Baza wiedzy

Podstawowe wymagania prawne na gruncie GDPR (RODO) wobec Administratorów danych – jak do nich podejść ze zdrowym rozsądkiem? [CZĘŚĆ 1]

Autor: Jakub WezgrajData dodania: Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO)

Unijne rozporządzenie o ochronie danych to temat, o którym w mediach ostatnio jest bardzo głośno i jestem pewien, że będzie coraz głośniej. Nic dziwnego – jest to jeden z krytycznych obszarów prawa, do których będzie musiał przygotować się praktycznie każdy podmiot w Polsce, który w ramach prowadzonej działalności (gospodarczej, statutowej, publicznej) przetwarza dane osobowe.

Problem polega na tym, że dotychczasowa dyskusja w mediach skupia się raczej na „hasłowym” i bardzo wybiórczym przedstawianiu wybranych zagadnień GDPR bez ukazywania ich w szerszej perspektywie. Przez to słyszymy o nowych zasadach „tworzenia zgód” na przetwarzanie danych osobowych, „prawie do bycia zapomnianym”, zasadach „privacy by design” oraz „privacy by default” i innych. Mało jednak mówi się w jakich konkretnie wypadkach te zasady będą miały zastosowanie i nie przedstawia się szerszego kontekstu w jakim one obowiązują. W efekcie przeciętny odbiorca niewiele rozumie z takiego przekazu.

Jednocześnie podczas realizowanych szkoleń i konferencji zauważam, że większość zainteresowanych tematem osób do tej pory nawet nie zapoznało się dobrze z tekstem unijnego rozporządzenia. Większość z nas bazuje więc głównie na doniesieniach z mediów. Innymi słowy większość z nas nie uczy się jak stosować nowe przepisy.

Aby mieć szansę na prawidłowe przygotowanie się do GDPR, musimy je najpierw dobrze poznać. Warto więc w pierwszej kolejności dokonać pełnego przeglądu wymagań wobec Administratorów danych.

I już po pierwszej solidniejszej lekturze możemy dojść do pewnych istotnych wniosków.

Oto one.

Treść rozporządzenia jest napisana według określonego układu – kolejność poszczególnych Rozdziałów nie jest przypadkowa

GDPR składa się z jedenastu Rozdziałów. Niektóre z nich dzielą się dodatkowo na „podrozdziały”
(w rozumieniu GDPR – Sekcje). Poniżej przedstawiam ich pełen wykaz.

Rozdział I – Przepisy ogólne

Rozdział II – Zasady

Rozdział III – Prawa osoby, której dane dotyczą

Rozdział IV – Administrator i podmiot przetwarzający

Rozdział V - Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych

Rozdział VI - Niezależne organy nadzorcze

Rozdział VII - Współpraca i spójność

Rozdział VIII - Środki ochrony prawnej, odpowiedzialność i sankcje

Rozdział IX - Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem

Rozdział X - Akty delegowane i akty wykonawcze

Rozdział XI - Przepisy końcowe  

Co istotne, każdy z powyżej wskazanych Rozdziałów reguluje odrębne obszary (służą realizacji innego celu), przy czym tylko kilka z nich (zasadniczo cztery) odnosi się do konkretnych obowiązków jakie musi spełnić Administrator danych. Są to następujące Rozdziały:  

Rozdział II – Zasady

Rozdział III – Prawa osoby, której dane dotyczą

Rozdział IV – Administrator i podmiot przetwarzający

Rozdział V - Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych

Oczywiście bardzo istotny jest również Rozdział I („Przepisy ogólne”), który wprost nie zawiera dodatkowych wymagań wobec podmiotów przetwarzających dane osobowe, ale wskazuje zakres stosowania GDPR (zarówno materialny – jaki rodzaj przetwarzania danych oraz przez kogo realizowany podlega stosowaniu rozporządzenia oraz terytorialny – odnoszący się do miejsca przetwarzania danych oraz miejsca prowadzonej działalności), a także definicje poszczególnych pojęć. Tak więc bez dobrej znajomości treści tego Rozdziału nie da się prawidłowo intepretować pozostałych przepisów rozporządzenia.

Preambuła to coś więcej niż „uroczyste” wprowadzenie do aktu prawnego. Bez jej znajomości nie będziemy rozumieli sensu i celu stosowania wielu wymagań GDPR

Wstęp do unijnego rozporządzenia stanowi Preambuła licząca łącznie 173 motywy. Mają one bardzo istotne znaczenie dla poszczególnych wymagań prawnych przewidzianych w treści GDPR i wskazują
w jakim celu zostały one wprowadzone do porządku prawnego. Bardzo często wskazują również przykłady, w jakich mają zastosowanie konkretne wymogi prawa jak również rozwijają ich znaczenie i ułatwiają właściwą interpretację, dzięki czemu łatwiej zastosować je w praktyce.

