i prostym językiem . Pamiętać również należy, że osoba, której dane dotyczą może w każdej chwili wycofać zgodę na przetwarzanie danych osobowych. Istotne jest, aby osoba, której dane dotyczą została poinformowana o możliwości wycofania zgody na przetwarzanie jeszcze przed wyrażeniem przez nią zgody na przetwarzanie. W praktyce oznacza to, że administrator przedstawiając zapytanie o zgodę na przetwarzanie danych osobowych będzie przedstawiał jednocześnie informację o możliwości wycofania zgody w każdym czasie. Wycofanie zgody powinno być równie łatwe jak jej wyrażenie. Oznacza to, że administrator nie może uzależniać skuteczności wycofania zgody na przetwarzanie danych od spełnienia dodatkowych warunków, użycia specjalnie przygotowanego formularza, itp.; wszelkie działania administratora zmierzające do utrudnienia cofnięcia zgody na przetwarzanie danych naruszać będą przepisy RODO.
Zasada rzetelności i przejrzystości przetwarzania danych została w pewnym zakresie wyjaśniona w Preambule Rozporządzenia, to jest motywach, które legły u podstaw uchwalenia i wprowadzenia w życie RODO. Z zapisów preambuły możemy zatem wyczytać, że wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. W innym zapisie Preambuły wskazane zostało, że zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane. Dalej wyjaśnione zostało, że zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania. Informacje te można przekazać w połączeniu ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, powinny nadawać się do odczytu maszynowego. Z powyższego wynika jednoznacznie, że RODO kładzie nacisk na jasność i rzetelność przekazu kierowanego do osoby, której dane osobowe są lub maja być przetwarzane. Informacje dotyczące przetwarzania danych osobowych muszą być sformułowane w sposób jasny, prostym językiem.
Kolejną podstawową zasadą dotycząca przetwarzania danych osobowych, wynikającą z RODO jest zasada ograniczenia celu przetwarzania danych osobowych. Zgodnie z Rozporządzeniem dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Rozporządzenie precyzuje też, że dalsze przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami. Powyższa zasada dotyczy ograniczenia przetwarzania danych tylko do konkretnych i prawnie uzasadnionych celów. Po osiągnięciu zamierzonego celu co do zasady dane osobowe nie mogą być dalej przetwarzane, z zastrzeżeniem dopuszczalności – na warunkach określonych w RODO – przetwarzania danych dla prawnie dopuszczalnych celów archiwalnych, badań naukowych, w tym historycznych lub do celów statystycznych.
Następną podstawową zasadą przetwarzania danych osobowych zawartą w treści Rozporządzenia, jest zasada minimalizacji danych. Zgodnie z RODO dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Jak wyjaśniono w jednym z zapisów Preambuły Rozporządzenia Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Powyżej wskazana zasada dotyczy zatem zakresu przetwarzanych danych osobowych. Administrator przetwarzający dane powinien przetwarzać dane osobowe wyłącznie w zakresie niezbędnym do realizacji celów, dla jakich przetwarzanie jest dokonywane. Innymi słowy niedopuszczalne jest przetwarzanie danych osoby, bez określenia zakresu danych minimalnego, to jest adekwatnego, niezbędnego administratorowi dla osiągnięcia celów dla jakich dane są przetwarzane. Będzie mieć to niebagatelne znaczenie przy tworzeniu przez administratora procedur ochrony danych osobowych; już na etapie tworzenia procedur odnośnie przetwarzania oraz ochrony danych osobowych administrator powinien określić, jakie dane osobowe, mając na uwadze zasadę minimalizacji, będzie on przetwarzał dla osiągnięcia konkretnych celów w ramach prowadzonej przez siebie działalności. Warto też zwrócić uwagę, że zgodnie z przytoczonych fragmentem motywu preambuły dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Takie podejście również wpisuje się w filozofię RODO, której odzwierciedleniem jest omawiana tu zasada minimalizmu. Jeżeli zatem dany cel administrator może osiągnąć innymi, rozsądnymi środkami, nie powodującymi konieczności przetwarzania danych osobowych, powinien on zastosować te inne środki. Przetwarzanie danych będzie zatem wchodzić w grę w sytuacji, gdy innymi środkami (innymi niż poprzez przetwarzanie danych osobowych) nie uda się osiągnąć zamierzonego, prawnie dopuszczalnego celu.
