Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679mz dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) nie wskazują w jaki sposób administrator danych osobowych ma realizować obowiązek informacyjny, o którym mowa w art. 13 i 14 RODO. Wspomniane przepisy wskazują jedynie zakres treściowy klauzul informacyjnych.
Pewne wskazówki co do teko w jaki sposób realizować obowiązek informacyjny odnajdziemy w motywach RODO. Z treści motywu 39 wyłania się generalny zamysł, zgodnie z którym przetwarzanie danych osobowych powinno odbywać się zgodnie z zachowaniem zasady przejrzystości. Wspomniana zasada wymaga zaś, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Motyw 58 ponadto wskazuje, że w stosownych przypadkach informacje mogą być dodatkowo wizualizowane.
Z powyższego wynika, że dla prawidłowego wykonania obowiązku informacyjnego nie zawsze najlepszym rozwiązaniem będzie posłużenie się precyzyjnymi sformułowaniami prawnymi zaczerpniętymi wprost z RODO. Ważny będzie kontekst sytuacyjny, tzn. do adresat komunikatu, w tym jego wiek oraz jego zdolność zrozumienia terminologii prawniczej.
Zakres informacji jakie należy zawrzeć w klauzuli informacyjnej wskazany został w art. 13 i 14 RODO. Jeśli chodzi o sposób w jaki klauzula informacyjna powinna być przekazywana adresatom to poza jednym wyjątkiem RODO również tej kwestii nie wyjaśnia. Wspomniany wyjątek dotyczy momentu przekazania informacji. W przypadku pozyskiwania danych bezpośrednio od osoby, której dotyczą (np. w związku z zakładaniem konta w sklepie internetowym) obowiązek informacyjny powinien być spełniony w chwili pozyskiwania danych. Natomiast jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą (lecz np. pozyskano w związku z nabyciem baz danych lub z jawnych rejestrów) administrator realizuje obowiązek informacyjny:
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Od strony technicznej obowiązek informacyjny może być spełniony w dowolny sposób, w szczególności na piśmie, ustnie, przez telefon lub poprzez opublikowanie na stronie internetowej. Jednakże należy pamiętać, że administrator danych musi być w stanie wykazać, iż obowiązek informacyjny wypełnił w sposób prawidłowy. Zarówno co do zakresu i treści komunikatu jak i chwili jego udostępnienia zainteresowanej osobie i co najistotniejsze, że osoba, której dane dotyczą mogła się z nim rzeczywiście zapoznać. W praktyce prawidłowość sposobu realizacji obowiązku informacyjnego zależy od konkretnego przypadku. W każdym jednak przypadku zainteresowanej osobie należy zapewnić realną możliwość zapoznania się z klauzulą informacyjną. W praktyce może to okazać się problematyczne. Istotę problemu pomoże zobrazować ten prosty przykład. Jeśli administratora danych kieruje swe usługi względem osób starszych, to zamieszczenie klauzuli informacyjnej na stronie internetowej administratora może być niewystarczające a nawet niewłaściwe. Nie każda starsza osoba ma bowiem możliwość i umie korzystać z internetu. W tym przypadku należy wybrać inny sposób realizacji tego obowiązku.
Prawidłowe wykonanie obowiązku informacyjnego jest jednym z ważniejszych jakie obciążają administratora danych. Warto poświęcić mu więc nieco uwagi.
Jawność Polityki Ochrony Danych Osobowych
Polityka Ochrony Danych Osobowych jako taka nie została uregulowana w żadnym dokumencie. Zakresu informacji, które powinny być w niej zawarte nie wskazuje ani Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO, ani obowiązujące przepisy prawa. Jawność Polityki Ochrony Danych Osobowych również nie została uregulowana przez wspomniane akty. Przede wszystkim nie wskazują czy należy Politykę ujawniać a jeśli tak to w jaki sposób. Zanim jednak zbadamy jawność Polityki Ochrony Danych Osobowych należy pewne kwestie uporządkować i rozróżnić Politykę Ochrony Danych Osobowych od Polityki prywatności i Polityki bezpieczeństwa.
Polityka bezpieczeństwa to dokument, który obowiązywał pod rządami ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. a przewidziany był w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku. Polityka bezpieczeństwa nie została uregulowana w RODO. W praktyce została obecnie zastąpiona przez dokument zwany Polityką Ochrony Danych i spełnia podobne funkcje.
