List Prezesa Urzędu Ochrony Danych – „Nawet pensjonaty i warsztaty samochodowe muszą przestrzegać RODO”

List Prezesa UODO

Szanowni Państwo,

dziś 25 maja 2018 roku – rozpoczynamy stosowanie przepisów unijnego ogólnego rozporządzenia o ochronie danych, czyli RODO. Kończy się zatem dwuletni okres dostosowawczy, w którym każdy zobowiązany do stosowania jego przepisów, powinien zacząć działać w sposób w pełni z nimi zgodny.

Ten dzień jest znakomitą okazją do podzielenia się z Państwem kilkoma refleksjami na temat przyszłości polskiego systemu ochrony danych osobowych.

Nowy system ochrony danych oparty jest o przepisy europejskiego rozporządzenia, zatem we wszystkich krajach Unii Europejskiej jest ono stosowane bezpośrednio. Do historii przechodzą zaś przepisy dyrektywy 95/46 oraz implementującej ją w polskim porządku prawnym ustawy o ochronie danych osobowych z 1997 r., które przez ostatnich 20 lat były podstawą działania Generalnego Inspektora Ochrony Danych Osobowych. Doświadczenie Urzędu oraz wszystkich, którzy zajmowali się dotąd tą problematyką, zarówno od strony teoretycznej, jak i praktycznej – a więc przedstawicieli świata nauki, administratorów, administratorów bezpieczeństwa informacji i wszystkich, którym bliskie są zagadnienia ochrony danych osobowych i prawa do prywatności, pozwoli na efektywne stosowanie nowych przepisów i zapewni realizację celów rozporządzenia. Dla organu ochrony danych to bezcenny kapitał, którym jak dotąd z troską będę zarządzać.

Za 20-letnią pracę na rzecz ochrony danych osobowych wszystkim chciałabym bardzo serdecznie podziękować.

Nowe prawo, które od dziś w sposób jednolity będzie regulowało prawa wszystkich osób przebywających na terenie Unii Europejskiej i obowiązki podmiotów, które gromadzą i wykorzystują ich dane osobowe, powinno lepiej odpowiadać na potrzeby i wyzwania XXI wieku. Ustanawia ono bowiem nowe mechanizmy ochrony danych, a organom nadzorczym daje nowe, jednakowe uprawnienia do egzekwowania działania zgodnego z prawem.

O tym europejskim wymiarze RODO przypomina odbywające się dziś w Brukseli pierwsze posiedzenie Europejskiej Rady Ochrony Danych zrzeszającej szefów wszystkich unijnych organów ochrony danych osobowych. Jednym z jej zadań będzie zaś czuwanie nad zapewnieniem spójnego stosowania nowego prawa.

Warto raz jeszcze przypomnieć, że ta nowa regulacja dotyczy wszystkich. Jej przepisy muszą bowiem stosować te podmioty, które pozyskują i wykorzystują dane osobowe w związku z działalnością zarobkową, zawodową, realizacją zadań publicznych bądź celów statutowych. Muszą więc ich przestrzegać i duże korporacje – np. firmy ubezpieczeniowe czy instytucje finansowe, i wszystkie urzędy, placówki oświaty, służby zdrowia czy organizacje pozarządowe, i sklepy internetowe, i wreszcie niewielkie rodzinne przedsiębiorstwa, jak warsztaty samochodowe czy pensjonaty.

Przez ostatnie 20 lat rzeczywistość zmieniła się diametralnie. Wiele zagrożeń dla prywatności, z jakimi dziś spotykamy się na co dzień, po prostu nie istniało. Telefonia komórkowa, Internet mobilny, serwisy społecznościowe czy Internet rzeczy to tylko cztery najbardziej widoczne symbole tych zmian. Postępująca globalizacja i cyfryzacja to bowiem jedne z powodów, dla których niezbędna stała się reforma systemu ochrony naszych danych.

Nowe prawo służy zapewnieniu wysokiego poziomu ochrony danych i uelastycznia prawne mechanizmy – odchodzi bowiem od szczegółowego regulowania niektórych zagadnień na poziomie aktów normatywnych. Wyznacza cele, które należy osiągnąć. Można to jednak zrobić w sposób dostosowany do specyfiki swojego działania.