Do podstawowych zasad dotyczących przetwarzania danych osobowych wynikających z RODO zaliczyć należy również zasadę prawidłowości danych. Zgodnie bowiem z przepisami Rozporządzenia dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Jak wyjaśnia preambuła rozporządzenia należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Zasada ta obowiązuje również w obecnym stanie prawnym. Realizacja tej zasady jest dosyć jasna i oczywista, administrator danych ma obowiązek dbać o to, aby przetwarzane przez niego dane osobowe były prawidłowe, to jest zgodne z rzeczywistym stanem oraz powinny uaktualnione. Z omawianą zasadą skorelowane jest wynikające z RODO prawo do żądania sprostowania danych osobowych. Osoba, której dane dotyczą ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania osoba, której dane dotyczą ma również prawo żądania uzupełnienia niekompletnych danych osobowych. Administrator ma z kolei obowiązek poinformować osobę, której dane dotyczą o sprostowaniu danych jej dotyczących, dokonanym na podstawie żądania takiej osoby.
Następną podstawową zasadą dotycząca przetwarzania danych unormowana w RODO jest zasada ograniczenia przechowania danych. Zgodnie z tą zasadą dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą. Jak wyjaśniono w preambule Rozporządzenia dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Powyższa zasada oznacza, że dane osobowe powinny być przetwarzane z ograniczeniem czasowym do „ścisłego minimum”, czyli przez taki najkrótszy okres, jaki jest niezbędny do celów, dla których dane są przetwarzane. Dla wypełnienia tego obowiązku przez administratora w preambule Rozporządzenia wskazano, że administrator powinien w swoich wewnętrznych procedurach określić termin ich usuwania lub terminy okresowego przeglądu danych osobowych podlegających przetwarzaniu. Zauważyć należy, że podobnie jak przy zasadzie ograniczenia celu przetwarzania danych, dane osobowe mogą być w niektórych sytuacjach, szczegółowo unormowanych w RODO, przetwarzane dłużej, niż jest to niezbędne do celów przetwarzania. Taka sytuacja może mieć miejsce w przypadku przetwarzania danych wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. W takich sytuacjach jednak administrator będzie mieć obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, wymaganych przez RODO, w celu ochrony praw i wolności osób, których dane dotyczą.
W katalogu podstawowych zasad przetwarzania danych osobowych uregulowanym w RODO znajduje się również zasada integralności i poufności. Zgodnie z tą zasadą dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywach zawartych w preambule Rozporządzenia określone zostało, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu. Zasada integralności i poufności nakłada na administratora danych obowiązek wdrożenia w ramach prowadzonej działalności (przedsiębiorstwa) rozwiązań technicznych oraz organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, to jest w szczególności zapewniających ochronę danych przed niedozwolonym przetwarzaniem, jak też przed utratą, zniszczeniem czy uszkodzeniem. Przez rozwiązania techniczne oraz organizacyjne należy przede wszystkim rozumieć przyjęcie odpowiednich procedur wewnętrznych dotyczących ochrony i bezpieczeństwa danych osobowych, jak również wprowadzenie adekwatnych rozwiązań technicznych, głównie w sferze przetwarzania danych w formie cyfrowej, które zapewniać będą maksymalne bezpieczeństwo oraz integralność przetwarzanych danych. Należy zauważyć, że w kolejnych przepisach Rozporządzenie w pewnym stopniu uszczegóławia i precyzuje obowiązki administratora w zakresie zapewnienia bezpieczeństwa, integralności i poufności danych osobowych.
Ostatnią z podstawowych zasad dotyczących ochrony danych osobowych jest zasada rozliczalności. Zgodnie z postanowieniami RODO administrator jest odpowiedzialny za przestrzeganie zasad opisanych powyżej i musi być w stanie wykazać ich przestrzeganie. Oznacza to, że po wejściu w życie RODO administrator będzie obwiązany wykazać, że wprowadzając rozwiązania organizacyjne i techniczne dotyczące ochrony danych osobowych dokonywał tego z uwzględnieniem i poszanowaniem wszystkich wyżej opisanych podstawowych zasad ochrony danych osobowych. To na administratorze spoczywać będzie ciężar wykazania, że stworzony w jego firmie, przedsiębiorstwie, proces przetwarzania danych osobowych jest zgodny z podstawowymi zasadami ochrony danych, określonymi w RODO.
Paweł Kowalski
Radca Prawny, Kancelaria Prawna Rachelski i Wspólnicy