Baza wiedzy

Na administratorze danych spoczywa obowiązek kontrolowania warunków wyrażenia zgody. Administrator danych musi być w stanie wykazać, że osoba której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych. Musi także być w stanie wykazać, że osoba, która wyraziła  zgodę na przetwarzanie danych osobowych, była wcześniej poinformowana o prawie do cofnięcia zgody.

Dodatkowo w sytuacji, gdy administrator danych przetwarza dane osoby poniżej 16 roku życia musi on wprowadzić procedurę, poprzez którą uzyska zgodę na przetwarzanie danych dziecka przez rodziców lub opiekunów. Warto pamiętać, że w naszym kraju zgodnie z projektem roboczym Ustawy o ochronie danych osobowych powyższy obowiązek ma dotyczyć administratora, który przetwarza dane osoby poniżej 13 roku życia (RODO daje tu swobodę krajowemu ustawodawcy w ustaleniu dolnej granicy wieku).

Administrator danych musi podać osobie, której dane będą przetwarzane informację, która zrealizuje obwiązek informacyjny wynikający z art. 13 i 14 RODO. Został on znacznie rozbudowany w stosunku do tego, który należało stosować na gruncie obecnie obowiązujących przepisów. Zgodnie z motywem 60 preambuły RODO:

Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania.

Na gruncie aktualnej Ustawy administrator jest zobowiązany do podania osobie od której zbiera następujące informacje:

• Nazwę administratora i jego dane kontaktowe;
• Cele przetwarzania danych;
• Informacje o odbiorcach danych osobowych (kategoriach odbiorców);
• Informacje o prawach podmiotu, od którego zbiera się dane.

RODO do powyższego katalogu dodaje również m.in.:

• Dane kontaktowe Inspektora Ochrony Danych (jeżeli jest powołany);
• Nazwę, dane kontaktowe przedstawiciela na terenie UE (jeżeli jest);
• Podstawę prawną przetwarzania;
• Uzasadnione interesy administratora, tj. interesy wynikające np. z powiązań pomiędzy administratorem, a podmiotem danych, który jest jego klientem, jak np. marketing bezpośredni;
• Uzasadnione interesy osoby trzeciej, tj. innej niż sam administrator, osoba, której dane dotyczą, podmiot przetwarzający dane w imieniu administratora (np. dostawca usługi) lub osoba upoważniona do dostępu do danych z ramienia administratora lub podmiotu przetwarzającego (jeżeli jest to podstawa do przetwarzania danych);
• Okres przechowywania danych (albo kryteria ustalenia tego okresu). Dotyczy to np. ustawowych terminów archiwizacji danych lub gdy przewidujemy przetwarzanie danych do czasu korzystania z usługi czy odwołania zgody;
• Informacje o prawie wniesienia skargi do organu nadzorczego;
• Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz informacji o zasadach podejmowania tych decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Zwolnienie z obowiązku informacyjnego możliwe jest w trzech przypadkach:

1. Jeżeli osoba już tymi informacjami dysponuje;
2. W sytuacji gdy przetwarzanie danych jest przewidziane prawem;
3. Także w przypadku jeżeli poinformowanie tych osób jest niemożliwe lub jeżeli jest to nadmiernie utrudnione.

Na administratorze danych będzie ciążył obowiązek poinformowania osoby, której dane dotyczą o profilowaniu oraz o jego skutkach, jak też o możliwości wniesienia sprzeciwu (motyw 60 i 70 preambuły RODO, art. 13 ust. 2 litera F, art. 14 ust. 2 litera G RODO).

Na gruncie obecnie obowiązującej Ustawy o ochronie danych osobowych:

• Profilowanie jest pojęciem niezdefiniowanym;
• Niemniej mieści się w normie art. 26a ust. 1 Ustawy, zgodnie z którym „Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym”;

„Profilowanie” według zasad ustanowionych przez RODO:

• To pojęcie zdefiniowane w art. 4 pkt 4 RODO: oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
• Tworzenie profili to: (1) zbieranie danych z różnych źródeł: dane przekazane administratorowi + dane przekazane innym administratorom (np. portale społecznościowe) lub (2) profile tworzone w sposób statystyczny tj. z cechy 1 wnioskujemy, iż posiada również cechę 2, 3 itd.
• Nie zawsze RODO znajdzie zastosowanie do profilowania. Wymagane jest spełnienie łącznie przesłanek: (a) sposób przetwarzania – dowolna forma zautomatyzowanego przetwarzania danych oraz (b) cel - analiza lub prognoza aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
• RODO ustanawia w zasadzie dwa rodzaje profilowania. Kryterium, które rozróżnia te dwa rodzaje jest automatyczne podejmowanie decyzji. Gdy nie mamy do czynienia z automatycznym podejmowaniem decyzji, wówczas stosuje się art. 21 ust. 1 i 2 RODO. Natomiast, gdy kryterium to zaistnieje, stosuje się przepisy: 13, 14, 15, 22 oraz 35 ust 3 pkt c RODO.
• Dopuszczalność automatycznego podejmowania decyzji wystąpi gdy: jest to dopuszczone przez prawo UE lub prawo krajowe i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osób, które dane dotyczą; gdy jest to niezbędne do zawarcia lub wykonania umowy między administratorem, a osobą której dane są zbierane oraz w sytuacji, gdy opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
• W przypadku profilowania z automatycznym podejmowaniem decyzji niezbędne jest dokonanie przez administratora danych oceny skutków planowanych operacji przetwarzania dla ochrony danych (data impact assessment).