Spełnienie określonych w RODO standardów od administratorów będzie wymagało odpowiedzialności, kreatywności i samodzielności, codziennej refleksji nad tym, jak ochronę danych uczynić częścią zarządzania instytucją, a nie jedynie formalnym obowiązkiem. Niezbędne będzie też jednocześnie podnoszenie świadomości pracowników.

Zdaję sobie sprawę z tego, że na początku wszystkie te działania mogą sprawiać trudności. Uważam jednak, że w dłuższej perspektywie podjęcie tego wysiłku się opłaci, a w przyszłości może być nawet źródłem oszczędności. Urząd jest gotowy wspierać administratorów w realizacji tego wyzwania.

Uporządkowanie procesów przetwarzania danych osobowych, które obecnie stały się „paliwem” gospodarki, i stworzenie modelu zarządzania całością informacji mogą być źródłem wyraźnej przewagi konkurencyjnej i podstawą budowania właściwego wizerunku w oczach klientów i kontrahentów.

Warto też uzmysłowić sobie, że RODO to także wymierne korzyści i nowe uprawniania dla każdego z nas. Przede wszystkim zwiększa ono naszą kontrolę nad tym, kto i co robi z naszymi danymi osobowymi. Każdy bowiem, kto przetwarza nasze dane, będzie nas musiał prostym, klarownym i zrozumiałym językiem poinformować m.in. o tym, jakie nasze dane, na jakiej podstawie, w jakim celu i jak długo będzie wykorzystywał, jakie w związku z tym przysługują nam prawa. Gdy utracona zostanie kontrola nad nimi, też zostaniemy o tym poinformowani.

W ten sposób zyskamy również spokój. Dziś bowiem niektórzy są zaniepokojeni, że jakiś podmiot ma ich dane, a tymczasem wynika to np. z ciążących na nim obowiązków prawnych, albo z naszej zgody, której niefrasobliwie bądź nieświadomie udzieliliśmy. Często o tym nie wiemy, gdyż po prostu nie jesteśmy o tym wystarczająco informowani. Teraz będzie inaczej.

Nowe rozwiązania, jak choćby „prawo do bycia zapomnianym” czy „prawo do przenoszenia danych”, na pewno przyczynią się do lepszej ochrony naszej prywatności.

Na straży wykonania tych praw i obowiązków stać będzie silny i niezależny organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych, wyposażony w niezbędne do tego narzędzia.

Oczywiście wśród nich najwięcej emocji budzą kary. Chciałabym jednak zaznaczyć, że jest to jeden z wielu mechanizmów zapewniania zgodności z prawem, z których organ nadzorczy będzie korzystał tak, jak ze wszystkich innych swoich uprawnień. Przepisy RODO określają zaś wiele różnych czynników, które będziemy brać pod uwagę, podejmując decyzję o nałożeniu i wysokości kary.

Szanowni Państwo, od dziś zaczynamy zatem działać w nowej, zreformowanej rzeczywistości. Jestem pewna, że wszyscy dołożymy wszelkich starań, aby zadanie właściwej obrony prywatności w tych nowych warunkach wypełnić jak najlepiej.

Źródło: UODO

https://uodo.gov.pl/pl/138/257

Czy wystarczy zamieszczenie klauzuli informacyjnej na stronie internetowej ?

Ograniczenie realizacji obowiązku informacyjnego do zamieszczenia komunikatu na stronie internetowej jest dopuszczalne w sytuacji, w której dane są zbierane z innych źródeł, niż bezpośrednio od osoby, której dane dotyczą, a jednocześnie ADO jest w stanie wykazać, że przekazanie informacji wskazanych w art. 14 RODO byłoby niemożliwe lub wymagało niewspółmiernie dużego wysiłku (art. 14 ust. 5 lit. b RODO).

W sytuacji najczęściej spotykanej, gdy dane zbierane są bezpośrednio od osób, których dane dotyczą, należy przynajmniej wskazać link, pod którym w przejrzystej formie osoba, której dane są przetwarzane będzie mogła zapoznać się z przeznaczonymi dla niej informacjami. ADO musi podjąć „aktywne” działania związane z podaniem osobom wymaganych informacji.

Czy od 25 maja muszę pobierać zgody od każdej osoby, której dane przechowuję ? Czy muszę pobierać zgody na przetwarzanie danych od swoich pracowników ?