Polityka prywatności to dokument, który nie jest regulowany żadnymi przepisami mimo swej dużej popularności. Można go scharakteryzować jako ogólną informację o tym w jaki sposób przetwarzane są dane osobowe, choć najczęściej polityka prywatności odnosi się do plików cookies. W podobny sposób politykę prywatności, tj. jako politykę przetwarzania danych osobowych, charakteryzował GIODO.
Jest i wreszcie nasza Polityka Ochrony Danych, której kariera rozpoczęła się w dniu 25 maja 2018 roku.
Teraz po kolei. Zasady przetwarzania danych osobowych, czyli coś co by można było określić właśnie jako politykę przetwarzania danych, są jawne. Choć jak wspomniałem brak przepisów, które nakazywały by jej publikowanie w jakikolwiek sposób, lub posiadanie w wyodrębnionym dokumencie. GIODO politykę prywatności określał jako dokument zawierający informację o podstawie prawnej, celu i zakresie przetwarzania danych osobowych a także o prawach osób, których dane dotyczą oraz o ewentualnych podmiotach, którym dane są udostępniane. A więc co do zasady polityka prywatności była dokumentem o charakterze informacyjnym, poprzez który administrator mógł spełnić przynajmniej po części ciążący na nim obowiązek informacyjny. GIODO stał na stanowisku, że dokument ten powinien być ujawniany każdej zainteresowanej osobie a publikowanie tych dokumentów na stronie internetowej administratora uważał wręcz za dobrą praktykę świadczącą o transparentności przetwarzania danych. W mojej ocenie przedstawione wyżej uwagi zachowały w pełni swą aktualność. Stąd też w taki sposób politykę prywatności, w odniesieniu do danych osobowych, należy traktować obecnie.
Natomiast Polityka bezpieczeństwa była dokumentem przeznaczonym wyłącznie dla administratora danych osobowych i nie powinna być nikomu ujawniana. Zawierała ona bowiem informacje o zabezpieczeniach i procedurach wprowadzonych przez administratora w celu ochrony danych. GIODO już wcześniej wskazywał, że dokument ten, podobnie jak instrukcję zarządzania systemem informatycznym, (dokument zawierający informacje o środkach i procedurach bezpieczeństwa przetwarzania danych w systemach informatycznych) powinny być ujawniane tylko tym osobom, którym jest to niezbędne dla realizacji ich obowiązków w związku z przetwarzaniem danych osobowych.
Obecnie wskazane wyżej dokumenty już nie obowiązują, co oczywiście nie oznacza, że administrator został zwolniony z obowiązku posiadania dokumentacji dotyczącej środków bezpieczeństwa i procedur w zakresie ochrony danych osobowych. W praktyce wskazane wyżej informacje są obecnie zawierane w załącznikach lub regulaminach, wydawanych na podstawie polityki ochrony danych osobowych lub nawet zawierane w treści samej polityki ochrony danych. Tak oto dochodzimy do sedna sprawy. Jeżeli administrator danych zawarł w swej polityce ochrony danych zbiorczo informacje o celu, zakresie, podstawie prawnej przetwarzania oraz sposobie realizacji praw przysługujących osobie, której dane są przetwarzane a ponadto zawarł w tej polityce procedury bezpieczeństwa i opisał sposoby zabezpieczeń danych to taka polityka z pewnością nie będzie mogła być udostępniana osobom trzecim. Można spotkać się z różna praktyką w tym zakresie. Bez problemu można odnaleźć w internecie polityki publikowane na stronach internetowych administratorów w których zawarte są procedury bezpieczeństwa (np. polityki czystych biurek, czy zarządzania incydentami). Taka praktyka jest jednak niewłaściwa.
