Na wstępie należy podkreślić, że rozwiązania zawarte w ustawie o fundacji rodzinnej nie są dedykowane kontynuowaniu działalności gospodarczej przez sukcesorów przedsiębiorcy. Co prawda przepisy ustawy z dnia 26 stycznia 2023 roku o fundacji rodzinnej pozwalają zachować przedsiębiorstwo jako całość, zarówno za życia jak i po śmierci przedsiębiorcy, jednakże sama fundacja rodzinna nie została przewidziana jako forma prowadzenia działalności gospodarczej. Ustawodawca dopuszcza prowadzenie działalności gospodarczej przez fundację rodzinną jedynie w wąskim zakresie. Zakres ten nie obejmuje chociażby świadczenia usług. Fundacja rodzinna w swym założeniu przewidziana została jako podmiot mający na celu zarządzanie majątkiem fundatora i ewentualnie pomnażanie go np. poprzez inwestowanie w papiery wartościowe lub wydzierżawienie przedsiębiorstwa wniesionego do fundacji.
Fundacja rodzinna jest zatem dobrym rozwiązaniem w tych przypadkach, w których spadkobiercy nie będą kontynuowali działalności przedsiębiorstwa, a sam spadkodawca chce mieć pewność, że skumulowany przez niego majątek nie zostanie roztrwoniony i będzie dalej służył dobru rodziny. Jedną z zalet rozwiązań zawartych w ustawie o fundacji rodzinnej jest przyznanie fundatorowi pełnej swobody w zakresie ustalania zasad wypłaty świadczeń dla beneficjentów. Dzięki temu możliwe będzie np. zbalansowanie wypłat na rzecz beneficjentów z zyskami osiąganymi przez fundację.
Fundacja rodzinna jest również dobrym rozwiązaniem pozwalającym na uniknięcie konfliktów rodzinnych, które często pojawiają się przy podziale majątku spadkodawcy. W przypadku wniesienia majątku do fundacji rodzinnej, sam majątek lub osiągane z niego przychody można wypłacać wskazanym przez niego beneficjentom wedle uznania fundatora w ten sam sposób lub w równej wysokości. Co istotne, majątek wniesiony do fundacji „nie przepada” w tym sensie, że nie staje się bezpowrotnie własnością fundacji. Także w tej kwestii przepisy ustawy o fundacji rodzinnej są bardzo elastyczne i dają fundatorom sporo swobody. Fundator może więc określić w statucie czas trwania fundacji i zasady podziału majątku pozostałego po jej rozwiązaniu.
Wraz z ustawą o fundacji rodzinnej weszły w życie przepisy kodeksu cywilnego umożliwiające obowiązanemu do zapłaty zachowku, np. fundacji rodzinnej, do żądania odroczenia terminu płatności zachowku, rozłożenia go na raty, a nawet jego obniżenia. Zgodnie z zamysłem ustawodawcy, rozwiązanie to ma służyć ochronie właśnie tych składników majątku spadkodawcy, które nieuszczuplone mogą zapewniać dalsze generowanie przychodów z korzyścią dla spadkobierców. Powyższe rozwiązania pozwalają więc zabezpieczyć majątek spadkodawcy i dzięki temu zachować płynność świadczeń.
Z punktu widzenia sukcesji firm rodzinnych prowadzonych w formie jednoosobowej działalności gospodarczej, rozwiązaniem wartym uwagi jest zastosowanie zapisów windykacyjnych połączonych z ustanowieniem zarządcy sukcesyjnego. Odpowiednie połączenie obu instytucji pozwala zachować pełną płynność działalności przedsiębiorstwa spadkobiercy i uniknąć chaosu jaki zazwyczaj pojawia się w okresie pomiędzy śmiercią spadkodawcy a nabyciem i ewentualnym działem spadku. Zarządca sukcesyjny jest bowiem uprawniony do dokonywania wszelkich czynności w zakresie zwykłego zarządu przedsiębiorstwem w spadku (czyli przedsiębiorstwem spadkodawcy, który ustanowił zarządcę sukcesyjnego). Może on zatem dokończyć transakcje przerwane przez śmierć spadkodawcy w tym, np. opłacić faktury, dostarczyć towar itp. Ponadto może on także realizować spływające na bieżąco nowe zlecenia. Zarząd sukcesyjny pozwala więc zachować budowaną przez lata wiarygodność przedsiębiorstwa i jego renomę. Śmierć przedsiębiorcy nie będzie bowiem przeszkodą w wywiązaniu się ze zobowiązań zaciągniętych wobec kontrahentów. Co istotne, w przypadku ustanowienia zarządcy sukcesyjnego, umowy o pracę zawarte przez przedsiębiorcę nie wygasają z chwilą jego śmierci. W takim przypadku następuje to dopiero z chwilą wygaśnięcia zarządu sukcesyjnego, chyba że przed tym dniem pracownicy zostaną przejęci przez nowego pracodawcę. Takim nowym pracodawcą może być sam zarządca sukcesyjny, który nabędzie przedsiębiorstwo w drodze zapisu windykacyjnego.
Ustanowienie zarządcy sukcesyjnego za życia przedsiębiorcy jest bardzo proste. Zainteresowany przedsiębiorca może to uczynić samodzielnie nie wychodząc z domu. Tak więc połączenie odpowiednio uczynionych zapisów windykacyjnych wraz z ustanowieniem zarządcy sukcesyjnego może okazać się relatywnie niedrogim, łatwym i skutecznym sposobem na zapewnienie ciągłości działalności przedsiębiorstwa. Więcej o dziedziczeniu przedsiębiorstwa znajdziesz tutaj.
Termin przedawnienia roszczeń frankowiczów.
W oczekiwaniu na wyrok TSUE, który miał zapaść w ramach odpowiedzi na pytania prejudycjalne Sądu Okręgowego w Gdańsku (sprawa C-19/20) uwadze mediów umknęło inne bardzo ważne orzeczenie. W wyroku z dnia 22 kwietnia 2021 roku w sprawie C-485/19 TSUE wypowiedział się na temat sposobu liczenia terminu przedawnienia roszczeń konsumenta względem podmiotu udzielającego pożyczek, z tytułu kwot pobranych przez ten podmiot na podstawie nieuczciwych postanowień umownych. Istota sprawy sprowadzała się do tego, że konsument dowiedział się o nieuczciwych warunkach umowy po spłacie kredytu. Podmiot udzielający pożyczek podniósł w wytoczonej mu sprawie o zapłatę zarzut przedawnienia.
W omawianej sprawie termin przedawnienia roszczenia o zwrot bezpodstawnego wzbogacenia, wynoszący 3 lata, liczony był oddzielnie dla każdej z rat uiszczanych przez kredytobiorcę i rozpoczynał swój biegł od daty jej uiszczenia. Zatem analogicznie jak w prawie polskim.
