Krok po kroku w kierunku RODO - rozmowa z radcą prawnym Andrzejem Lewińskim

25 maja 2018 r. był terminem wejścia w życie przepisów rozporządzenia w sprawie ochrony danych osobowych osób fizycznych zwanego RODO. O jego „poczęciu”, reformie systemu ochrony danych osobowych, dokonywanej w krajach członkowskich Unii Europejskiej, rozmawiałam na początku 2018 roku z panią Edytą Bielak-Jomaa – Generalnym Inspektorem Ochrony Danych Osobowych (GIODO) [„Administrator” 1-2/2018].

Na potrzeby niniejszej publikacji o przybliżenie niełatwych nowych uregulowań poprosiłam Andrzeja Lewińskiego, który jest prezesem zarządu Fundacji im. Józefa Wybickiego działającej na rzecz obrony prywatności, godności i wolności człowieka (fundacjawybickiego.pl), przewodniczącym Komitetu d.s. Ochrony Danych Osobowych Krajowej Izby Gospodarczej. Był też przez trzy kadencje zastępcą Generalnego Inspektora Ochrony Danych Osobowych. Temat ochrony, wyznaje, stał się jego życiową pasją. Myśli o utworzeniu Fundacji Ochrony Praw Człowieka Pokrzywdzonego…

Sprawdź koniecznie: Usługowe przetwarzanie danych osobowych, w tym w warunkach firm zarządzających nieruchomościami

Irena Scholl: Kto administruje danymi osobowymi?

Andrzej Lewiński: Podmiot przystępujący do przetwarzania danych osobowych powinien określić, kto jest administratorem tych danych.
W przepisach RODO, pod pojęciem administratora określono osobę fizyczną lub prawną, jednostkę lub inny podmiot, który samodzielnie lub z innymi (współadministratorami) ustala cele i sposoby przetwarzania danych osobowych. Dlatego na pytanie: Czy jestem administratorem danych? – należy odpowiedzieć po zapoznaniu się z przepisami szczególnymi, regulujących działalność danego podmiotu. Administratorem będzie spółdzielnia, wspólnota mieszkaniowa czy zarządca nieruchomości, choć w tym ostatnim przypadku uzależnione jest to od statusu prawnego osoby prowadzącej taką działalność. Najczęstszą formą jest prowadzenie działalności jednoosobowej po wpisie do rejestru o działalności gospodarczej. Wtedy to prowadzący taką działalność jest administratorem danych osobowych.

I.S.: Od czego administrator danych osobowych (ADO) rozpoczyna swoje działania?

A.L.: Należy określić, czy informacje, które będą przetwarzane, są danymi osobowymi. Dane osobowe oznaczają informację o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Można osobę zidentyfikować pośrednio lub bezpośrednio, w szczególności na podstawie identyfikatorów takich jak: imię, nazwisko, adres, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, nawet jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną lub społeczną tożsamość (art. 4 ust. 1). Z przepisów wynika, że do zidentyfikowania należy wziąć pod uwagę wszelkie rozsądne, prawdopodobne sposoby w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez ADO w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Należy przy tym wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do identyfikowania oraz uwzględnić nową okoliczność, jaką jest postęp techniczny.

I.S.:  Następna czynność, to…

A.L.:  … określenie, czy przetwarzania danych dokonujemy w zbiorze danych. Zbiór danych oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, uzależnionych od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Dotychczasowy obowiązek rejestrowania zbiorów danych w organie nadzorczym (GIODO) został uchylony. Zbiory danych, utworzone wedle konkretnych potrzeb sięgania po nie, pozostają w gestii i pod nadzorem ADO.

I.S.:   Czy są sytuacje, w których przepisy RODO nie mają zastosowania?

A.L.: Owszem, gdy wykonuje to osoba fizyczna w ramach czynności o czysto osobistym lub domowych charakterze oraz w przypadku przetwarzania przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Przepisy wyłączają również ich stosowanie w ramach działalności nie objętej zakresem prawa UE oraz przez państwa członkowskie w ramach wykonywania zadań z tytułu V rozdziału 2 Trybunału UE. Wszelkie inne przetwarzanie jest objęte zakresem przepisów RODO. W art. 18 ujęte są wyjątki umożliwiające ograniczenie ich stosowania przez państwa członkowskie.

