środa, 16 maja 2018

Tajemnica lekarska a RODO

Tajemnica lekarska jest jedną z tajemnic zawodowych jaka funkcjonuje w obrocie, której można przyznać duże znaczenie nie tylko pod względem prawnym, ale także społecznym. Tajemnica lekarska jest obecnie uregulowana w art. 40 ustawy o zawodach lekarza i lekarza dentysty „Lekarz ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu”.

Oczywistym jest, że w ramach wykonywania zawodu lekarza czy lekarza dentysty dochodzi do przetwarzania danych osobowych pacjentów. W związku z tym również tę grupę zawodową obejmować będzie regulacja tzw. RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r., przez co powstaje pytanie jak stosować wchodzące już 25 maja 2018 roku unijne regulacje i wypełniać wszystkie wynikające z niej obowiązki, a jednocześnie nie naruszyć obowiązku zachowania tajemnicy lekarskiej.

Przykładem daleko idącego obowiązku wynikającego z RODO jest konieczność rozliczalności i przedstawienia przez administratora danych osobowych wszelkich zebranych i przetwarzanych danych osobowych na żądanie właściwego organu.

Uznać należy, iż zgodnie z art. 90 RODO, w zakresie danych osobowych objętych ochroną tajemnicy zawodowej, jaką jest tajemnica lekarska, podmioty nią objęte mają obowiązek odmówić ich ujawnienia, chyba, że państwo członkowskie przyjmie przepisy, w drodze których określi szczególne uprawnienia organów nadzorczych wobec administratorów lub podmiotów przetwarzających, którzy podlegają - na mocy prawa Unii lub prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe - obowiązkowi zachowania tajemnicy zawodowej lub innym równoważnym obowiązkom zachowania tajemnicy. Unijny ustawodawca pozostawia tu zastrzeżenia w postaci niezbędności i proporcjonalności celem pogodzenia prawa ochrony danych osobowych z obowiązkiem zachowania tajemnicy zawodowej. Przepisy te mają zastosowanie wyłącznie do danych osobowych, które administrator lub podmiot przetwarzający otrzymali lub pozyskali w wyniku lub w ramach działania objętego tym obowiązkiem zachowania tajemnicy.

W projekcie ustawy wprowadzającej ustawę o ochronie danych osobowych nie przewidziano zmiany w zakresie ustawy o zawodzie lekarza i lekarza dentysty, jak ma to miejsce np. na gruncie ustawy – prawo o adwokaturze czy nawet branżowo - ustawy o zawodzie pielęgniarki jak i ustawy o prawach pacjenta.

W projekcie ustawy o ochronie danych osobowych w proponowanym art. 58 wskazana została kompetencja dla Prezesa Urzędu Ochrony Danych Osobowych w brzmieniu: „W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.”

Art. 40 ustawy o zawodach lekarza i lekarza dentysty w ust. 2 pkt 1 wskazuje na niestosowanie obowiązku zachowania tajemnicy lekarskiej, gdy ustawa tak stanowi. Jednak z brzmienia proponowanego art. 58 ustawy o ochronie danych osobowych wynika, że do wyłączenia stosowania tajemnicy lekarskiej nie dochodzi. Zatem przy żądaniu organu o ujawnienie danych, lekarze mogą powołać się na tajemnicę lekarską.

W Polsce trwają obecnie prace nad przygotowaniem kodeksu branżowego, obejmującego podmioty zajmujące się działalnością leczniczą, co oznacza skorzystanie przez środowiska medyczne z dyspozycji art. 40 RODO, stanowiącego o możliwości przygotowania kodeksu postępowania w ramach danych branż. Kodeks, zwany kodeksem dla ochrony zdrowia, jest obecnie na etapie projektowym, jego wstępna treść jest dostępna, jednakże jeszcze nie wszystkie planowane postanowienia danego kodeksu zostały w rzeczonym projekcie ujęte.