TSUE w komentowanym wyroku zwrócił uwagę, że co do zasady umowy kredytu są wykonywane wiele lat. Stąd jeżeli zdarzeniem rozpoczynającym bieg 3 letniego terminu przedawnienia roszczenia konsumenta o zwrot bezpodstawnego wzbogacenia jest każda dokonana przez niego płatność, to może się zdarzyć, że w ramach umowy wykonywanej przez okres przekraczający trzy lata poszczególne roszczenia tego kredytobiorcy ulegną przedawnieniu, zanim umowa dobiegnie końca. Taki system terminu przedawnienia w ocenie TSUE może systematycznie pozbawiać konsumentów możliwości dochodzenia zwrotu płatności, dokonanych na podstawie nieuczciwych warunków umownych (motywie 63 wyroku). Zwrócono przy tym uwagę, że konsumenci częstokroć nie mają świadomości przysługujących im praw lub ich nie rozumieją. Stwarza to ryzyko, że roszczenia konsumenta nieświadomego stosowania wobec niego nieuczciwych warunków umownych ulegną przedawnieniu (motywy 60 – 62). Stąd w ocenie TSUE termin przedawnienia roszczeń konsumenta nie może rozpocząć biegu w sytuacji, w której konsument nie ma świadomości nieuczciwego (abuzywnego) charakteru postanowień umowy.
W odniesieniu do sytuacji frankowiczów w Polsce istotne jest to, że we wspomnianym wyroku TSUE uznał, iż termin przedawnienia roszczeń konsumenta nie należy liczyć od daty zapłaty poszczególnych rat lecz od momentu, w którym konsument uzyskał świadomość abuzywności postanowień umowy kredytu, uzasadniającej roszczenie o zapłatę. Potencjalnie otwiera to kredytobiorcom, którzy zaciągnęli kredyt waloryzowany do CHF, drogę do dochodzenia zwrotu rat uiszczonych dawniej niż 10 lat wstecz od daty wniesienia pozwu.
Mam kredyt frankowy, co dalej?
Nie w każdym przypadku możliwe będzie wzruszenie umowy kredytu waloryzowanego do waluty obcej, zwłaszcza franka szwajcarskiego. Na wstępnie należy zaznaczyć, że waloryzowanie rat kredytów jako takie nie jest niezgodne z prawem. Umowy kredytowe, tzw. ‚kredyty frankowe’, są podważane z uwagi na abuzywność klauzul waloryzacyjnych. Klauzule są abuzywne, albo inaczej mówiąc są niedozwolone, jeśli kształtują prawa i obowiązki konsumenta w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. W przypadku kredytów indeksowanych klauzule te pozwalają bankom jednostronnie i w sposób niejasny dla kredytobiorców, kształtować wysokość kredytu poprzez arbitralne ustalanie wysokości kursu waluty.
W pierwszej kolejności należy więc przeanalizować zapisy umowne i ustalić czy znajdują się w niej klauzule niedozwolone. Nie wszystkie zapisy umowy będą miały znaczenie dla oceny możliwości jej podważenia. Kluczowe są zapisy zawierające klauzule waloryzacyjne. Klauzule te określają sposób w jaki kwota kredytu jest przeliczana do waluty obcej i w jaki sposób raty kredytu są przeliczane z lub do waluty obcej. Kolejnym dokumentem jaki należy wziąć pod uwagę jest regulamin kredytu. W regulaminie mogą bowiem znajdować się zapisy precyzujące np. wspomniany sposób waloryzacji kwoty i rat kredytu.
Od razu należy zaznaczyć, że dla uznania klauzuli za niedozwoloną nie ma znaczenia, w jaki sposób bank stosuje daną klauzulę. Istotne jest jedynie, że klauzule te stwarzają możliwość naruszenia interesów konsumentów. Kwestia ta jest przesądzona w orzecznictwie Sądu Najwyższego.
Warto zasięgnąć porady doświadczonego prawnika, gdyż w nie każdym przypadku nawet na pozór skomplikowana i mało czytelna klauzula waloryzacyjna będzie miała charakter niedozwolony.
Sprawy dotyczące kredytów frankowych są sprawami o zapłatę. Treść roszczenia pozwu dotyczy więc zasądzenia od banku określonej kwoty. Nie należy więc formułować żadnych roszczeń o ustalenie.
Można domagać się zapłaty za okres 10 lat wstecz. Zmiany przepisów w zakresie terminów przedawnienia i ich skrócenie do 6 lat, dla konsumentów nie mają znaczenia. Do roszczeń przysługujących konsumentom, które powstały przed dniem wejścia w życie przepisów skracających termin przedawnienia stosuje się przepisy w brzmieniu dotychczasowym.
Wyrok TSUE z dnia 3 października 2019 roku ma dla kredytobiorców istotne znaczenie. Dotychczas największą wątpliwość budziła kwestia skutku wyeliminowania niedozwolonych klauzul waloryzacyjnych. Ścierały się dwa stanowiska. Zgodnie z pierwszym w razie uznania klauzul waloryzacyjnych za niedozwolone sąd krajowy nie miał prawa ingerować w treść umowy i zastępować tej klauzuli jakimikolwiek innymi postanowieniami wynikającymi z przepisów ogólnych, zasad słuszności lub ustalonych zwyczajów. Innymi słowy według tego stanowiska sądy nie mogły ustalać słusznego kursu waluty, do którego waloryzowany byłby kredyt. Oznaczało to, że po eliminacji klauzul niedozwolonych kredyt stawał by się kredytem złotówkowym ale oprocentowanym wg LIBOR. Zgodnie z drugim poglądem sądy krajowe miały prawo ingerować w treść umowy i w razie eliminacji klauzul waloryzacyjnych winny wskazać inny słuszny sposób ustalania kursu waluty. TSUE przesądził, że w realiach polskiego systemu prawnego sądy krajowe nie mogą w żaden sposób zastąpić wyeliminowanych klauzul waloryzacyjnych. Przekładając to na praktykę, sądy będą obecnie ustalać, czy po eliminacji klauzul waloryzacyjnych możliwe jest utrzymanie umowy w oparciu pozostałe postanowienia umowne. Zatem jako kredyt złotowy, oprocentowany według LIBOR z zachowaniem marży banku wskazanej w umowie. W razie braku możliwości dalszego wykonywania umowy, umowa będzie nieważna.
W świetle powyższego po ustaleniu, że umowa kredytu zawiera klauzule niedozwolone należy zastanowić się jaki wariant postępowania będzie możliwy. Jeśli po wyeliminowaniu klauzul niedozwolonych pozostałe postanowienia umowne pozwalają na dalsze wykonywanie umowy, wówczas można dochodzić zwrotu nadpłaty rat kredytu. Wysokość roszczenia stanowi w takim przypadku różnica pomiędzy kwotą którą kredytobiorca zapłacił tytułem rat a kwotą którą zapłaciłby, gdyby z umowy wyeliminowano wadliwe klauzule waloryzacyjne. W innych przypadkach, w razie braku możliwości utrzymania umowy kredytu, umowa jest nieważna.
Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679mz dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) nie wskazują w jaki sposób administrator danych osobowych ma realizować obowiązek informacyjny, o którym mowa w art. 13 i 14 RODO. Wspomniane przepisy wskazują jedynie zakres treściowy klauzul informacyjnych.
Pewne wskazówki co do teko w jaki sposób realizować obowiązek informacyjny odnajdziemy w motywach RODO. Z treści motywu 39 wyłania się generalny zamysł, zgodnie z którym przetwarzanie danych osobowych powinno odbywać się zgodnie z zachowaniem zasady przejrzystości. Wspomniana zasada wymaga zaś, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Motyw 58 ponadto wskazuje, że w stosownych przypadkach informacje mogą być dodatkowo wizualizowane.
Z powyższego wynika, że dla prawidłowego wykonania obowiązku informacyjnego nie zawsze najlepszym rozwiązaniem będzie posłużenie się precyzyjnymi sformułowaniami prawnymi zaczerpniętymi wprost z RODO. Ważny będzie kontekst sytuacyjny, tzn. do adresat komunikatu, w tym jego wiek oraz jego zdolność zrozumienia terminologii prawniczej.
Zakres informacji jakie należy zawrzeć w klauzuli informacyjnej wskazany został w art. 13 i 14 RODO. Jeśli chodzi o sposób w jaki klauzula informacyjna powinna być przekazywana adresatom to poza jednym wyjątkiem RODO również tej kwestii nie wyjaśnia. Wspomniany wyjątek dotyczy momentu przekazania informacji. W przypadku pozyskiwania danych bezpośrednio od osoby, której dotyczą (np. w związku z zakładaniem konta w sklepie internetowym) obowiązek informacyjny powinien być spełniony w chwili pozyskiwania danych. Natomiast jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą (lecz np. pozyskano w związku z nabyciem baz danych lub z jawnych rejestrów) administrator realizuje obowiązek informacyjny:
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Od strony technicznej obowiązek informacyjny może być spełniony w dowolny sposób, w szczególności na piśmie, ustnie, przez telefon lub poprzez opublikowanie na stronie internetowej. Jednakże należy pamiętać, że administrator danych musi być w stanie wykazać, iż obowiązek informacyjny wypełnił w sposób prawidłowy. Zarówno co do zakresu i treści komunikatu jak i chwili jego udostępnienia zainteresowanej osobie i co najistotniejsze, że osoba, której dane dotyczą mogła się z nim rzeczywiście zapoznać. W praktyce prawidłowość sposobu realizacji obowiązku informacyjnego zależy od konkretnego przypadku. W każdym jednak przypadku zainteresowanej osobie należy zapewnić realną możliwość zapoznania się z klauzulą informacyjną. W praktyce może to okazać się problematyczne. Istotę problemu pomoże zobrazować ten prosty przykład. Jeśli administratora danych kieruje swe usługi względem osób starszych, to zamieszczenie klauzuli informacyjnej na stronie internetowej administratora może być niewystarczające a nawet niewłaściwe. Nie każda starsza osoba ma bowiem możliwość i umie korzystać z internetu. W tym przypadku należy wybrać inny sposób realizacji tego obowiązku.
Prawidłowe wykonanie obowiązku informacyjnego jest jednym z ważniejszych jakie obciążają administratora danych. Warto poświęcić mu więc nieco uwagi.
Dziedziczenie firmy, a w zasadzie przedsiębiorstwa przedsiębiorcy prowadzącego jednoosobową działalność gospodarczą nie było dotychczas w żaden sposób uregulowane. W praktyce płynna sukcesja firm rodzinnych nastręczała licznych trudności. Trudne było przede wszystkim zapewnienie dalszego prowadzenia firmy określonej osobie.
W obecnym stanie prawnym jest to prostsze. Od dnia 25 listopada 2018 roku obowiązuje bowiem ustawa o zarządzie sukcesyjnym przedsiębiorstwa osoby fizycznej. Ustawa ta wprowadza instytucję zarządcy sukcesyjnego, którego celem jest tymczasowe zarządzanie przedsiębiorstwem do czasu ustalenia następców prawnych zmarłego. Ponadto ustawa ułatwia kontynuowanie działalności przedsiębiorstwa przez następców prawnych przedsiębiorcy.
W jaki więc sposób wskazana wyżej ustawa ułatwia dziedziczenie firmy? Przede wszystkim zarządca sukcesyjny może obecnie wykonywać prawa i obowiązki z wszystkich umów zawartych przez przedsiębiorcę w zakresie działalności jego przedsiębiorstwa. Z wyłączeniem jednak tych umów, których wykonanie zależy od osobistych przymiotów zmarłego. Dotychczas z chwilą śmierci przedsiębiorcy pojawiały się liczne praktyczne problemy związane z kontynuacją umów a w wielu przypadkach brak było możliwości ich dalszego wykonywania. Ponadto obecnie możliwe jest utrzymania umów o pracę i zapewnienie ciągłości zatrudnienia personelu przedsiębiorstwa do czasu przejęcia go przez następcę prawnego zmarłego przedsiębiorcy. Zupełną nowością jest możliwość wykorzystywania – do czasu prawomocnego przejęcia przedsiębiorstwa przez spadkobierców numeru NIP zmarłego przedsiębiorcy i jego firmy – czyli nazwy przedsiębiorcy. Kolejne ułatwienie wprowadzone przez ustawę polega na umożliwieniu zarządcy sukcesyjnemu wykonywania decyzji dotyczących przedsiębiorstwa. W myśl ustawy są nimi koncesje, zezwolenia, licencje oraz pozwolenia, wydane wobec przedsiębiorcy w formie decyzji organu administracji publicznej, związane z wykonywaną przez niego działalnością gospodarczą. Warunkiem jest spełnienie wszystkich warunków, jakie są wymagane do uzyskania takiej decyzji, określonych w ustawach dotyczących danego rodzaju działalności. W tym miejscu warto zauważyć, że przed wejściem w życie ustawy o zarządzie sukcesyjnym śmierć przedsiębiorcy w wielu przypadkach powodowała wygaśnięcie tych decyzji. Pozostając przy decyzjach wskazać należy, iż równie istotną zmianą jest możliwość przeniesienia wskazanych wyżej decyzji na następców prawnych zmarłego przedsiębiorcy, którzy staną się właścicielami przedsiębiorstwa. Przepisy ustawy nie znajdują jednak zastosowania do decyzji związanych ściśle z osobą przedsiębiorcy. Wreszcie, co istotne zarządca sukcesyjny będzie miał dostęp do rachunków bankowych związanych z działalnością przedsiębiorstwa. Generalnie więc ustanowienie zarządu sukcesyjnego daje spadkobiercom czas na uregulowanie spraw spadkowych przy jednoczesnym zachowaniu ciągłości działania przedsiębiorstwa.