Nieznajomość treści Preambuły może prowadzić do błędów przy stosowaniu konkretnych przepisów rozporządzenia, a co za tym idzie – niepotrzebnych kosztów lub ryzyka poniesienia kary (np. finansowej przewidzianej w GDPR. O rodzajach sankcji przewidzianych w unijnym rozporządzeniu możesz przeczytać w innym moim artykule dostępnym TUTAJ).

Przykładowo bardzo istotny mechanizm oceny skutków dla ochrony danych, który będzie stanowił jedno z kluczowych wyzwań dla Administratorów danych został uregulowany w art. 35 GDPR, ale ponadto odnoszą się do niego Motywy 89 – 95 Preambuły, które są bardzo istotne dla właściwego zrozumienia w jakich przypadkach, w jakim celu oraz w jaki sposób powinna być przeprowadzana ta ocena.

WNIOSKI:

  1. kluczowe regulacje odnoszące się do obowiązków Administratorów danych zawarto w pierwszych Rozdziałach unijnego rozporządzenia,
  2. aby rozpocząć przygotowania do wdrożenia wymagań GDPR w konkretnej organizacji, trzeba w pierwszej kolejności bardzo dobrze znać i rozumieć treść Rozdziałów I - V oraz Preambuły GDPR.
Do jakich obszarów odnoszą się poszczególne Rozdziały GDPR zawierające wymagania dla Administratorów danych?

Tak jak wspominałem już wcześniej, każdy z Rozdziałów odnosi się do innych obszarów związanych z przetwarzaniem danych osobowych. Poniżej przedstawiam zakres, który regulują poszczególne Rozdziały GDPR odnoszące się do obowiązków Administratora danych.

Rozdział II - Zasady (art. 5 - 11 GDPR)

Rozdział ten reguluje podstawowe zasady przetwarzania danych osobowych. Odnosi się on do:

  • podstawowych reguł, z zachowaniem których muszą być przetwarzane dane osobowe ("zgodność z prawem, rzetelność i przejrzystość”, „ograniczenie celu” przetwarzania danych, „minimalizacja danych”, „prawidłowość”, „ograniczenie przechowywania”, „integralność i poufność”, "rozliczalność") - art. 5 GDPR,
  • możliwych podstaw prawnych przetwarzania tzw. danych "zwykłych" - art. 6 GDPR,
  • ogólnych warunków wyrażenia "zgody" na przetwarzanie danych osobowych - art. 7 GDPR,
  • szczególnych przypadków wyrażania "zgody" na przetwarzanie danych osobowych (chodzi o wyrażanie "zgody" przez dzieci w przypadku tzw. usług społeczeństwa informacyjnego, czyli np. świadczonych przez internet takich jak gry on-line) - art. 8 GDPR,
  • możliwych podstaw prawnych przetwarzania tzw. danych wrażliwych ("szczególnych kategorii danych") - art. 9 GDPR,
  • warunków przetwarzania danych dotyczących wyroków skazujących i naruszeń prawa - art. 10 GDPR,
  • sytuacji, w których ze względu na cele przetwarzania danych osobowych nie jest wymagana identyfikacja osób, których one dotyczą i związanych z tym konsekwencjami dla Administratora danych - art. 11 GDPR.

WSKAZÓWKA:

ten Rozdział GDPR odnosi się do absolutnie podstawowych zasad przetwarzania danych osobowych, które obowiązują od momentu ich pozyskania, aż po usunięcie. Co ciekawe, większość z tych zasad obowiązuje również na gruncie aktualnej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (wystarczy spojrzeć np. na art. 23, 26 czy 27 ustawy). Nie stanowią one więc całkowitej rewolucji dla podmiotów, które właściwie stosują aktualne przepisy z zakresu ochrony danych osobowych, a jedynie ewolucję.

Rozdział III - Prawa osób, których dane dotyczą (art. 12-22 GDPR)

W tym Rozdziale określono zakres uprawnień przysługujących osobom fizycznym w związku z faktem przetwarzania ich danych osobowych (lub planowanego podjęcia takich działań) przez konkretnych Administratorów danych.