RODO co do zasady wprowadza obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30., przy czym istnieją pewne wyjątki dla poszczególnych grup administratorów danych. Co do zawartości takiego rejestru to w dużej mierze przypomina on obecnie prowadzone przez ABI jawne rejestry zbiorów danych osobowych, choć należy odnotować, że RODO wymaga dodania pewnych nowych elementów jak np. konieczność wskazania, jeżeli jest to możliwe, planowanego terminu usunięcia poszczególnych kategorii danych.

W sytuacji stwierdzenia przez administratora naruszenia ochrony danych osobowych występuje obowiązek zgłoszenia tego faktu organowi nadzorczemu w terminie:

• co do zasady - bez zbędnej zwłoki;
• w miarę możliwości w terminie 72 godzin po stwierdzeniu naruszenia;
• po powyższym terminie – wraz z dołączonym wyjaśnieniem przyczyn opóźnienia.

Administrator może być zwolniony z obowiązku, gdy istnieje małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzkiem naruszenia praw lub wolności osób fizycznych.

Zgłoszenie musi zawierać (art. 33 ust. 3 RODO): charakter naruszenia, dane Inspektora Ochrony Danych, konsekwencje naruszenia, środki podjęte w celu zaradzenia naruszeniu ochrony danych.

Podmiot przetwarzający zobligowany jest również do tego, aby po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłosić ten fakt administratorowi.

Istnieją dwie przesłanki do zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony jej danych osobowych:

1. Naruszenie ochrony danych osobowych.
2. Wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W przypadku zaistnienia powyższych przesłanek administrator danych zobowiązany jest  w terminie bez zbędnej zwłoki do zawiadomienia osoby której dane dotyczą o takim naruszeniu.

Jakie warunki musi spełniać zawiadomienie:

• Jasny i prosty język
• Opis charakteru naruszenia
• Informacje o Inspektorze Ochrony Danych
• Opisuje konsekwencje naruszenia
• Opisuje środki zastosowane lub proponowane w celu zaradzenia naruszeniom ochrony danych.

Zwolnienie z obowiązku zawiadomienia możliwe jest w poniższych sytuacjach (art. 34 ust. 3 RODO):

• Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie. Chodzi w szczególności o takie środki jak szyfrowanie, które uniemożliwia odczyt osobom nieuprawnionym.
• Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.
• Naruszenie praw lub wolności osoby, które dane dotyczą wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

W przypadku niezawiadomienia osoby, której dane dotyczą:

• Organ nadzorczy może żądać od administratora spełnienia takiego obowiązku;
• Organ nadzorczy stwierdza spełnienie przypadku z katalogu art. 34 ust. 3 RODO.

Administrator danych ponosi odpowiedzialność cywilną. Co warto wiedzieć o prawie do odszkodowania.

• Domagać się go może każda osoba, która poniosła szkodę (majątkową lub niemajątkową) poprzez naruszenie przepisów Rozporządzenia;
• Podmiotem odpowiedzialnym będzie: administrator lub podmiot przetwarzający;
• Powyższa odpowiedzialność jest co do zasady solidarna;
• Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie,  gdy nie dopełnił obowiązków, które nakłada RODO na podmioty przetwarzające lub gdy działa poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom;
• Zwolnienie z odpowiedzialności występuje, gdy brak winy.

RODO wprowadza administracyjne kary pieniężne. Według nowych przepisów kara ma być skuteczna, proporcjonalna i odstraszająca. Karę pieniężną nakłada się w zależności od okoliczności każdego indywidualnego przypadku, biorąc pod uwagę:

• Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody;
• Umyślny lub nieumyślny charakter naruszenia;
• Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
• Stopień odpowiedzialności administratora lub podmiotu przetwarzającego;
• Wcześniejsze naruszenia;
• Stopień współpracy z organem nadzorczym w celu uniknięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
• Kategorie danych osobowych, których dotyczyło naruszenie;
• Sposób w jaki organ nadzorczy dowiedział się o naruszeniu;
• Przestrzeganie uprawnień naprawczych nałożonych przez organ nadzorczy;
• Stosowanie zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji;
• Inne czynniki obciążające lub łagodzące.

Wysokość kary obliczana jest na trzy różne sposoby.

1. Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
2. Kara w wysokości do 10 000 000 EUR lub w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Taka kara może zostać wymierzona w wypadku naruszenia przepisów dotyczących:
   1. Obowiązków administratora i podmiotu przetwarzającego wynikającego z art. 8 (warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego), art. 11 (przetwarzanie niewymagające identyfikacji); art. 25-39 (z sekcji I RODO obowiązki ogólne, z sekcji II RODO bezpieczeństwo danych osobowych, z sekcji III RODO ocena skutków dla ochrony danych i uprzednie konsultacje, z sekcji IV RODO Inspektor Ochrony Danych), art. 42 (certyfikacja), art. 43 (podmiot certyfikujący);
   2. Obowiązków podmiotu certyfikacyjnego;
   3. Obowiązków podmiotu monitorującego;
3. Kara w wysokości do 20 000 000 EUR lub w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Może zostać wymierzona w przypadku naruszenia przepisów:
   1. Podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 7, 9 RODO);
   2. Praw osób które dane dotyczą (12-22 RODO);
   3. Przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
   4. Wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX.
   5. Nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawiedzenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1

Odpowiedzialność karna – art. 84 RODO

Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne  i odstraszające.

Tego typu sankcje zostaną wprowadzone do porządku prawnego poprzez nową ustawę o ochronie danych osobowych.

RODO wprowadza obowiązek wyznaczenia Inspektora Ochrony Danych przez administratora danych w przypadku, gdy:

• Przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
• Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
• Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

W pozostałych przypadkach wyznaczenie IOD jest fakultatywne.

Nowością obecną w RODO jest to, że grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych (IOD), o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Administrator oraz podmiot przetwarzający powinni zapewnić, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Jako nowe uprawnienia/zadania IOD można wskazać, że współpracuje z organem nadzorczym, jest również punktem kontaktowym dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych, a także dla osób skarżących – w tym sensie pełnić będzie swego rodzaju funkcję biura obsługi klienta.

Administrator danych zobowiązany będzie do zbadania umów powierzenia w zakresie czy dają one gwarancję wdrożenia odpowiednich środków technicznych oraz organizacyjnych, jakie wymagane są przez RODO. W związku z tym konieczne będzie prześwietlenie powyższych umów pod tym kątem i odpowiednie ich zmienianie, lub aneksowanie.

Wydaje się również, że niezbędne będzie stworzenie odpowiedniej procedury, która będzie zawierała wskazania, kiedy podmiot przetwarzający będzie można uznać za taki, który gwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych wymaganych przez RODO.

Nowe przepisy przewidują również konieczność zapewnienia sobie przez administratora danych uprawnień do przeprowadzenia audytów i/lub inspekcji u podmiotów przetwarzających.

Przesłankami do dokonania oceny skutków planowanych operacji przetwarzania danych osobowych są prawdopodobieństwo spowodowania wysokiego ryzyka naruszenia wolności lub praw osób fizycznych oraz rodzaj przetwarzania danych osobowych, szczególnie użycie w tym celu nowych technologii.

W przypadku wystąpienia powyższych przesłanek administrator danych ma obowiązek przed rozpoczęciem przetwarzania dokonać oceny skutków planowanych operacji przetwarzania danych osobowych. Warto dodać, że jeśli został wyznaczony Inspektor Ochrony Danych, to administrator danych powinien się z nim konsultować DPIA. Pewnym ułatwieniem jest to, że RODO pozwala dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem przeprowadzić pojedynczą ocenę.

Z kolei obowiązek dokonania oceny skutków planowanych operacji przetwarzania danych osobowych wystąpi w przypadku wystąpienia jednej z poniższych sytuacji:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

• przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10;
• systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Wyżej wskazany katalog nie jest katalogiem zamkniętym, zawsze będzie trzeba dokonać oceny, jeżeli zajdzie prawdopodobieństwo spowodowania wysokiego ryzyka naruszenia wolności lub praw osób fizycznych;

Co musi zawierać ocena

Przygotowywana ocena obligatoryjnie musi obejmować:

• Systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie opis, prawnie uzasadnionych interesów realizowanych przez administratora;
• Ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
• Ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
• Środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie  z oceną skutków dla ochrony danych.

Administrator danych będzie musiał analizować (szacować) ryzyko, czyli możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia.

Wśród środków technicznych i organizacyjnych RODO wymienia w szczególności:

• Pseudonimizacja i szyfrowanie danych osobowych;
• Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Administrator danych analizując ryzyko  będzie dokonywał tego na trzech etapach:

• Etap 1 – będzie musiał definiować ryzyko, jego źródło, przyczyny oraz hipotetyczne szkody;
• Etap 2 – administrator ustala możliwość wystąpienia ryzyka (w tym ocenę ryzyka, sposób postępowania z ryzykiem, sposobu informowania o ryzyku);
• Etap 3 – administrator danych eliminuje lub zapobiega ryzyku.

Warto odnieść się bezpośrednio do RODO. Jak mówi motyw 75 z preambuły: Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:

• jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
• jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
• jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;
• jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych;
• jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
• jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.