Zgoda jest tylko jedną z kilku możliwych do przyjęcia podstaw prawnych na przetwarzanie danych osobowych – w przypadku relacji pracodawca-pracownik zasadą jest, że dane osobowe pracownika przetwarzane są jako realizacją obowiązku wynikającego z przepisu prawa (przede wszystkim kodeksu pracy, prawa podatkowego i przepisów dotyczących ubezpieczeń społecznych). Jeżeli pracodawca chce wykroczyć poza tą granicę, wtedy musi znaleźć odpowiednią podstawę prawną – może nią być zgoda, jeżeli gwarantuje on realną dobrowolność, może nią być też prawnie uzasadniony interes, jeżeli uznaje pozykiwanie określo0nych informacji za obowiązkowe.

 

Inaczej mówiąc, zgody nie stosujemy wszędzie, nie stosujemy jej też „na wszelki wypadek”, a jedynie tam, gdzie jest to odpowiednie, czyli tam, gdzie wprowadzamy realną dobrowolność.

Czy muszę usuwać dane gdy klient zwróci się do mnie z żądaniem usunięcia danych ? Ile czasu mam na odpowiedź ?

Prawo do usunięcia danych (prawo do bycia zapomnianym) nie jest prawem absolutnym, istnieje ono wyłącznie w sytuacji, gdy zostanie spełniona jedna z przesłanek wskazanych w art. 17 ust. 1 lit. a-f, np. dane osobowe nie są już niezbędne do celów, w których zostały zebrane.

W przypadku relacji z klientem, podstawą prawną do przetwarzania jego danych osobowych jest niezbędność do realizacji zawartej umowy, a po jej zakończeniu prawnie uzasadniony interes w postaci zabezpieczenia się przed ewentualnymi roszczeniami do czasu upływu okresu przedawnienia – jeżeli więc przedsiębiorca ogranicza się wyłącznie do tego, co niezbędne, nie jest on zobligowany do usuwania danych na żądanie, ponieważ dysponuje ważną podstawą prawną na przetwarzanie tych danych osobowych.

Nie należy też zapominać, że przedsiębiorca jako ADO nie może czekać na to, aż ktoś zażąda usunięcia danych, ponieważ z mocy prawa jest zobowiązany by przechowywać dane osobowe jedynie tak długo, jak jest to niezbędne do realizacji celów zgodnych z przyjętymi podstawami prawnymi.

Czy przedsiębiorca zatrudniający poniżej 10 pracowników podlega pod RODO i inne przepisy o ochronie danych osobowych, czy z uwagi na ograniczoną skalę działalności jest zwolniony od obowiązku stosowania tych przepisów ?

W jednym z pierwszych projektów nowej, krajowej ustawy o ochronie danych osobowych znajdował się przepis, który przewidywał, że przedsiębiorcy zatrudniający mniej niż 250 będą zwolnieni z realizacji, między innymi części obowiązków informacyjnych.

W kolejnej wersji projektu zawężono to zwolnienie do „mikroprzedsiębiorców” a więc tych, którzy zatrudniają mniej niż 10 osób. Jednak w ostatecznej wersji projektu ustawy, który trafił do sejmu  nie było już żadnego z tych zwolnień.

Przepisy RODO stosujemy więc do przedsiębiorstw niezależnie od skali ich działalności – mimo, iż RODO w wielu miejscach odnosi się do szczególnej sytuacji mikroprzedsiębiorców – zasady stosowania przepisów pozostają te same.

Komu należy wydać upoważnienie do przetwarzania danych, czy dotyczy to także osób, które podpisują wnioski urlopowe lub np. tworzą imienne listy, harmonogramy i grafiki ?

Tak – takie osoby też powinny mieć upoważnienia – oczywiście, im na konkretnym stanowisku mniej zadań związanych z przetwarzaniem danych osobowych, tym upoważnienie może być prostsze, krótsze – najważniejsze, by jasno i precyzyjnie wskazać kto, na jakim stanowisku, do czego ma dostęp, od rzeczy bardzo prozaicznych i prostszych, po te bardziej skomplikowane. Od strony praktycznej – wskazane jest też precyzyjne określenie rodzajów oprogramowania komputerowego, baz danych itd. do których konkretna osoba ma dostęp, wskazane jest też też by od strony IT wprowadzić rozróżnienie poziomów dostępu do konkretnych programów służących do przetwarzania danych.