Należy w tym miejscu zaznaczyć, że ustawa rozróżnia dwa tryby ustanowienia zarządu sukcesyjnego. Możliwe jest jego ustanowienie za życia przedsiębiorcy oraz po jego śmierci. Warto zaznaczyć, że ustanowienie zarządcy za życia przedsiębiorcy niesie za sobą wiele wymiernych korzyści. Umożliwia choćby płynne kontynuowanie umów związanych z działalnością przedsiębiorstwa lub umów o pracę. Poza tym jest rozwiązaniem tańszym i mniej sformalizowanym. Pomijając inne kwestie formalne, powołanie zarządcy po śmierci przedsiębiorcy wymaga zachowania formy aktu notarialnego, natomiast powołanie zarządcy za życia przedsiębiorcy jedynie formy pisemnej pod rygorem nieważności.
Sama ustawa rzecz jasna nie powoduje, że z chwilą śmierci firma rodzinna automatycznie przechodzi w ręce spadkobierców. W dalszym ciągu należy zawczasu zadbać o odpowiednie rozwiązania prawne dotyczące dziedziczenia przedsiębiorstwa. Ustawa o zarządzie sukcesyjnym tych kwestii bowiem nie dotyczy. Powołanie zarządcy sukcesyjnego połączone z odpowiednim uregulowaniem następstwa prawnego przedsiębiorstwa, np. poprzez wykorzystanie zapisu windykacyjnego, pozwala na płynną sukcesję przedsiębiorstwa przez osobę wskazaną jeszcze za życia przedsiębiorcy. W tym miejscu należy podkreślić, że przepisy ustawy nie wykluczają powołania na zarządcę sukcesyjnego osoby, która po śmierci przedsiębiorcy stanie się właścicielem przedsiębiorstwa. Takie rozwiązanie jest optymalne i umożliwia najbardziej płynne przejście przedsiębiorstwa w ręce sukcesora.
Jawność Polityki Ochrony Danych Osobowych
Polityka Ochrony Danych Osobowych jako taka nie została uregulowana w żadnym dokumencie. Zakresu informacji, które powinny być w niej zawarte nie wskazuje ani Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO, ani obowiązujące przepisy prawa. Jawność Polityki Ochrony Danych Osobowych również nie została uregulowana przez wspomniane akty. Przede wszystkim nie wskazują czy należy Politykę ujawniać a jeśli tak to w jaki sposób. Zanim jednak zbadamy jawność Polityki Ochrony Danych Osobowych należy pewne kwestie uporządkować i rozróżnić Politykę Ochrony Danych Osobowych od Polityki prywatności i Polityki bezpieczeństwa.
Polityka bezpieczeństwa to dokument, który obowiązywał pod rządami ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. a przewidziany był w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku. Polityka bezpieczeństwa nie została uregulowana w RODO. W praktyce została obecnie zastąpiona przez dokument zwany Polityką Ochrony Danych i spełnia podobne funkcje.
Polityka prywatności to dokument, który nie jest regulowany żadnymi przepisami mimo swej dużej popularności. Można go scharakteryzować jako ogólną informację o tym w jaki sposób przetwarzane są dane osobowe, choć najczęściej polityka prywatności odnosi się do plików cookies. W podobny sposób politykę prywatności, tj. jako politykę przetwarzania danych osobowych, charakteryzował GIODO.
Jest i wreszcie nasza Polityka Ochrony Danych, której kariera rozpoczęła się w dniu 25 maja 2018 roku.
Teraz po kolei. Zasady przetwarzania danych osobowych, czyli coś co by można było określić właśnie jako politykę przetwarzania danych, są jawne. Choć jak wspomniałem brak przepisów, które nakazywały by jej publikowanie w jakikolwiek sposób, lub posiadanie w wyodrębnionym dokumencie. GIODO politykę prywatności określał jako dokument zawierający informację o podstawie prawnej, celu i zakresie przetwarzania danych osobowych a także o prawach osób, których dane dotyczą oraz o ewentualnych podmiotach, którym dane są udostępniane. A więc co do zasady polityka prywatności była dokumentem o charakterze informacyjnym, poprzez który administrator mógł spełnić przynajmniej po części ciążący na nim obowiązek informacyjny. GIODO stał na stanowisku, że dokument ten powinien być ujawniany każdej zainteresowanej osobie a publikowanie tych dokumentów na stronie internetowej administratora uważał wręcz za dobrą praktykę świadczącą o transparentności przetwarzania danych. W mojej ocenie przedstawione wyżej uwagi zachowały w pełni swą aktualność. Stąd też w taki sposób politykę prywatności, w odniesieniu do danych osobowych, należy traktować obecnie.
Natomiast Polityka bezpieczeństwa była dokumentem przeznaczonym wyłącznie dla administratora danych osobowych i nie powinna być nikomu ujawniana. Zawierała ona bowiem informacje o zabezpieczeniach i procedurach wprowadzonych przez administratora w celu ochrony danych. GIODO już wcześniej wskazywał, że dokument ten, podobnie jak instrukcję zarządzania systemem informatycznym, (dokument zawierający informacje o środkach i procedurach bezpieczeństwa przetwarzania danych w systemach informatycznych) powinny być ujawniane tylko tym osobom, którym jest to niezbędne dla realizacji ich obowiązków w związku z przetwarzaniem danych osobowych.
Obecnie wskazane wyżej dokumenty już nie obowiązują, co oczywiście nie oznacza, że administrator został zwolniony z obowiązku posiadania dokumentacji dotyczącej środków bezpieczeństwa i procedur w zakresie ochrony danych osobowych. W praktyce wskazane wyżej informacje są obecnie zawierane w załącznikach lub regulaminach, wydawanych na podstawie polityki ochrony danych osobowych lub nawet zawierane w treści samej polityki ochrony danych. Tak oto dochodzimy do sedna sprawy. Jeżeli administrator danych zawarł w swej polityce ochrony danych zbiorczo informacje o celu, zakresie, podstawie prawnej przetwarzania oraz sposobie realizacji praw przysługujących osobie, której dane są przetwarzane a ponadto zawarł w tej polityce procedury bezpieczeństwa i opisał sposoby zabezpieczeń danych to taka polityka z pewnością nie będzie mogła być udostępniana osobom trzecim. Można spotkać się z różna praktyką w tym zakresie. Bez problemu można odnaleźć w internecie polityki publikowane na stronach internetowych administratorów w których zawarte są procedury bezpieczeństwa (np. polityki czystych biurek, czy zarządzania incydentami). Taka praktyka jest jednak niewłaściwa.