I.S.:  Jakich zasad powinien się ściśle trzymać ADO?

A.L.: Określa je art. 5 RODO. Należy do nich zasada, że przetwarzanie musi być zgodne z prawem i rzetelne, dokonywane w sposób przejrzysty dla osoby, której dane dotyczą. Druga z zasad dotyczy ograniczonego celu. Polega na tym, że dane mogą być zbierane dla celów konkretnych, wyraźnie i prawnie uzasadnionych. Trzeba też przestrzegać zasady minimalizacji danych i używania ich adekwatnie do tego, co niezbędne. Następna zasada dotyczy prawidłowego użycia danych i w razie potrzeby ich uaktualniania. Dane nieprawidłowe powinny być niezwłocznie usuwane lub poprawiane. Kolejne ograniczenia polegają na przechowywaniu danych w formie umożliwiającej identyfikację osoby przez okres nie dłuższy, niż jest to niezbędne. Wyłączenie tej zasady może nastąpić w przypadkach wskazanych w prawie.

I.S.:  Jakie są najważniejsze obowiązki administratora danych?

A.L.: Administrator jest podstawowym ogniwem w systemie przetwarzania danych osobowych. Najważniejsze jego obowiązki są zapisane w art. 24 RODO. Przepis ten określa je dosyć ogólnie. Zalicza do nich wdrażanie odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie odbywało się zgodnie z przepisami RODO, Administrator danych osobowych musi uwzględnić charakter i zakres, kontekst i cele przetwarzania. Musi też dokonać oceny i analizy prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą.

Podjęte przez ADO działania muszą być możliwe do udokumentowania. Musi mieć on na uwadze różny stopień prawdopodobieństwa i wagę zagrożeń, które mogą prowadzić do uszczerbku fizycznego lub szkód. W szczególności trzeba mieć na uwadze, czy przetwarzanie nie będzie skutkować dyskryminacją, kradzieżą tożsamości, oszustwem, stratą finansową, stratą dobrego imienia czy poufności danych osobowych chronionych tajemnicą zawodową, szkodą gospodarczą czy społeczną. Do nowych, ważnych obowiązków administratora należy zgłaszanie naruszenia ochrony danych organowi nadzorczemu najpóźniej w ciągu 72 godzin. Gdy nie dotrzyma tego terminu, dołącza wyjaśnienie przyczyny opóźnienia (art. 33). Nowym obowiązkiem jest również dokumentowanie wszelkich naruszeń. Należy podać okoliczności, w jakich nastąpiły i podjęte środki zaradcze. Dokumentacja ta może stanowić dla organu nadzorczego możliwość weryfikowania, jak administrator danych osobowych przestrzega przepisów RODO.

I.S.:  A jak obowiązki administratora wyglądają w przypadku, gdy przetwarzanie dokonywane jest przez podmioty zewnętrzne?

A.L.: Zgodnie z art. 28, ADO powinien dokonywać wyboru tylko tych podmiotów, które gwarantują wdrożenie odpowiednich środków, by przetwarzanie spełniało wymogi przepisów RODO. ADO odpowiada za działania podmiotu przetwarzającego. Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora danych osobowych, mająca dostęp do danych, przetwarza je wyłącznie na polecenie ADO. Do nowych obowiązków zawartych w RODO należy prowadzenie przez ADO lub jego przedstawicieli rejestru czynności przetwarzania danych (art. 30). Jednak dotyczy to podmiotów, w których zatrudnionych jest ponad 250 osób.

I.S.:  Kiedy administrator danych może rozpocząć ich przetwarzanie?

A.L.: Jest to kolejny obowiązek, od którego wypełnienia zależy przetwarzanie danych przez administratora. W każdym przypadku należy dokonać oceny: czy posiadam podstawę prawną do przetwarzania danych? Regulują to dwa przepisy:

• art. 6 – dane zwykłe,
• art. 9 – dane szczególne.