Należy pamiętać że taki kodeks musi zostać zatwierdzony przez właściwy organ i nie wcześniej niż z dniem wejścia w życie regulacji wynikającej z RODO. Oczywiście nie jest wiadomo, kiedy wspomniany kodeks branżowy będzie gotowy, a prace nad nim zakończą się. Można też się zastanawiać, czy powinno dojść do zamknięcia prac nad takim zbiorem. W przypadku nieprzyjęcia wspomnianego kodeksu postępowania, jak również braku regulacji poszczególnych kwestii przez ustawodawcę, w mocy pozostaną dotychczas obowiązujące przepisy dotyczące m.in. obowiązku zachowania tajemnicy zawodowej osób wykonujących zawody medyczne, które posiadają rangę ustawową. W tak zaistniałej sytuacji informacje udzielone takim podmiotom podlegają ochronie na podstawie wspomnianych przepisów.

W kolejnych postach omówimy, co lekarz musi robić pod rządami RODO.

Pozostałe wpisy o RODO tutaj (klik).

Anna Dudkiewicz
prawnik
Kancelaria Zdanowicz i Wspólnicy
Kontakt: blog@zdanowiczlegal.pl

 

 

poniedziałek, 7 maja 2018

Upoważnienie a umowa na powierzenie przetwarzanie danych pod rządami RODO

Wchodząca w życie 25 maja bieżącego roku regulacja zawarta w rozporządzeniu Parlamentu Europejskiego i Rady 2016/679, czyli tzw. RODO jest kolejnym aktem dotyczącym danych osobowych. Przetwarzać dane osobowe może bezpośrednio administrator danych osobowych, może także do tego umocować w odpowiedni sposób określone podmioty. W ramach postanowień RODO wskazane są dwa instrumenty prawne, które mogą stanowić umocowanie do przetwarzania danych osobowych przez podmioty inne niż administrator danych osobowych. Są to umowa o powierzenie danych osobowych bądź inny instrument przewidziany prawem (art. 28 RODO) oraz upoważnienie do przetwarzania danych osobowych (art. 29 RODO). Podkreślić należy, że na gruncie obecnie obowiązującej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku te instytucje są już znane.

Zgodnie z art. 28 RODO administrator danych osobowych może powierzyć ich przetwarzanie innemu podmiotowi, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą̨. Może dojść także do podpowierzenia, które ma odpowiadać wymogom powierzenia przetwarzania danych osobowych. Umowa lub inny akt prawny mają mieć zachowaną formę pisemną, w tym formę elektroniczną, o czym stanowi art. 28 ust. 9 RODO. Wskazana w RODO forma elektroniczna może zostać uznana za pojęcie tożsame z pojęciem formy elektronicznej na gruncie art. 781 § 1 i 2 KC. Umowa lub inny akt prawny mają podlegać prawu Unii lub prawu państwa członkowskiego i wiążą administratora i podmiot powierzający, pomiędzy którymi doszło do powierzenia przetwarzania danych osobowych. 

Jak wskazuje RODO, umowa lub inny akt prawny zawarty na gruncie art. 28 RODO określa:

  1. Przedmiot przetwarzania;
  2. Czas przetwarzania;
  3. Charakter przetwarzania;
  4. Cel przetwarzania;
  5. Rodzaj danych osobowych;
  6. Kategorie osób, których dane dotyczą;
  7. Obowiązki i prawa administratora.
W odniesieniu do umowy powierzenia aktualność́ zachowuje wyrażone w literaturze na gruncie ustawy o ochronie danych osobowych stanowisko, że najczęściej umowa taka będzie miała postać́ umowy o świadczenie usług, do której odpowiednie zastosowanie znajdą przepisy KC o zleceniu. Jak wskazuje motyw 81 RODO, administrator i podmiot przetwarzający mogą̨ skorzystać́ z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo które zostały przyjęte przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie przyjęte przez Komisję. Art. 28 wskazuje na podstawowe obowiązki podmiotu przetwarzającego dane osobowe, konieczność niesienia pomocy administratorowi danych osobowych.