Co więc ma zrobić administrator posiadający taką zbiorczą politykę ochrony danych osobowych? Nic. Jak wspomniałem nie musi on takiej polityki publikować, a jeżeli zawiera ona procedury bezpieczeństwa przetwarzania, to nawet nie powinien tego robić. Należy pamiętać, że de facto jawność polityki przetwarzania danych osobowych służyć ma jednemu celowi. Mianowicie poinformowaniu osób, których dane przetwarza administrator o celu, podstawie prawnej i zakresie przetwarzania danych. Tak więc de facto w jakiejś mierze służy wypełnieniu obowiązku informacyjnego administratora wynikającego z art. 13 i 14 RODO. Stąd też zamiast publikować polityki prywatności lub zastanawiać się nad możliwością opublikowania polityki ochrony danych, bezpieczniejszym rozwiązaniem jest opublikowanie klauzuli informacyjnej zawierającej informacje wskazane w art. 13 i 14 RODO.
Rozwiązanie to jest o tyle praktyczne, że w ten sposób realizujemy obowiązek administratora przy jednoczesnym uniknięciu wątpliwości co do tego, czy nie ujawniamy zbyt szerokiego zakresu informacji.
O tym jak realizować obowiązek informacyjny możesz przeczytać tutaj.
Podstawą udzielenia pacjentowi jakichkolwiek świadczeń zdrowotnych jest jego uprzednia zgoda. Jednak by była ona udzielona skutecznie lekarz musi w sposób prawidłowy wykonać ciążący na nim ustawowy obowiązek informacyjny. Zgoda musi być bowiem ‚uświadomiona’. Samo wyrażenie przez pacjenta aprobaty na dokonanie zabiegu, choćby wyraźne, lecz nie poprzedzone udzieleniem mu przystępnej i wyczerpującej informacji nie stanowi zgody w rozumieniu art. 32 ust. 1 i art. 34 ust. 1 ustawy z dnia 5 grudnia 1996 roku o zawodzie lekarza i dentysty (dalej uzld). Prawidłowe wykonanie obowiązku informacyjnego ma zatem fundamentalne znaczenie w procesie leczniczym, gdyż warunkuje skuteczne udzielenie przez pacjenta zgody na zabieg lub inne świadczenia zdrowotne.
Prawidłowo wyrażona zgoda uchyla bezprawność działań podjętych przez lekarza i przenosi ryzyko zabiegu na pacjenta. Należy bowiem pamiętać, że zgodnie z treścią art. 192 § 1 kodeksu karnego „Kto wykonuje zabieg leczniczy bez zgody pacjenta, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2″. Co istotne już samo podjęcie czynności przez lekarza bez wymaganej zgody stanowi przestępstwo, bez względu na skutki samego zabiegu oraz to czy zabieg wykonany został zgodnie z zasadami sztuki lekarskiej.
Ponadto w razie prawidłowego wykonania obowiązku informacyjnego wobec pacjenta lekarz nie ponosi odpowiedzialności za przypadkowe i niezawinione, niekorzystne następstwa zabiegu (ryzyko tych następstw ponosi pacjent). W tym miejscu należy wyraźnie zaznaczyć, że w przypadku braku zgody lub jej wadliwości lekarz ponosi odpowiedzialność za wszelkie niekorzystne skutki zabiegu, w tym za zwykłe powikłania, choćby sam zabieg wykonany był zgodnie z zasadami sztuki lekarskiej. Nie ulega więc wątpliwości, że do realizacji obowiązku informacyjnego lekarze powinni podchodzić ze szczególną uwagą.
Zgoda uświadomiona to zgoda wyrażona w oparciu o przystępną, rzetelną i wyczerpującą informację. Zgodnie z treścią art. 31 ust. 1 uzld „Lekarz ma obowiązek udzielać pacjentowi lub jego ustawowemu przedstawicielowi przystępnej informacji o jego stanie zdrowia, rozpoznaniu, proponowanych oraz możliwych metodach diagnostycznych, leczniczych, dających się przewidzieć następstwach ich zastosowania albo zaniechania, wynikach leczenia oraz rokowaniu”.
Z jednej strony podany przez ustawodawcę zakres obowiązku informacyjnego wydaje się być jasny i wyczerpujący. Jednakże w praktyce mogą powstać wątpliwości w jakim zakresie i w jaki sposób wskazane wyżej informacje powinny być pacjentowi przekazywane by mogły być uznane za przystępne i spełniającą ustawowe kryteria. Bardzo dobrze zakres obowiązku informacyjnego wyjaśnił Sąd Najwyższy w uzasadnieniu wyroku z dnia 28 września 1999 roku, sygn. II CKN 511/96. Sąd Najwyższy wskazał, że prawidłowo udzielona informacja powinna dać pacjentowi wiedzę która pozwoli mu „podjąć decyzję o wyrażeniu zgody na zabieg z pełną świadomością tego, na co się godzi i czego może się spodziewać. Lekarz powinien, zatem poinformować pacjenta o rodzaju i celu zabiegu oraz o wszystkich jego następstwach, które są zwykle skutkiem zabiegu, to jest pożądanych – ze względu na jego cel – skutkach zabiegu jak i o innych jego skutkach (tzw. skutkach ubocznych). Informacja powinna w szczególności obejmować te dające się przewidzieć możliwe następstwa zabiegu, zwłaszcza, jeżeli są to następstwa polegające na znacznym i istotnym uszczerbku zdrowia, które – jako skutek uboczny – wprawdzie występują rzadko lub bardzo rzadko, ale nie można ich wykluczyć, i powinna określać stopień prawdopodobieństwa ich wystąpienia. W tym wypadku nie można jednakże wymagać, by informacja wymieniała wszystkie możliwe objawy następstw zabiegu i zawierała ich opis. Wystarczające jest ogólne określenie rodzaju możliwych następstw zabiegu oraz wskazanie, czy zagrażają życiu pacjenta ewentualnie, jaki mogą mieć wpływ (doniosłość) na prawidłowe funkcjonowanie organizmu”. Tak więc lekarz nie ma obowiązku informowania pacjenta o następstwach, które mogą wystąpić ale prawdopodobieństwo ich wystąpienia jest hipotetyczne lub możliwe w sytuacjach nadzwyczajnych. Ponadto zakres informacji przekazywanych pacjentowi powinien być poszerzony o te mające znaczenie dla pacjenta ze względu na posiadane przez niego kwalifikacje zawodowe lub wykonywany zawód.
Wreszcie pacjent powinie być powiadomiony o tym, że może odmówić poddania się zabiegowi lub innej procedurze medycznej oraz o konsekwencjach płynących z takiej decyzji, w szczególności o zagrożeniach dla zdrowia lub życia. W tym przypadku lekarze powinni podchodzić do obowiązku informacyjnego szczególnie sumiennie i upewnić się, że pacjent ma pełną świadomość wszystkich negatywnych konsekwencji swej decyzji o rezygnacji z zabiegu lub innego świadczenia zdrowotnego.