W każdym przypadku musi istnieć podstawa prawna wynikająca z przepisów RODO, bezpośrednio czy pośrednio umożliwiająca przetwarzanie danych. Są one wymienione w przytoczonych art. 6 i 9, jak również omówione w preambule (40–44, 32 i 49, 51–56). Nie sposób przystąpić do przetwarzania danych osobistych bez określonej podstawy prawnej. W niektórych przypadkach europejski ustawodawca (art. 6 ust. 1, litery c i e) upoważnił kraje członkowskie do wprowadzenia bardziej szczegółowych przepisów. Ważnym zapisem jest, że organy publiczne – w ramach realizacji swoich zadań – nie stosują przepisu zawartego w lit. f, czyli gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Jest to przepis, który przysługuje np. zarządcom nieruchomości, ale zawsze trzeba umożliwić osobie skorzystanie z prawa do sprzeciwu. Określając podstawy prawne należy posługiwać się jedną podstawą, a nie łączyć np. podstawy z mocy prawa ze zgodą osoby. Może to bowiem doprowadzić do konfliktu, gdy osoba wycofa zgodę, a administrator nadal przetwarza dane na podstawie prawa czy umowy.

Przy przetwarzaniu na podstawie zgody, administrator musi być w stanie wykazać, że osoba której dane dotyczą wyraziła na to zgodę. Zapytanie o zgodę musi być przedstawione w sposób pozwalający wyraźnie ją odróżnić od pozostałych kwestii. Musi być sformułowane w zrozumiałej i łatwo dostępnej formie, jasnym i zrozumiałym językiem. W przypadku składania pisemnego oświadczenia istotnym jest, aby osoba była świadoma wyrażania zgody oraz jej zakresu. Wyrażenie zgody nie powinno stanowić podstawy prawnej i być uznawane za dobrowolne, jeśli osoba nie ma rzeczywistego wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych dla niej konsekwencji. Zawsze można uznać wyrażenie zgody za nieskuteczne, gdy istnieje brak równowagi między osobą a administratorem.
Zgody nie uważa się za dobrowolną, jeśli nie można jej wyrazić z osobna na różne operacje przetwarzania danych, lub od jej wyrażenia uzależnione jest wykonywanie umowy, w tym świadczenie usług.

I.S.:  Jak administrator ma się wywiązać z obowiązków wobec osób, które występują z licznymi uprawnieniami?

A.L.: Musi zapewnić ich wykonanie, ale również powinien spełnić obowiązki informacyjne, między innymi o uprawnieniach osób, których dane przetwarza, wynikające z art. 13 i 14. Umożliwić osobie prowadzenie wszelkiej komunikacji. ADO powinien nie później, niż w ciągu miesiąca od otrzymania żądania, udzielić wszelkich informacji zapisanych w artykułach 15–22 i 34 RODO. Do tych uprawnień należą:

• prawo dostępu do przetwarzanych danych,
• prawo do usunięcia danych (do „bycia zapomnianym”),
• prawo do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu, do nie podlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.

W szczególności dwa obowiązki spoczywające na administratorze danych osobowych są niezwykle istotne dla możliwości dochodzenia swoich uprawnień przez osoby, których dane dotyczą. Jest to zapisany w art. 13 obowiązek udzielania informacji w przypadku zbierania danych bezpośrednio od osób oraz zapisane w art. 14 – pozyskiwanie danych w inny sposób, niż od osoby, której dane dotyczą. Podstawowe obowiązki wynikające z tych przepisów nie powinny zaskakiwać bowiem są kontynuacją przepisów poprzedniej ustawy o ochronie danych osobowych – art. 24. W poprzedniej regulacji prawnej niewypełnienie tych obowiązków było zagrożone sankcją karną z art. 54. Obecnie naruszenie ich jest zagrożone karą pieniężną z art. 82 RODO. Zgodnie z art. 13 RODO, jeśli administrator przewiduje dalsze przetwarzanie danych w innym celu niż pierwotny, winien o tym poinformować osobę i spełnić wobec niej obowiązek informacyjny.

***

Jakie działania powinien podejmować ADO dla zapewnienia bezpieczeństwa przetwarzania danych osobowych? To i kilka innych pytań – w imieniu zarządców – będę jeszcze chciała zadać panu Andrzejowi Lewińskiemu. Czytelnicy przeczytają naszą rozmowę w następnym numerze „AiM Nieruchomości”.     

Czytaj też: RODO coraz bliżej – uważaj na oszustów! >>>

[RODO, ochrona danych osobowych, generalny inspektor ochrony danych osobowych, giodo, administrator danych osobowych, ado, wywiad]