Czy wykaz zbiorów danych osobowych pokrywa się z zakresem rejestru czynności przetwarzania danych?

Pojęcie zbioru danych jest szersze – chodzi kierowanie się przede wszystkim celem przetwarzania, podstawą prawną, a nie fizycznym podziałem czy odrębnością. Inaczej mówiąc – jeden zbiór danych np. zbiór danych osobowych pracowników może się składać z wielu różnych kartotek, segregatorów, programów lub aplikacji – ale to są jedynie narzędzia w ramach których zbiór danych pracowników jest przetwarzany, a nie odrębne zbiory.

W praktyce, od 25 maja samo pojęcie „zbioru danych” straciło swoje dotychczasowe znaczenie (pomimo tego, że w RODO wciąż zawarta jest definicja zbioru danych), ponieważ ewidencjonować będzie trzeba czynności, operacje, procesy – w praktyce chodzi o bardzo podobny w efekt, by ustalić „co, gdzie, przez kogo, w jaki sposób, w jakim celu,  na jakiej podstawie i przez jaki okres jest przetwarzane”.

Dlatego w praktyce najważniejsze jest zrobienie inwentaryzacji – jak to będzie zrobione, to sam „rejestr czynności” będzie już tylko formalnością.

W przypadku większości firm należy przynajmniej wyróżnić zbiór danych osób zatrudnionych oraz zbiór danych osób wykonujących na rzecz firmy usługi na podstawie umów cywilno-prawnych, oraz zbiór danych osób reprezentujących podmioty nabywające od spółki towary (lub usługi), czyli klientów

Czy dane na fakturze, które trafiają do księgowości stanowią dokument zawierający dane osobowe? Czy czynności z nimi związane powinny być wskazane w rejestrze czynności przetwarzania ?

Nie każda faktura musi być dokumentem zawierającym informacje o charakterze danych osobowych – ale w praktyce należy zakwalifikować te dokumenty jako mogące zawierać dane osobowe (chociażby dlatego, że w praktyce byłoby jeszcze większym utrudnieniem „segregowanie” tych faktur, na te, które dane osobowe zawierają, i tych, na których ich nie ma). W decyzji GIODO DIS/DEC-46/12/2681 z 17 stycznia 2012 roku wprost wymieniono faktury vat jako przykład dokumentu zawierającego dane osobowe.

Czy szafa do przechowywania papierowych dokumentów zawierających dane osobowe musi być metalowa?

Nie istnieje przepis prawa, które nakazywałby stosować meble biurowe o określonej klasie – to Administrator danych sam musi podjąć decyzję, jaki rodzaj mebli biurowych stosować – po to właśnie przeprowadza się szacowanie ryzyka. Należy uwzględnić zawartość dokumentów, nasze możliwości budżetowe i najbardziej prawdopodobne w konkretnym przypadku zagrożenia.

Czy Inspektorem Ochrony danych może być osoba, która w firmie pełni funkcję informatyka lub kadrowej ?

Nie, ponieważ Inspektor Ochrony Danych Osobowych nie może działać w konflikcie interesów – wprost zostało to wskazane w wytycznych grupy roboczej art. 29 nr 243:

„(…)stanowiska w organizacji, w przypadku których dochodzi do konfliktu interesów, mogą obejmować stanowiska w strukturze kadry kierowniczej wyższego szczebla (takie jak dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. finansowych, dyrektor ds. medycznych, kierownik departamentu marketingu, kierownik działu kadr lub kierownik departamentów IT), ale również inne stanowiska na niższych szczeblach struktury organizacyjnej, jeżeli piastowanie tych stanowisk lub pełnienie tych funkcji zapewnia możliwość ustalenia celów i sposobów przetwarzania.” – s.20 Wytycznych dotyczących DPO ;WP243,pkt 3.5

Czy po 25 maja musimy zgłaszać zbiory danych osobowych do GIODO ?

Z dniem 25 maja 2018 roku zniesiony został obowiązek zgłaszania zbiorów danych, zmieniła się także nazwa organu nadzorczego – z GIODO (Generalnego Inspektora Ochrony Danych Osobowych) na PUODO (Prezesa Urzędu Ochrony Danych Osobowych). Nie należy jednak zapominać, że wprowadzone zostały nowe obowiązki w szczególności obowiązek ewidencjonowania i zgłaszania naruszeń ochrony danych, prowadzenia rejestru czynności przetwarzania oraz (dla niektórych) powołanie Inspektora Ochrony Danych Osobowych.