Lekarz powinien poinformować pacjenta również o istniejących alternatywnych metodach leczenia. Wybór metody należy do pacjenta i wyborem tym lekarz jest związany choćby uważał, że zastosowanie pozostałych metod jest bardziej wskazane lub skuteczne. Lekarz powinien jednak omówić wszystkie metody ich skuteczność oraz następstwa. Następnie zaproponować tę, która jego zdaniem jest najbardziej wskazana i wybór swój dokładnie uzasadnić. Należy w tym miejscu wyraźnie zaznaczyć, że lekarz powinien poinformować pacjenta o wszystkich metodach leczenia dostępnych w kraju, a nie tylko o tych świadczonych przez placówkę, w której pacjent jest leczony. Lekarz nie powinien przy tym ograniczać się do metod finansowanych ze środków publicznych. Pacjent powinien także wiedzieć o metodach dostępnych jedynie w sektorze prywatnym. W szczególnych sytuacjach, zwłaszcza w rzadkich, skomplikowanych przypadkach, lekarz powinien poinformować pacjenta także o metodach leczenia dostępnych za granicą. Obowiązek informowania o alternatywnych metodach leczenia nie obejmuje jednak metod uznanych przez naukę za szkodliwe, bezwartościowe lub nie zweryfikowanych naukowo. Na marginesie zaznaczam, że zgodnie z art. 57 Kodeksu Etyki Lekarskiej lekarzowi nie wolno się posługiwać takimi metodami. Obowiązek informacyjny dotyczy także sposobu przyjmowania leków, ich skuteczności, skutków ubocznych i interakcji z innymi lekami lub preparatami. Rola lekarza w tym zakresie jest duża, gdyż instrukcje leków pisane są często językiem fachowym, nieprzystępnym dla przeciętnej osoby a zwłaszcza ludzi starszych.
Jak wynika z treści art. 31 ust. 1 uzld informacja powinna być przystępna. Trzeba ją więc dostosować do wieku, stanu zdrowia i możliwości intelektualnych pacjenta. Posługiwanie się przez lekarza terminologią fachową lub zaczerpniętą wprost z łaciny z pewnością przyczyni się do precyzji udzielanych wyjaśnień ale będzie zupełnie niezrozumiałe dla większości pacjentów. Lekarz powinien więc wybadać jakie są możliwości przyswajania treści werbalnych przez pacjenta i odpowiednio dostosować sposób przekazywania informacji tak by były one dla danego pacjenta w pełni zrozumiałe i jasne.
Ciężar dowodu wykonania ustawowego obowiązku udzielenia pacjentowi lub jego ustawowemu przedstawicielowi przystępnej informacji poprzedzającej wyrażenie zgody na zabieg operacyjny spoczywa na lekarzu.
Przepisy prawa nie nakładają żadnych wymogów co do formy w jakiej powinna zostać udzielona informacja. W interesie lekarzy powinna być ona sporządzona na piśmie i taka też jest praktyka. Pamiętać bowiem należy, że ciężar dowodu wykonania obowiązku udzielenia pacjentowi lub jego ustawowemu przedstawicielowi przystępnej informacji poprzedzającej wyrażenie zgody na zabieg operacyjny spoczywa na lekarzu. Stąd lekarze powinni pamiętać o odnotowaniu w dokumentacji medycznej faktu poinformowania pacjenta. Wskazany wyżej sposób informowania pacjenta przy wszystkich swoich zaletach ma jedną zasadniczą wadę. Istnieje ryzyko, że mimo obszernej treści informacji zawartych na dokumencie przekazanym pacjentowi nie wszystkie wątpliwości pacjenta zostaną rozwiane. Stąd optymalnym rozwiązaniem jest uzupełnienie informacji pisemnej przez osobiste wyjaśnienia lekarza. Dotyczy to zwłaszcza zabiegów bardziej skomplikowanych, o podwyższonym ryzyku. W przypadku takich zabiegów poprzestanie na informacji pisemnej jest absolutnie niewystarczające. Lekarze nie powinni przy tym czekać na pytania ze strony pacjentów lecz powinni sami inicjować proces informacyjny. Pacjenci to zazwyczaj osoby nie mające wiedzy i świadomości medycznej, stąd mogą one nie dostrzegać powagi sytuacji i zagadnień dla nich istotnych, o które powinni zapytać.
Lekarz jest zobowiązany przekazać informacje pacjentowi pełnoletniemu oraz pacjentowi, który ukończył 16 lat. Pacjentowi, który nie ukończył 16 lat, lekarz udziela informacji w zakresie i formie potrzebnej do prawidłowego przebiegu procesu diagnostycznego lub terapeutycznego i wysłuchuje jego zdania.
Warto pamiętać, że lekarz może udzielić informacji o stanie zdrowia i leczeniu innym osobom jedynie za zgodą pacjenta lub jego przedstawiciela ustawowego. Pokrewieństwo lub pozostawanie z pacjentem we wspólnym pożyciu nie jest wystarczające do udzielenia informacji o stanie zdrowia pacjenta lub o procesie jego leczenia jeśli pacjent nie wyraził na to zgody.
Obowiązek prawidłowego informowania pacjenta o stanie zdrowia wynika również z Kodeksu Etyki Lekarskiej (KEL). Stosownie do art. 13 ust. 1 KEL „Obowiązkiem lekarza jest respektowanie prawa pacjenta do świadomego udziału w podejmowaniu decyzji dotyczących jego zdrowia”. W dalszej części wspomnianego art. 13 KEL wskazuje się, że informacja udzielona pacjentowi powinna być sformułowana w sposób dla niego zrozumiały a lekarz powinien poinformować pacjenta o stopniu ewentualnego ryzyka zabiegów diagnostycznych i leczniczych i spodziewanych korzyściach związanych z wykonywaniem tych zabiegów, a także o możliwościach zastosowania innego postępowania medycznego.
Naruszenie obowiązku informacyjnego może tym samym stanowić nie tylko naruszenie praw pacjenta, a zwłaszcza prawa do informacji wskazanego w art. 9 ustawy z dnia 6 listopada 2008 roku o prawach pacjenta i rzeczniku praw pacjenta, lecz także zasad etyki lekarskiej. Natomiast zgodnie z art. 53 ustawy z dnia 2 grudnia 2009 roku o izbach lekarskich naruszenie przez lekarza zasad etyki lekarskiej stanowi podstawę do pociągnięcia go do odpowiedzialności zawodowej.
Lekarze przed podpisaniem umowy o świadczenie usług medycznych (kontrakty lekarskie) powinni zwrócić uwagę na kilka kwestii. Na wstępie należy wyjaśnić, że lekarz może być zatrudniony na podstawie umowy o pracę lub umowy cywilnej (umowa zlecenia, umowa o dzieło). Uwagi zawarte poniżej dotyczyć będą umowy cywilnej.