Rozdział ten reguluje:

  • ogólne zasady i wytyczne dotyczące przejrzystej komunikacji i informowania podmiotów danych - art. 12 GDPR,
  • zakres informacji jaki należy przekazać osobie fizycznej w przypadku pozyskiwania danych osobowych bezpośrednio od niej - art. 13 GDPR,
  • zakres informacji oraz zasady jej przekazywania w przypadku, gdy Administrator danych pozyskuje dane osobowe w inny sposób niż bezpośrednio od danej osoby (za pośrednictwem innych podmiotów) - art. 14 GDPR,
  • prawo uzyskania informacji przez konkretną osobę, czy Administrator danych przetwarza jej dane osobowe, a jeśli tak prawo dostępu do tych danych oraz uzyskania informacji odnośnie sposobu ich przetwarzania (m.in. w jakich celach i w jakim zakresie są przetwarzane oraz komu są udostępniane, a także przez jaki okres będą przechowywane - o ile jest to możliwe do ustalenia). Osobie tej przysługiwać będzie również prawo żądania kopii swoich danych - art. 15 GDPR,
  • prawo żądania od Administratora niezwłocznego sprostowania danych osobowych, o ile są nieprawidłowe, a także prawo żądania uzupełnienia danych, gdy są one niekompletne - art. 16 GDPR,
  • prawo do żądania niezwłocznego usunięcia danych przez Administratora w przypadkach przewidzianych w tym przepisie (m.in. gdy dane nie są już niezbędne do celów, w których zostały zebrane lub gdy przetwarzanie tych danych opierało się na "zgodzie" udzielonej przez podmiot danych, a zgoda ta została cofnięta i Administrator nie dysponuje inną podstawą prawną do przetwarzania tych danych osobowych lub gdy dane osobowe były przetwarzane niezgodnie z prawem). Jeżeli wcześniej Administrator upublicznił te dane np. w internecie - będzie zobowiązany również do usunięcia wszelkich łączy internetowych oraz kopii danych, a także do poinformowania innych Administratorów danych, którzy uzyskali dostęp do danych osobowych o potrzebie ich usunięcia. Jest to tzw. "prawo do bycia zapomnianym", o którym jest tak głośno w mediach, ponieważ przepis ten na pierwszy rzut oka wydaje się bardzo kontrowersyjny i trudny do realizacji  - art. 17 GDPR,
  • prawo do żądania ograniczenia przetwarzania danych w przypadkach przewidzianych w tym przepisie (m.in. gdy osoba fizyczna, które dane dotyczą kwestionuje prawidłowość swoich danych - wówczas Administrator powinien ograniczyć ich przetwarzanie do czasu sprawdzenia prawidłowości tych danych) - art. 18 GDPR,
  • obowiązek Administratora danych do poinformowania innych podmiotów, którym dane osobowe udostępnił o tym, że osoba której one dotyczą skorzystała z prawa sprostowania swoich danych (o którym mowa w art. 16 GDPR), usunięcia (o którym mowa w art. 17) lub ograniczenia przetwarzania (zgodnie z art. 18 GDPR) po to by te podmioty również mogły uwzględnić wolę podmiotu danych - art. 19 GDPR,
  • prawo do przenoszenia danych, zgodnie z którym podmiot danych ma prawo otrzymać od Administratora danych w ustrukturyzowanym, powszechnie używanym formacie dane osobowe jej dotyczące, które mu wcześniej dostarczyła oraz ma prawo przesłać te dane innemu Administratorowi danych bez przeszkód ze strony tego, któremu dane pierwotnie udzieliła. Dodatkowo, o ile będzie to technicznie możliwe, podmiot danych ma prawo żądać by jej dane osobowe zostały przesłane przez jednego Administratora bezpośrednio do innego. Prawo do przenoszenia danych będzie możliwe, jeżeli zostanie spełniona jedna z przesłanek wskazana w tym przepisie (np. gdy przetwarzanie danych odbywa się na podstawie udzielonej "zgody" przez podmiot danych) - art. 20 GDPR,
  • prawo do złożenia sprzeciwu na przetwarzanie danych w przypadkach przewidzianych w przepisie (art. 21 GDPR) - m.in. gdy dane osobowe konkretnej osoby są przetwarzane na potrzeby marketingu bezpośredniego (w tym z wykorzystaniem metod profilowania danych). Prawo do złożenia sprzeciwu będzie również możliwe ze względu na szczególną sytuację osoby, której one dotyczą gdy dane te będą przetwarzane na określonych podstawach prawnych, np. w ramach tzw. prawnie usprawiedliwionego interesu administratora danych, o którym mowa w art. 6 ust. 1 lit. f) GDPR,
  • prawo do niepodlegania przez konkretną osobę fizyczną decyzjom wywołującym wobec niej skutki prawne lub podobnie wpływającym na nią w inny istotny sposób, a opartym na przetwarzaniu jej danych wyłącznie w sposób zautomatyzowany (za pomocą systemów informatycznych), w tym za pomocą profilowania danych. Przepis ten przewiduje również wyjątki od tej zasady, m.in. gdy takie przetwarzanie danych opiera się na wyraźnie udzielonej "zgodzie" przez osobę, której one dotyczą - art. 22 GDPR.