Zgodnie z art. 28 ust. 3 lit. a RODO procesor, czyli podmiot, któremu powierza się przetwarzanie danych osobowych, może przetwarzać́ dane osobowe wyłącznie na udokumentowane polecenie administratora. Polecenie to może być́ elementem umowy powierzenia lub też stanowić́ odrębny dokument. Warunkiem koniecznym jest jednak to, by forma przekazania polecenia (w tym ustalona w wiążącej administratora i procesora umowie lub innym instrumencie prawnym) umożliwiała jego udokumentowanie (zarówno przez administratora, jak i podmiot przetwarzający). Udokumentowanie polecenia ma istotne znaczenie dla wypełnienia wymogów rozliczalności.

Odrębnym od ww. umowy instrumentem, jest upoważnienie do przetwarzania danych osobowych, które uregulowane zostało w art. 29 RODO. Jest to bardzo zwięzła, jednozdaniowa regulacja. Z art. 29 RODO wynika zasada udzielania upoważnienia przez podmiot przetwarzający lub administratora każdej osobie fizycznej mającej dostęp do zbieranych danych osobowych. Upoważnienie do przetwarzania danych osobowych różni się od tego, które wynika z jeszcze obowiązującej polskiej ustawy o ochronie danych osobowych. RODO nie reguluje kwestii upoważnienia w sposób tak dalece sformalizowany, jak ma to miejsce na gruncie polskiej ustawy. Zgodnie z brzmieniem art. 29 RODO do udzielenia upoważnienia do przetwarzania danych osobowych może dojść przez administratora danych osobowych jak podmiot przetwarzający. Zatem katalog podmiotowy uprawnionych do upoważnienia jest szerszy niż w art. 28 RODO.

Przepis ten nie wskazuje formy jaką zachować ma upoważnienie. Oczywiście ze względów ostrożnościowych i dowodowych, warto zachować formę pisemną, w tym elektroniczną, w ramach udzielenia upoważnienia danej jednostce. Będzie to stanowiło zabezpieczenia dla upoważniającego, który ma nałożony na siebie obowiązek rozliczalności.

Z upoważnieniem na gruncie art. 29 RODO wiąże się w sposób bezpośredni polecenie administratora. Jednakże art. 29 RODO nie wskazuje żadnych wymogów formalnych w zakresie wydawanego polecenia. Zgodnie z doktryną może ono być elementem umowy o pracę, umów cywilnoprawnych jak umowa zlecenia czy umowa o dzieło, umowy o świadczenie usług administratora z podmiotem przetwarzającym.

Wyjątkiem jest oczywiście, wskazane w końcowej części art. 29 RODO wymóg przetwarzania danych osobowych wynikający z prawa Unii lub prawa państwa członkowskiego.

Mimo braku wymogów formalnych, uznać należy, iż polecenie administratora winno zostać udokumentowane w sposób umożliwiający wykazanie w każdym momencie zaistnienia udzielenia takiego polecenia przez administratora danych osobowych.
Pozostałe posty o ochronie danych osobowych znajdziesz TU.

Anna Dudkiewicz
prawnik
 

czwartek, 26 kwietnia 2018

Zgoda na przetwarzanie danych osobowych w ramach rekrutacji a RODO


Biorąc udział w procesie rekrutacyjnym, kandydat wraz z udostępnianiem swojego CV potencjalnemu pracodawcy, oddaje w jego ręce szereg danych osobowych, które następnie są przetwarzane. Oczywiście przetwarzanie takie musi się odbywać zgodnie z literą prawa, jednakże nie zawsze wymagane jest uzyskanie oświadczenia o wyrażeniu zgodny na przetwarzanie danych osobowych.

Obecnie art. 221 k.p. przewiduje katalog danych osobowych, których pracodawca ma prawo żądać od pracownika, w tym także od kandydata biorącego udział w rekrutacji. Przetwarzanie tych danych osobowych, które stanowią katalog zamknięty, odbywa się w związku z art. 23 ust 1 pkt 3 ustawy o ochronie danych osobowych, który stanowi, iż przetwarzanie jest możliwe jeżeli jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. A zatem w przypadku takich danych, nie ma konieczności uzyskania zgody na przetwarzanie, ponieważ podmiot – np. pracodawca uprawniony jest bezpośrednio na podstawie ustawy.