Co więc ma zrobić administrator posiadający taką zbiorczą politykę ochrony danych osobowych? Nic. Jak wspomniałem nie musi on takiej polityki publikować, a jeżeli zawiera ona procedury bezpieczeństwa przetwarzania, to nawet nie powinien tego robić. Należy pamiętać, że de facto jawność polityki przetwarzania danych osobowych służyć ma jednemu celowi. Mianowicie poinformowaniu osób, których dane przetwarza administrator o celu, podstawie prawnej i zakresie przetwarzania danych. Tak więc de facto w jakiejś mierze służy wypełnieniu obowiązku informacyjnego administratora wynikającego z art. 13 i 14 RODO. Stąd też zamiast publikować polityki prywatności lub zastanawiać się nad możliwością opublikowania polityki ochrony danych, bezpieczniejszym rozwiązaniem jest opublikowanie klauzuli informacyjnej zawierającej informacje wskazane w art. 13 i 14 RODO.
Rozwiązanie to jest o tyle praktyczne, że w ten sposób realizujemy obowiązek administratora przy jednoczesnym uniknięciu wątpliwości co do tego, czy nie ujawniamy zbyt szerokiego zakresu informacji.
O tym jak realizować obowiązek informacyjny możesz przeczytać tutaj.
Inspektor Ochrony Danych
We wcześniejszym wpisie (link tutaj) poświęconym zmianom, które wprowadzone zostaną przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „RODO” poruszyłem kwestię oceny skutków przetwarzania dla ochrony danych osobowych. W tym wpisie przybliżę instytucję IOD (Inspektor Ochrony Danych), która zastąpi administratora bezpieczeństwa informacji i administratora systemów informatycznych.
Co do zasady wyznaczenie IOD będzie fakultatywne. Niemniej jednak administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (dane wrażliwe), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
W tym miejscu należy zwrócić uwagę, że zgodnie z treścią art. 37 ust. 4 RODO przepisy prawa Unii Europejskiej lub prawa państwa członkowskiego będą mogły wprowadzić wymóg wyznaczenia IOD przez inne podmioty. Zatem polski ustawodawca może rozszerzyć wskazany wyżej katalog zawierający przesłanki obligatoryjnego wyznaczenia IOD.
Pomimo, iż RODO podaje wyczerpujący katalog przesłanek obligatoryjnego wyznaczenia IOD, to jednak ustalenie kręgu podmiotów objętych tym obowiązkiem może okazać się problematyczne. Wynika to z zastosowania pojęć nieostrych takich jak ‚główna działalność’ i ‚duża skala’, które nie zostały wyjaśnione w RODO. Pewne wytyczne w tym zakresie przekazane zostały przez tzw. Grupę Roboczą art. 29 (niezależny podmiot o charakterze doradczym, powołany na podstawie art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych).
W zakresie pojęcia ‚główna działalność’ odwołano się do treści motywu 97 RODO, zgodnie z którym: „W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności.”. Przy tym pojęcie to nie może być interpretowane wąsko. Zatem główna działalność obejmuje kluczowe czynności konieczne dla osiągnięcia celów administratora lub podmiotu przetwarzającego na zlecenie. Np. w przypadku ubezpieczycieli lub multiagentów ubezpieczeniowych głównym celem jest świadczenie usług w zakresie ubezpieczenia. Niemniej wiąże się to nierozerwalnie z przetwarzaniem danych osobowych. Wystawienie polisy nie jest bowiem możliwe bez przetwarzania danych osobowych. Przetwarzanie danych zostanie więc uznane za główną działalność jeśli nierozłącznie wiąże się z główną działalnością podmiotu.
Natomiast korzystanie z usług IT czy obsługa własnych pracowników (wypłacanie wynagrodzenia, opłacanie ZUS, prowadzenie dokumentacji pracowniczej itp.) mimo że bardzo istotne, uznane zostało za działalność pomocniczą dla organizacji i prowadzenia głównej działalności.
Definiując pojęcie ‚dużej skali’ odwołano się do treści motywu 91 RODO. Zgodnie z tym motywem o dużej skali mówimy, w przypadku „znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko”. Oceniając czy zachodzi duża skala przetwarzania danych należy rozważyć następujące czynniki:
- liczbę podmiotów danych, których dotyczy przetwarzanie (określoną liczbę lub proporcję populacji do której odnosi się przetwarzanie danych);
- zakres danych lub zakres różnych elementów danych przetwarzanych;
- okres przetwarzania danych lub trwałość ich przetwarzania;
- geograficzny zasięg czynności przetwarzania.