[Przedmiot umowy]
Po pierwsze kontraktu lekarskiego lekarz powinien zwrócić uwagę na przedmiot umowy. Praktyka bywa różna i niekiedy temu fragmentowi umowy poświęcane jest mniej uwagi, bo z pozoru sprawa jest oczywista – lekarz ma leczyć pacjentów. Podejście takie jest niesłuszne. Prawidłowe określenie przedmiotu umowy jest niezwykle istotne z kilku względów. Po pierwsze umowy z lekarzami zazwyczaj zawierają postanowienia dotyczące kar umownych, wśród których bardzo często można spotkać zapis stanowiący o tym, że podmiot zawierający z lekarzem umowę może domagać się od niego kar umownych za niewykonanie lub nienależyte wykonanie umowy. I tu pojawia się sedno problemu. Jeżeli lekarz do końca nie wie jaki jest zakres jego obowiązków to może mieć on problem by skutecznie bronić się przed zarzutami nieprawidłowego ich wykonania. Poza tym w przypadku nieprecyzyjnego określenia przedmiotu umowy może okazać się, że obie strony rozumieją go w sposób odmienny a to gotowa recepta na nieporozumienia i przyszłe spory. Tak więc nie dopilnowując precyzyjnego określenia przedmiotu umowy lekarz naraża się na poważne konsekwencje, także finansowe, i spór z pracodawcą.
Często spotykanym błędem jest określanie przedmiotu umowy przy użyciu terminów nieznanych ustawom (np. usługi medyczne, świadczenia lekarskie, usługi lekarskie) przy jednoczesnym braku wyjaśnienia w umowie jaki jest ich zakres pojęciowy. Należy tego unikać. Zalecane jest określanie przedmiotu umowy przy pomocy terminów posiadających swą definicję legalną określoną ustawie (jak np. ‚świadczenia zdrowotne’ zdefiniowane w ustawie o działalności leczniczej), z jednoczesnym odwołaniem do tej ustawy. Jeśli strony jednak zechcą posłużyć się terminem nie znanym ustawie to zalecane jest jego zdefiniowanie w samej umowie.
Doprecyzowanie przedmiotu umowy powinno zostać dokonane poprzez określenie obowiązków lekarza. W tym przypadku zaleca się by katalog tych obowiązków był wyczerpujący i zamknięty. Należy więc unikać zwrotów takich jak np. ‚do obowiązków lekarza należy w szczególności…’, ‚obowiązki lekarza obejmują między innymi…’.
Spotykanym rozwiązaniem jest przenoszenie zapisów dotyczących obowiązków lekarza oraz harmonogramu i czasu jego pracy do załączników do umowy. Na pierwszy rzut oka rozwiązanie takie wydaje się logiczne i praktyczne. Może ono jednak okazać się dla lekarza bardzo niebezpieczne w sytuacji, w której umowa nie wskazuje jaki jest status tych załączników. W razie braku odpowiednich zapisów umownych może powstać wątpliwość, czy podmiot zawierający z lekarzem umowę musi uzyskać jego zgodę na zmianę treści tych załączników, czy też nie. W skrajnych przypadkach może okazać się, że podmiot ten jest uprawniony do jednostronnej zmiany ich treści. Dobrze skonstruowana umowa nie pozostawia w tej materii żadnych wątpliwości i nie dopuszcza do jakichkolwiek jednostronnych ingerencji w treść umowy i załączników do niej.
[harmonogram i czas pracy]
Kolejnym zapisem, na który należy zwracać uwagę jest ten regulujący czas pracy lekarza. Z umowy powinno jasno wynikać w jakim wymiarze czasu lekarz jest zatrudniony. W przypadku, gdy do obowiązków lekarza należy również pełnienie dyżurów umowa powinna dokładnie określić jego ramy czasowe, powinna także wyjaśniać czy w dniu zejścia z dyżuru ma również świadczyć usługi. Warto zadbać, by lekarz miał realny i wiążący wpływ na kształtowanie harmonogramu pracy, zwłaszcza jeśli chodzi o dyżury.
Często w umowach na lekarzy nakładany jest obowiązek odbywania różnych szkoleń, np. szkoleń bhp, ppoż itp. a także wykonywania określonych badań okresowych. W takim przypadku umowa powinna precyzyjnie wskazywać kto ponosi ich koszt oraz czy czas, w którym lekarz odbywa te szkolenia i badania wliczany jest w przewidzianą w umowie przerwę w świadczeniu usług (urlop).
W zakresie urlopów umowa cywilna nie zapewnia dobrodziejstw przewidzianych kodeksem pracy. Stąd warto zadbać o możliwość wzięcia tzw. urlopu na żądanie bez konieczności podawania przyczyny i uprzedzania pracodawcy.
[działalność konkurencyjna, zatrudnienie w innych szpitalach/podmiotach]
Istotne jest również zawarcie w umowie precyzyjnych zapisów regulujących działalność konkurencyjną lekarza. W szczególności umowa powinna jasno określać jaka działalność, w jakich godzinach i wobec jakich podmiotów traktowana będzie za działalność konkurencyjną. Samo zdawkowe zezwolenie na zatrudnienie u innych podmiotów nie daje lekarzom satysfakcjonującej ochrony. Powinni oni dopilnować, by interesujący ich rodzaj działalności (np. dyżury, zatrudnienie w poradni, praca w innym podmiocie w tym samym mieście) nie był traktowany jako działalność konkurencyjna.
[kary umowne]
Kary umowne tradycyjnie budzą największe emocje i zainteresowanie stron. Są one przewiedziane prawem, stąd nie można czynić zarzutu szpitalom, że wprowadzają je do umowy. Jednakże można i należy dopilnować by przypadki, w których lekarz może zostać nimi obciążony były precyzyjnie opisane i dotyczyły zawinionego działania lub zaniechania lekarza. Generalnie chodzi o wyeliminowanie z umowy zapisów pozostawiających pracodawcy swobodę uznania co do tego czy zaszły przypadki uzasadniające naliczenie kar umownych. Z tego właśnie względu tak istotne jest precyzyjne określenie przedmiotu umowy i obowiązków stron.
W niniejszym wpisie poruszono jedynie zarys problematyki związanej z konstruowaniem umów o świadczenie usług w zakresie świadczeń zdrowotnych. Kwestii, na które należy zwrócić uwagę jest wiele. Poza tym mimo podobieństw umowy zawierane z lekarzami różnią się w indywidualnych przypadkach. Stąd nie sposób wyczerpać poruszonej problematyki w jednym wpisie. Przed zawarciem umowy warto więc skonsultować jej zapisy z prawnikiem co pozwoli uniknąć wielu problemów.
Inspektor Ochrony Danych
We wcześniejszym wpisie (link tutaj) poświęconym zmianom, które wprowadzone zostaną przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „RODO” poruszyłem kwestię oceny skutków przetwarzania dla ochrony danych osobowych. W tym wpisie przybliżę instytucję IOD (Inspektor Ochrony Danych), która zastąpi administratora bezpieczeństwa informacji i administratora systemów informatycznych.
Co do zasady wyznaczenie IOD będzie fakultatywne. Niemniej jednak administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (dane wrażliwe), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
W tym miejscu należy zwrócić uwagę, że zgodnie z treścią art. 37 ust. 4 RODO przepisy prawa Unii Europejskiej lub prawa państwa członkowskiego będą mogły wprowadzić wymóg wyznaczenia IOD przez inne podmioty. Zatem polski ustawodawca może rozszerzyć wskazany wyżej katalog zawierający przesłanki obligatoryjnego wyznaczenia IOD.