Natomiast, jeżeli w CV podane są inne informacje, spoza tego katalogu, wówczas do ich przetwarzania wymagana jest zgoda kandydata. To właśnie na potrzeby wskazanej zgody powszechnym stało się dodawanie do CV klauzuli z oświadczeniem o wyrażeniu zgody na przetwarzanie danych osobowych.

Wchodząca w życie regulacja zawarta w rozporządzeniu Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 roku, czyli tzw. RODO, dotyczy także sytuacji poruszonych powyżej, tj. przetwarzania danych osobowych w ramach rekrutacji. A zatem zarówno wymogi określone w rozporządzeniu, dotyczące wyrażenia zgody na przetwarzanie danych osobowych, jak i obowiązki informacyjne ciążące na administratorze danych osobowych, którym będzie rekruter, czyli potencjalny pracodawca znajdują tu zastosowanie.

Jednakże, mając na uwadze szczególny charakter stosunków pracowniczych, zapewne również powszechność procesów rekrutacji, a przez co wolę nieutrudniania osobom poszukującym pracy tego procesu, RODO przewiduje możliwość uregulowania w sposób odmienny przez państwa członkowskie kwestii dotyczącej przetwarzania danych osobowych pracowników oraz danych udzielonych w wyniku prowadzonego procesu rekrutacji.

Powyższa wola prawodawcy unijnego wynika z motywu 155 oraz art. 88 RODO, który wskazuje na możliwość państw członkowskich do wprowadzenia w ramach wewnętrznego porządku prawnego państwa, w sposób bardziej szczegółowy przepisów, które mają zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, a w szczególności do celów rekrutacyjnych.

W przypadku przyjęcia takich regulacji muszą one obejmować odpowiednie i szczegółowe środki zapewniające osobie, której dotyczą poszanowanie takich przymiotów jak godność, prawnie uzasadniony interes i prawa podstawowe. Na państwie członkowskim wraz ze skorzystaniem z dyspozycji art. 88 RODO ciąży obowiązek poinformowania Komisji o przyjęciu powyższych przepisów, jak i o każdorazowej ich zmianie.

Polska zamierza skorzystać z takiego uprawnienia poprzez przyjęcie nowelizacji w zakresie kodeksu pracy w drodze ustawy o wprowadzeniu ustawy o ochronie danych osobowych, która jest obecnie na etapie projektu. W ramach nowelizacji dojdzie do zmiany art. 221 kodeksu pracy oraz dodania następujących po nim art. 222-224 k.p.

Zgodnie z brzmieniem projektowanych przepisów, zachowana zostanie dotychczasowo funkcjonująca zasada, że w przypadku udostępnienia danych osobowych, co do których żądania uprawniony jest pracodawca ex lege, nie jest wymagana zgoda kandydata na pracownika na przetwarzanie danych osobowych. Natomiast w przypadku udostępnienia innych danych, które nie znajdują się w zamkniętym katalogu określonym w kodeksie pracy, wówczas do ich przetwarzania wymagana jest zgoda podmiotu, wyrażona w sposób wyraźny, jasny, konkretny i dobrowolny, w drodze złożonego oświadczenia.

Swego rodzaju novum stanowi zastrzeżenie, iż brak zgody nie może powodować niekorzystnego traktowania osoby ubiegającej się̨ o zatrudnienie lub pracownika, a także nie może powodować́ wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić́ przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę̨.

Zatem, wraz z dniem 25 maja 2018 roku regulacja zawarta w RODO obejmie także kwestię procesów rekrutacyjnych. Oczywiście, jeśli polski ustawodawca nie zdąży do tego czasu uchwalić planowanej nowelizacji, zastosowanie będą miały dotychczasowe regulacje w połączeniu z wymogami określonymi w RODO, natomiast projektowana zmiana poszerzy dotychczasową regulację z zakresu danych osobowych udzielanych w ramach rekrutacji.