Jako przykład przetwarzania danych na dużą skalę wskazano min. przetwarzanie danych osobowych przez szpital w ramach prowadzonej działalności, banki, ubezpieczycieli oraz dostawców usług telefonicznych lub internetowych. Można zatem przyjąć, że z dużą skalą przetwarzania danych mamy do czynienia w sytuacji, gdy przetwarzana jest duża ilość danych osobowych, w sposób ciągły lub cykliczny, w kilku miejscach lub na większym obszarze.
Znacznej zmianie uległ również zakres obowiązków IOD. Zadania IOD obejmują:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania przepisów RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Inspektor Ochrony Danych nie jest już podmiotem przejmującym obowiązki administratora w zakresie bezpieczeństwa przetwarzania danych. RODO ukształtowało IOD jako podmiot doradczy o szczególnej pozycji. Przejawia się to między innymi w obowiązku administratora danych osobowych zapewnienia IOD zasobów niezbędnych nie tylko do wykonania zadań przez IOD lecz również do utrzymania jego wiedzy fachowej. Ponadto administrator danych oraz podmiot przetwarzający muszą zapewniać, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Przepisy RODO zapewniają IOD znaczną niezależność. Po pierwsze w związku z wypełnianiem swych zadań IOD nie może otrzymywać żadnych instrukcji. Po drugie, za wypełnianie swych zadań IOD nie może zostać odwołany ani ukarany.
RODO wprowadza nowe wymogi, którym musi sprostać Inspektor Ochrony Danych takie jak kwalifikacje zawodowe, a w szczególności wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań nałożonych przez RODO.
Kolejną zmianą, z pewnością korzystną dla przedsiębiorców, będzie możliwość wyznaczenia przez grupę przedsiębiorstw jednego IOD. Jednakże wyznaczenie jednego IOD przez grupę przedsiębiorstw będzie możliwe, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „RODO” wprowadza szereg zmian w zakresie bezpieczeństwa przetwarzania danych osobowych.
Jedną z najistotniejszych zmian w stosunku do obowiązujących przepisów i koncepcji ochrony danych osobowych jest wprowadzenie obowiązku przeprowadzenia przed przystąpieniem do przetwarzania danych oceny skutków przetwarzania dla ochrony danych.
Zgodnie z treścią art. 35 ust. 1 RODO „jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”. RODO wskazuje jedynie kilka przypadków obligatoryjnego stosowania oceny. Przy tym jest to katalog otwarty. Zgodnie z RODO ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku:
- systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- przetwarzania na dużą skalę szczególnych kategorii danych osobowych wrażliwych (pochodzenie rasowe, etniczne, poglądy, wyznanie, dane dotyczące zdrowia itp.) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
- systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Z treści RODO wynika zatem, że nie w każdym przypadku dokonanie oceny będzie konieczne. Kryterium stanowić będzie duże prawdopodobieństwo spowodowania ryzyka naruszenia praw lub wolności osób fizycznych. Każdy administrator przed planowanym przetwarzaniem danych będzie musiał sam ocenić czy ono występuje.
RODO nie wskazuje jak dokładnie ma przebiegać ocena. W treści motywu 84 RODO stwierdzono, iż ocena skutków przetwarzania danych osobowych ma na celu oszacowanie w szczególności źródła, charakteru, specyfiki i powagi ryzyka naruszenia praw lub wolności osób fizycznych związanego z przetwarzaniem danych osobowych. Natomiast w myśl motywu 90 RODO ‚ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie niniejszego rozporządzenia’.
Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony. Jeżeli zaś chodzi o treść oceny to przepisy rozporządzenia wskazują jej niezbędne elementy. Ocena skutków przetwarzania obligatoryjne zawiera co najmniej:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz
- środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Zgodnie z treścią art. 36 ust. 1 RODO jeżeli ocena skutków przetwarzania dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Zatem jeżeli okaże się, że brak jest środków pozwalających na zminimalizowanie zidentyfikowanego ryzyka to przed przystąpieniem do przetwarzania danych konieczna będzie konsultacja z organem nadzorczym.
Należy mieć świadomość, że w trakcie przetwarzania danych może zajść konieczność aktualizacji oceny ryzyka. W dynamicznych lub często zmieniających się operacjach przetwarzania danych aktualizacja oceny skutków przetwarzania może okazać się konieczna dla rzeczywistego zapewnienia należytej ochrony przetwarzania danych.