Jak łatwo zauważyć, GDPR bardzo szeroko reguluje zakres uprawnień przysługujących osobom fizycznym, których dane osobowe są przetwarzane. Jest to jedno z głównych założeń unijnego rozporządzenia, zgodnie z którym Administratorzy danych zainteresowani wykorzystywaniem danych osobowych w ramach swojej działalności muszą liczyć się z silną kontrolą ze strony ich dysponentów.

Co istotne - skorzystanie z konkretnego uprawnienia przez podmiot danych będzie wiązało się z obowiązkiem podjęcia określonego działania przez konkretnego Administratora danych - to on będzie musiał spełnić konkretne żądanie (oczywiście pod warunkiem, że będzie ono zasadne). Tak więc musi być przygotowany do ich realizacji. A więc konkretne uprawnienie przysługujące podmiotowi danych wiąże się jednocześnie z konkretnym działaniem jaki musi podjąć Administrator danych.

Warto jednak pamiętać, że część z praw przysługujących podmiotowi danych Administratorzy będą musieli realizować z własnej inicjatywy (nie czekając na działanie konkretnych osób fizycznych), a część będzie uzależniona od tego czy z konkretnym żądaniem zwróci się podmiot danych (czyli będzie wymagana jego aktywność).

Do tych pierwszych praw należą przede wszystkim uprawnienia informacyjne, o których mowa w art. 13 i 14 GDPR, a które sami Administratorzy danych będą musieli realizować w sposób aktywny - warto zauważyć, że uprawnienia te stanowią rozwinięcie obowiązujących dzisiaj tzw. obowiązków informacyjnych, o których mowa w art. 24 i 25 ustawy o ochronie danych osobowych.

Natomiast do drugiej grupy obowiązków możemy zaliczyć w zasadzie wszystkie pozostałe wskazane w tym Rozdziale rozporządzenia - potrzeba ich realizacji będzie uzależniona od tego, czy do konkretnego Administratora danych zwróci się podmiot danych z konkretnym żądaniem lub jeżeli ten podmiot podejmie inne określone działania (np. taka osoba wyrazi zgodę na profilowanie jej danych zgodnie z art. 22 GDPR).

I TU KOLEJNE WSKAZÓWKI:

  • jeżeli prawidłowo realizujemy dzisiejsze wymagania art. 24 i 25, a także 32 i 33 ustawy o ochronie danych osobowych, wiele z wymogów informacyjnych przewidzianych w GDPR będzie dla nas stanowiło jedynie rozwinięcie aktualnych wymagań i tym samym nie będzie stanowiło czegoś zupełnie nowego,
  • wiele uprawnień podmiotu danych przewidzianych w GDPR takich jak np. "prawo do bycia zapomnianym", prawo do przenoszenia danych, prawo do złożenia sprzeciwu na przetwarzanie danych uzależnione jest od spełnienia przesłanek przewidzianych w przepisach regulujących te uprawnienia. Oznacza to, że nie mają one zastosowania zawsze (tzn. w każdym przypadku) ani też nie mają zastosowania wobec wszystkich Administratorów danych na takim samym poziomie - wiele zależy między innymi od celu i podstawy prawnej przetwarzania danych osobowych przez konkretnego Administratora.
Kolejna część artykułu

Wymagania określone w Rozdziałe IV (Administrator i podmiot przetwarzający) GDPR przedstawiłem w kolejnej części artykułu, dostępnej TUTAJ.

Z kolei wymagania wynikające z Rozdziału V (Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych) ze względu na ich specyfikę przedstawię w odrębnym artykule, który będzie dostępny już niebawem.

Pełna treść GDPR

Dla zainteresowanych przesyłam link do pełnej treści tzw. ogólnego rozporządzenia o ochronie danych (w skrócie GDPR lub RODO). Można ją znaleźć TUTAJ. Zachęcam do lektury i własnych przemyśleń!

Zadaj pytanie  lub  Zadzwoń: 600 677 026

ABIGDPRGIODOJakub Wezgrajochrona danych osobowychODOekspertodpowiedzialnośćprzepisy prawaRODOunijne rozporządzenie o ochronie danychustawa

Wróć

Do góry