Należy pamiętać, iż regulacja zawarta w kodeksie pracy ma zastosowanie do procesów rekrutacji, których zwieńczeniem będzie powstanie stosunku pracowniczego między stronami. W związku z powyższym, nie znajdzie ona zastosowania do osób, które podejmą się współpracy na podstawie umów cywilnoprawnych.

Zwróćmy uwagę, iż pracodawca jako administrator danych osobowych musi pamiętać o ciążącym na nim obowiązku informacyjnym, który w przypadku rekrutacji polega na m.in. wskazaniu danych administratora, wskazaniu danych podmiotu przetwarzającego, jeżeli taki został powołany, określeniu stanowiska w związku z celem przetwarzania jakim jest rekrutacja, czy też informacji o braku negatywnych skutków nie wyrażenia zgody na przetwarzanie danych osobowych. Zapewne za pożądane można uznać sformułowanie przez pracodawcę propozycji klauzuli z oświadczeniem o wyrażeniu zgody na przetwarzanie danych osobowych, w którym podstawa prawna, dane administratora czy cel zostaną już wskazane.

Mimo funkcjonujących obecnie jak i planowanych swego rodzaju zwolnieniach w zakresie uzyskania zgody na przetwarzanie danych osobowych kandydatów na pracowników, można jednak spodziewać się, iż każde CV przedkładane przez osobę ubiegającą się o dane stanowisko będzie zawierało klauzulę z oświadczeniem obejmującym zgodę na przetwarzanie danych osobowych. Wynika to z faktu, iż obecnie na rynku pracy przedkładając CV, wskazywane jest w nim o wiele więcej informacji, niż te określone w kodeksie pracy, co do których pracodawca jest usprawiedliwiony, celem zwiększenia swoich szans na zatrudnienie. I mimo przyszłej gwarancji braku negatywnych skutków niewyrażenia zgody na przetwarzanie danych osobowych, trudno wyobrazić sobie sytuację, gdy osoba szukająca pracy zaryzykuje i takiej zgody nie wyrazi.

Pozostałe publikacje na temat RODO znajdziecie Państwo TU.

Anna Dudkiewicz
prawnik

piątek, 20 kwietnia 2018

Prowadzenie działaności gospodarczej innej niż wpisana w CEiDG

Jedną z form funkcjonowania podmiotu w obrocie gospodarczym i prowadzenia przedsiębiorstwa jest jednoosobowa działalność gospodarcza, którą stanowi zgodnie z art. 2 ustawy z dnia 2 lipca 2004 roku o swobodzie działalności gospodarczej (dalej: ustawa), zarobkowa działalność wytwórcza, budowlana, handlowa, usługowa oraz poszukiwanie, rozpoznawanie i wydobywanie kopalin ze złóż, a także działalność zawodowa, wykonywana w sposób zorganizowany i ciągły. 

Podjęcie działalności przez przedsiębiorcę może odbyć się już tego samego dnia, którego doszło do złożenia przez niego wniosku o wpis do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (dalej: CEiDG). Jednakże, co istotne każda osoba może posiadać jedynie jeden wpis do CEiDG, zaś każdy kolejny wniosek o nowy wpis zgodnie z art. 27 ust 2 pkt 5 ustawy uznawany jest za niepoprawny. 

Składając wniosek o wpis do CEiDG, zawrzeć w nim należy zgodnie z art. 25 ust. 1 ustawy m. in. firmę, adres wykonywania działalności gospodarczej, adres do doręczeń oraz przedmiot prowadzonej działalności.  

Wskazanie przedmiotu działalności ma na celu określenie przez przedsiębiorcę rodzajów działalności przez niego prowadzonych. Chodzi o swego rodzaju zakwalifikowanie danej działalności do określonej grupy przedsiębiorców według charakteru świadczonych usług. Zatem rozpoczynając prowadzenie działalności gospodarczej, podmiot, wiedząc jakiego charakteru czynności będą wiązały się z jego przedsiębiorstwem, winien dopasować planowane pola działania do przedmiotów działalności przewidzianych w Polskiej Klasyfikacji Działalności, czyli tzw. PKD.  