Jeżeli jako biuro rachunkowe w każdym miesiącu rozliczamy faktury konkretnego klienta zawierające dane osobowe jego klientów – on przekazuje te dane w postaci dokumentów, mój pracownik je przetwarza, ja je weryfikuję i wysyłam niektóre dane do urzędu a dokumenty papierowe archiwizuję, to czy muszę ten proces opisać w rejestrze czynności tylko jednorazowo czy muszę to powtarzać i uzupełniać go analogicznie za każdym razem co miesiąc z różnymi datami?

Jednorazowo. Nie tylko w rejestrze czynności z art. 30 ust. 1 RODO, ale także w rejestrze kategorii czynności (art. 30 ust. 2 RODO) jakie firma wykonuje jako procesor dla swojego klienta, który jest ADO dla swoich klientów.

Czy obowiązek informacyjny musimy wykonać jedynie w stosunku do osób, których dane będą zbierane po 25 maja 2018, czy także w stosunku do osób, których dane zostały zebrane przed 25 maja 2018 roku ?

Istnieje stanowisko, prezentowane między innymi w jednym z komentarzy do RODO które zakłada, że obowiązek informacyjny z RODO wypełniamy tylko w stosunku do osób, których dane pozyskaliśmy przed 25 maja 2018 roku, opierające się na tym, że art. 13 RODO stanowi, że musimy przekazać wymagane informacje „podczas zbierania”, a skoro moment zebrania nastąpił jeszcze podczas obowiązywania starych przepisów, to wystarczy, że wypełniliśmy obowiązek informacyjny z art. 24 starej uodo z 1997 roku.

Jednak wytyczne grupy roboczej art. 29 nr 260 wskazują, że:
„(…)prior to 25 May 2018, data controllers should revisit all information provided to data subjects on processing of their personal data (for example in privacy statements/ notices etc.) to ensure that they adhere to the requirements in relation to transparency which are discussed in these guidelines. Where changes or additions are made to such information, controllers should make it clear to data subjects that these changes have been effected in order to comply with the GDPR. WP29 recommends that such changes or additions be actively brought to the attention of data subjects but at a minimum controllers should make this information publically available (e.g. on their website). However, if the changes or additions are material or substantive, then in line with paragraphs 29 to 32 below, such changes should be actively brought to the attention of the data subject. „

Dlatego zalecamy, by wykonać obowiązek informacyjny w stosunku do wszystkich osób, których dane są przetwarzane niezależnie od tego, czy zostały pozyskane przed, czy po 25 maja 2018 w sposób zgodny już z nowymi przepisami.

Jak sformułować zgodną z RODO zgodę na przetwarzanie danych osobowych, którą klient wyrażałby w celu wykonania zawartej umowy ?

W takiej sytuacji podstawą prawną nie będzie zgoda – wszędzie tam, gdzie podanie danych jest niezbędne do zawarcia/wykonania umowy, podstawą prawną jest ta umowa, choćby jeszcze nie zawarta.

Zgoda może być podstawą prawną wyłącznie tam, gdzie istnieje faktyczna dobrowolność, czyli nie uzależniamy wykonania umowy od jej udzielenia.

W przytaczanej sytuacji potrzebna klauzula informacyjna, a nie zgoda.

Tworzymy bazę naszych potencjalnych klientów poprzez zbieranie danych z internetu, jakie obowiązki wynikające z RODO powinniśmy wykonać ?

Należy zrealizować obowiązek informacyjny z art. 14 RODO – zbieranie z innych źródeł niż osoba której dane dotyczą, (a nie 13 RODO – zbieranie bezpośrednio od osoby), to, że dane osobowe pochodzą ze źródeł powszechnie dostępnych nie oznacza, że nie podlegają one pod zasady określone w RODO. To stanowisko GIODO: https://giodo.gov.pl/317/id_art/3162/j/pl  – jeszcze na podstawie starych przepisów, ale co do swej istoty aktualne.

Należy wykonać obowiązek informacyjny chyba, że zajdą przesłanki stypizowane w art. 14 ust. 5 RODO – np. przekazanie tych informacji wymagałoby niewspółmiernie dużego wysiłku, np. trzeba by było ustalać dane kontaktowe do tych osób innymi drogami.