Pomimo, iż RODO podaje wyczerpujący katalog przesłanek obligatoryjnego wyznaczenia IOD, to jednak ustalenie kręgu podmiotów objętych tym obowiązkiem może okazać się problematyczne. Wynika to z zastosowania pojęć nieostrych takich jak ‚główna działalność’ i ‚duża skala’, które nie zostały wyjaśnione w RODO. Pewne wytyczne w tym zakresie przekazane zostały przez tzw. Grupę Roboczą art. 29 (niezależny podmiot o charakterze doradczym, powołany na podstawie art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych).
W zakresie pojęcia ‚główna działalność’ odwołano się do treści motywu 97 RODO, zgodnie z którym: „W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności.”. Przy tym pojęcie to nie może być interpretowane wąsko. Zatem główna działalność obejmuje kluczowe czynności konieczne dla osiągnięcia celów administratora lub podmiotu przetwarzającego na zlecenie. Np. w przypadku ubezpieczycieli lub multiagentów ubezpieczeniowych głównym celem jest świadczenie usług w zakresie ubezpieczenia. Niemniej wiąże się to nierozerwalnie z przetwarzaniem danych osobowych. Wystawienie polisy nie jest bowiem możliwe bez przetwarzania danych osobowych. Przetwarzanie danych zostanie więc uznane za główną działalność jeśli nierozłącznie wiąże się z główną działalnością podmiotu.
Natomiast korzystanie z usług IT czy obsługa własnych pracowników (wypłacanie wynagrodzenia, opłacanie ZUS, prowadzenie dokumentacji pracowniczej itp.) mimo że bardzo istotne, uznane zostało za działalność pomocniczą dla organizacji i prowadzenia głównej działalności.
Definiując pojęcie ‚dużej skali’ odwołano się do treści motywu 91 RODO. Zgodnie z tym motywem o dużej skali mówimy, w przypadku „znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko”. Oceniając czy zachodzi duża skala przetwarzania danych należy rozważyć następujące czynniki:
- liczbę podmiotów danych, których dotyczy przetwarzanie (określoną liczbę lub proporcję populacji do której odnosi się przetwarzanie danych);
- zakres danych lub zakres różnych elementów danych przetwarzanych;
- okres przetwarzania danych lub trwałość ich przetwarzania;
- geograficzny zasięg czynności przetwarzania.
Jako przykład przetwarzania danych na dużą skalę wskazano min. przetwarzanie danych osobowych przez szpital w ramach prowadzonej działalności, banki, ubezpieczycieli oraz dostawców usług telefonicznych lub internetowych. Można zatem przyjąć, że z dużą skalą przetwarzania danych mamy do czynienia w sytuacji, gdy przetwarzana jest duża ilość danych osobowych, w sposób ciągły lub cykliczny, w kilku miejscach lub na większym obszarze.
Znacznej zmianie uległ również zakres obowiązków IOD. Zadania IOD obejmują:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania przepisów RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Inspektor Ochrony Danych nie jest już podmiotem przejmującym obowiązki administratora w zakresie bezpieczeństwa przetwarzania danych. RODO ukształtowało IOD jako podmiot doradczy o szczególnej pozycji. Przejawia się to między innymi w obowiązku administratora danych osobowych zapewnienia IOD zasobów niezbędnych nie tylko do wykonania zadań przez IOD lecz również do utrzymania jego wiedzy fachowej. Ponadto administrator danych oraz podmiot przetwarzający muszą zapewniać, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Przepisy RODO zapewniają IOD znaczną niezależność. Po pierwsze w związku z wypełnianiem swych zadań IOD nie może otrzymywać żadnych instrukcji. Po drugie, za wypełnianie swych zadań IOD nie może zostać odwołany ani ukarany.
RODO wprowadza nowe wymogi, którym musi sprostać Inspektor Ochrony Danych takie jak kwalifikacje zawodowe, a w szczególności wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań nałożonych przez RODO.
Kolejną zmianą, z pewnością korzystną dla przedsiębiorców, będzie możliwość wyznaczenia przez grupę przedsiębiorstw jednego IOD. Jednakże wyznaczenie jednego IOD przez grupę przedsiębiorstw będzie możliwe, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „RODO” wprowadza szereg zmian w zakresie bezpieczeństwa przetwarzania danych osobowych.
Jedną z najistotniejszych zmian w stosunku do obowiązujących przepisów i koncepcji ochrony danych osobowych jest wprowadzenie obowiązku przeprowadzenia przed przystąpieniem do przetwarzania danych oceny skutków przetwarzania dla ochrony danych.
Zgodnie z treścią art. 35 ust. 1 RODO „jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”. RODO wskazuje jedynie kilka przypadków obligatoryjnego stosowania oceny. Przy tym jest to katalog otwarty. Zgodnie z RODO ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku:
- systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- przetwarzania na dużą skalę szczególnych kategorii danych osobowych wrażliwych (pochodzenie rasowe, etniczne, poglądy, wyznanie, dane dotyczące zdrowia itp.) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
- systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Z treści RODO wynika zatem, że nie w każdym przypadku dokonanie oceny będzie konieczne. Kryterium stanowić będzie duże prawdopodobieństwo spowodowania ryzyka naruszenia praw lub wolności osób fizycznych. Każdy administrator przed planowanym przetwarzaniem danych będzie musiał sam ocenić czy ono występuje.
RODO nie wskazuje jak dokładnie ma przebiegać ocena. W treści motywu 84 RODO stwierdzono, iż ocena skutków przetwarzania danych osobowych ma na celu oszacowanie w szczególności źródła, charakteru, specyfiki i powagi ryzyka naruszenia praw lub wolności osób fizycznych związanego z przetwarzaniem danych osobowych. Natomiast w myśl motywu 90 RODO ‚ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie niniejszego rozporządzenia’.
Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony. Jeżeli zaś chodzi o treść oceny to przepisy rozporządzenia wskazują jej niezbędne elementy. Ocena skutków przetwarzania obligatoryjne zawiera co najmniej:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz
- środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Zgodnie z treścią art. 36 ust. 1 RODO jeżeli ocena skutków przetwarzania dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Zatem jeżeli okaże się, że brak jest środków pozwalających na zminimalizowanie zidentyfikowanego ryzyka to przed przystąpieniem do przetwarzania danych konieczna będzie konsultacja z organem nadzorczym.
Należy mieć świadomość, że w trakcie przetwarzania danych może zajść konieczność aktualizacji oceny ryzyka. W dynamicznych lub często zmieniających się operacjach przetwarzania danych aktualizacja oceny skutków przetwarzania może okazać się konieczna dla rzeczywistego zapewnienia należytej ochrony przetwarzania danych.