Polska Klasyfikacja Działalności to umownie przyjęty i usystematyzowany zbiór działalności społeczno-gospodarczej, która realizowana jest przez podmioty gospodarcze. Obecnie obowiązującą jest PKD 2007, która zaczęła obowiązywać wraz z dniem 1 stycznia 2008 roku. Jest ona klasyfikacją złożoną z pięciu poziomów, tj. sekcji, działów, grup, klas oraz podklas, natomiast rodzaje działalności określane są jako przeważające, drugorzędne, pomocnicze.  

Podkreślić należy, iż zgodnie z art. 25 ust. 1 pkt 8 ustawy przedsiębiorca, wnosząc o wpis do CEiDG, określa przedmioty działalności zgodnie z PKD, co oznacza, iż w ramach jednej działalności gospodarczej możliwe jest określenie więcej niż jednego przedmiotu działalności. Umożliwia to prowadzenie przedsiębiorstwa na wielu różnych polach gospodarczych oraz zapewnienie realizacji dla zasady swobody działalności gospodarczej, która stanowi fundament powszechnego obrotu.  

Nadto przedsiębiorca może podać kilka i do tego różnych przedmiotów działalności, o różnej charakterystyce, które planuje wykonywać w ramach swojej działalności gospodarczej. Jednakże nie oznacza to obowiązku działania na wszystkich tych wskazanych obszarach, gdyż może wystąpić sytuacja, w której przedsiębiorca nigdy nie podejmie się działalności w zakresie któregoś z rodzajów PKD.  

Oczywiście wraz ze złożeniem wniosku podmiot nie traci prawa do wykonywania działalności o innym rodzaju, gdyż w każdym momencie ma prawo do zaktualizowania dotychczasowego wpisu poprzez zmianę przedmiotu bądź przedmiotów działalności gospodarczej. Wniosek taki należy złożyć w terminie 7 dni od dnia zdarzenia wymagającego zmiany.
 

Anna Dudkiewicz
prawnik
Kancelaria Zdanowicz i Wspólnicy
Kontakt: blog@zdanowiczlegal.pl







czwartek, 5 kwietnia 2018

Kiedy potrzebny, a kiedy obowiązkowy jest inspektor ochrony danych? – zmiany w danych osobowych – cz. 10


Rozporządzenie Parlamentu Europejskiego i Rady nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli z tzw. RODO, wprowadza nowy podmiot, który zastąpi dotychczasowego administratora bezpieczeństwa informacji, a mianowicie inspektora ochrony danych (dalej też „inspektor”).

Niektóre podmioty będą miały obowiązek powołania inspektora. Zgodnie z art. 37 ust. 1 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy zachodzi jeden z poniższych przypadków:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (tzw. dane wrażliwe lub inaczej – sensytywne), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Największe kontrowersje może wzbudzać pkt. b), który posługuje się bardzo ocennym pojęciem „głównej działalności”, a dodatkowo pojęciem „wymagania regularnego systematycznego monitorowania osób”. W słowniku pojęć dla RODO znajdującym się w art. 4 nie odnajdziemy żadnej podpowiedzi, jak te pojęcia powinny być interpretowane. Mając jednak na względzie bezpieczeństwo administratora w kwestiach wątpliwych, doradzałabym powołanie takiego inspektora. Dopiero praktyka narosła wokół obowiązywania RODO wykaże, jak organy będą interpretować te pojęcia.

Pkt c) wzbudza też wątpliwości. Na zdrowy rozum np. placówka medyczna, która jest niewątpliwie administratorem przetwarzającym dane sensytywne, jakimi są dane dotyczące stanu zdrowia, nie ma takiego obowiązku, gdyż jej główna działalność nie polega na przetwarzaniu danych osobowych lecz na świadczeniu usług medycznych. Anglojęzyczna wersja RODO również wskazuje, że chodzi o te podmioty, których trzon działalności stanowi przetwarzanie takich danych osobowych.

Wizja jednak sankcji zawartych w art. 83 ust. 4 lit. a) RODO, a mianowicie administracyjnej kary pieniężnej w kwocie do 10.000.000 Euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) skutecznie z pewnością wpłynie (przynajmniej w początkowym okresie obowiązywania RODO), na to, iż wiele podmiotów wyznaczy takiego administratora, nawet gdy obowiązek jego wyznaczenia będzie wątpliwy lub kontrowersyjny.


Inne posty na temat RODO do przeczytania tu (klik).

Aleksandra Dalecka
adwokat

wtorek, 3 kwietnia 2018

Prawo do bycia zapomnianym - zmiany w danych osobowych cz. 9

Prawo do bycia zapomnianym jest instytucją , która w swej treści zawiera uprawnienie do żądania usunięcia danych osobowych podmiotu jak i zarówno szereg obowiązków po stronie administratora. Przypominamy, że w uproszczeniu ujmując, administratorem jest ten podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Prawo do bycia zapomnianym wynika z art. 17 Rozporządzenia Parlamentu Europejskiego i Rady nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli z tzw. RODO. Inne posty na temat RODO do przeczytania tu (klik).

Podmiot, którego dane osobowe dotyczą ma prawo żądać od administratora danych osobowych niezwłocznego usunięcia dotyczących jego osoby danych osobowych, a administrator jest zobowiązany bez zbędnej zwłoki usunąć takie dane osobowe. Do usunięcia może dojść w przypadku, gdy:
  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania;
  3. osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
  4. dane osobowe były przetwarzane niezgodnie z prawem;
  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
 
W przypadku wniesienia przez osobę, której dane osobowe dotyczą, żądania usunięcia danych, jeżeli administrator danych osobowych upubliczniał te dane, wówczas zgodnie z art. 17 ust. 2 RODO ma obowiązek powiadomienia administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, aby administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Ustawodawca unijny wskazuje, że do wykonania tego obowiązku administrator podejmuje rozsądne działania, biorąc pod uwagę dostępną technologię i koszt realizacji, w tym środki techniczne.
 
Wprowadzone uprawnienie żądania usunięcia danych obejmuje obowiązek administratora usunięcia danych osobowych podmiotu zgłaszającego żądanie nie tylko z cyfrowych baz danych, ale również wszelkich nośników, w tym także papierowych, dokumentów, plików, ankiet, wydruków, e-maili a nawet notatek, które zawierają dane osobowe podmiotu żądającego. Jest to zupełne i całościowe usunięcie wszelkich chronionych danych osobowych w zakresie nośników czy elektronicznych czy papierowych, co oznacza "zniknięcie" danej osoby ze zbioru danych.
 
Wypełnienie tego obowiązku w tak szerokim zakresie powoduje konieczność dokonania weryfikacji wszelkich posiadanych nośników, a nie tylko cyfrowych baz danych, w zakresie zawartych w nich danych osobowych.
 
Należy pamiętać, że o ile duże przedsiębiorstwa w ramach swojej działalności posiadają często cyfrowe bazy danych, wraz z zebranymi danymi osobowymi, to w przypadku przedsiębiorców małych i średnich jest to często zjawisko mniej zelektronizowane, przez co konieczność wykonania obowiązku usunięcia danych będzie większym utrudnieniem.
 
 
Nie można wykluczyć, że nałożony na administratorów danych osobowych taki obowiązek będzie wiązał się z koniecznością wprowadzania dodatkowych programów, w zakresie zbierania i szybszego usuwania zgromadzonych danych osobowych na żądanie uprawnionego podmiotu. Wiązać się to może także z koniecznością zatrudnienia dodatkowych osób, których zadaniem będzie usystematyzowanie oraz przystosowanie obecnie zebranych danych osobowych do wymogów, jakie wprowadza RODO w tym zakresie.
 
Podkreślić należy, iż prawo do usunięcia danych osobowych nie stanowi całkowitego novum w ustawodawstwie polskim, gdyż w obecnie obowiązującej ustawie z dnia 29 sierpnia 1997 roku – o ochronie danych osobowych, zostało uregulowane prawo do żądania usunięcia danych osobowych z prowadzonej bazy danych – art. 32 ustawy. Jednakże dotychczas, pomimo zastrzeżonych w cytowanej ustawie środków kontroli wykonania żądania osoby, której dane dotyczą, w praktyce nie dało się ustalić czy dane żądanie w pełnym zakresie zostało wykonane przez zobowiązanego. Jest to zagrożenie, które w pewnym zakresie ciąży także nad regulacją zawartą w RODO i w tym zakresie można liczyć tylko na prewencyjne działanie przewidzianych wysokich sankcji pieniężnych dla podmiotów łamiących te regulacje.
 
 
Uprawnienie wynikające z art. 17 RODO, nie jest prawem o charakterze bezwzględnym, gdyż posiada wyłączenia w zakresie swojego zastosowania, dotyczące przetwarzania danych, które jest niezbędne:
 
  1. do korzystania z prawa do wolności wypowiedzi i informacji;
  2. do wywiązywania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa unijnego lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo do żądania usunięcia danych osobowych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  5. do ustalenia, dochodzenia lub obrony roszczeń.
Zatem uprawnienie podmiotu do żądania usunięcia jego danych osobowych nie jest prawem bezwzględnym, a ograniczenia zostały sformułowane w sposób ogólnikowy i szeroki, celem zapewnienia ochrony nie tylko interesów osób korzystających z prawa do bycia zapomnianym, ale także interesu administratorów oraz szeroko pojętego interesu ogólnego.

Anna Dudkiewicz  
prawnik
 
 
 

czwartek, 29 marca 2018

Przetwarzanie danych osobowych w celach prywatnych pod RODO - zmiany w danych osobowych cz. 8

Przetwarzanie danych osobowych dla celów prywatnych może wzbudzać wątpliwości pod rządami RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Zauważmy, że zgodnie z art. 2 ust. 1 RODO, rozporządzenie to stosuje się do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru lub mających stanowić część zbioru danych.

W każdym telefonie komórkowym znajdzie się mniej lub bardziej uporządkowany zbiór danych osobowych w postaci listy kontaktów. Jeżeli wpisujemy imię, nazwisko oraz numer telefonu, a czasem dodatkowo firmę, są to dane umożliwiające identyfikację osoby fizycznej. GIODO zresztą wypowiedziało się kiedyś (DOLiS-440-211/07), iż nawet same numery telefoniczne są danymi osobowymi (taka interpretacja jest też przyjmowana w Unii Europejskiej). Taką daną osobową może być także spersonalizowany adres e-mail.

Czy musimy się zatem obawiać, że różne obowiązki wynikające z RODO spadną także na posiadaczy telefonów czy skrzynek pocztowych na komputerach?

Na szczęście w art. 2 ust. 2 RODO znajdujemy wyłącznie, zgodnie z którym RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (po angielsku: by a natural person in the course of a purely personal or household activity). Niewątpliwie przetwarzanie ma być dokonywane wyłącznie w ramach tylko tych czynności. Notabene household przetłumaczyłabym bardziej jako gospodarstwo domowe, ale intencja wydaje się być i tak jasna. Jeśli więc mam listę telefonów do członków rodziny czy przyjaciół – nie ma problemu – RODO nas nie dotyczy. Jeśli jednak jest mowa o liście kontaktów służbowych, to niewątpliwie nie podlega ona pod ww. wyłączenie. Zgodą na przetwarzanie tych danych każdy będzie dysponował w większości przypadków, natomiast pozostałych obowiązków najpewniej nie wykonana z oczywistych przyczyn (jest ich nadmiernie dużo, a świadomość społeczna i prawna nie jest zbyt mimo wszystko rozwinięta). Można tylko liczyć na racjonalność egzekwujących przepisy RODO…

Pozostałe posty o RODO znajdziesz tu (klik).

Aleksandra Dalecka
adwokat