dane osobowe – Okolice Biznesu

Dokumentacja RODO – Część II: Upoważnienie do przetwarzania danych osobowych

Krzysztof — Fri, 07 Aug 2020 11:25:02 +0000

Zespół prawny

Wprowadzenie

W kolejnej części dotyczącej dokumentacji RODO zostanie omówiony dosyć istotny dokument – upoważnienie do przetwarzania danych osobowych. Zalicza się on do dokumentów obowiązkowych, zaś podstawą prawną jego wdrożenia są art. 29 i 32 ust. 4 RODO. Mimo, że upoważnienie zasadniczo nie jest zbyt rozbudowane, a na pierwszy rzut oka zbyt skomplikowane, istnieje kilka kwestii, które mogą sprawić trudności przy jego tworzeniu, a którym będzie poświęcone niniejsze opracowanie. Trudności te z kolei prowadzą najczęściej do błędów, które zostaną omówione na końcu analizy.

Treść dokumentu

Jak przyjmuje się w literaturze przedmiotu, upoważnienie administratora lub podmiotu przetwarzającego powinno być odrębnym oświadczeniem, zaś jego zakresu lub treści nie można domniemywać z umowy o pracę lub z zakresu obowiązków pracownika. Jeśli zaś chodzi o zawartość takiego oświadczenia, czyli jego treść, rozporządzenie nie opisuje tego wprost. Można jednak z RODO wiele rzeczy wydedukować. Przede wszystkim, z artykułu 29 RODO (a pośrednio także z art. 4 pkt 10 RODO) wynika, iż upoważnienia do przetwarzania danych osobowych są nadawane przez administratora bądź podmiot przetwarzający. Zdaniem J. Rzymowskiego, oznacza to także, pochodną tego obowiązku jest zadbanie, aby dostęp do danych osobowych w danej organizacji miały wyłącznie osoby, którym administrator lub podmiot przetwarzający nadali upoważnienie. Z poglądem tym należy się zgodzić.

Co więcej, bardzo ważne jest, aby przy nadawaniu upoważnień do przetwarzania danych osobowych prowadzonych przez administratora odnotowywać w rejestrze przetwarzania danych osobowych (RCPD) opis kategorii osób, których dane dotyczą. Idąc dalej, kategorie osób, których dane dotyczą, odnotowywane w RCPD, powinny być analogicznie zamieszczone w upoważnieniach do przetwarzania danych osobowych. Jeśli bowiem administrator przetwarza dane osobowe osób należących do wymienionych w RCPD kategorii, to trzeba wiedzieć kto w ramach struktury konkretnego administratora przetwarza informacje o tych osobach. Będzie to natomiast jasne wtedy, gdy z upoważnienia będą wynikały informacje o poszczególnych kategoriach osób. W RCPD koniecznym jest umieszczenie również kategorii czynności przetwarzania, które wygląda analogicznie do poprzedniego.

Kluczową kwestią jest obowiązek nadawania upoważnienia konkretnym osobom fizycznym, przez co za niezgodne z przepisami RODO należy uznać nadawanie upoważnień dla osoby określonej rodzajowo, np.: „dla pracownika Spółki X”, tym bardziej, jeśli różne osoby fizyczne mogą u konkretnego pracodawcy w takiej roli wystąpić. Dlatego należy pamiętać, iż każde upoważnienie musi być imienne.

Forma dokumentu

Podobnie jak RCPD, upoważnienie do przetwarzania danych może mieć postać papierową lub elektroniczną. Przy tradycyjnej wersji papierowej należy pamiętać o podpisie osoby go sporządzającej, reprezentującej administratora danych. W przypadku dokumentu elektronicznego również należy zadbać o możliwość identyfikacji jego autorstwa, jednak jak wskazuje J. Rzymowski, nie jest koniecznym podpisywanie takiego dokumentu jakimkolwiek podpisem elektronicznym.

Upoważnienie w formie listy

Oprócz tradycyjnego, zindywidualizowanego rodzaju dokumentu upoważnienia, administrator może zdecydować się na wdrożenie rozwiązania o charakterze hurtowym – upoważnienia w formie listy. Polega ono na sporządzeniu jednego dokumentu, w którym administrator określa zakres uposażenia, a następnie wymienia imienną listę osób, którym to upoważnienie zostaje nadane. Jest to rozwiązanie bardzo wygodne w przypadku, gdy chcemy upoważnić w naszej firmie większą liczbę osób, zakres przetwarzania będzie identyczny, zaś sporządzanie (i podpisywanie) wielu odrębnych upoważnień, zajęłoby dużo czasu.

Nadanie uprawnień do nadawania upoważnień do przetwarzania danych osobowych

Istnieje także możliwość scedowania uprawnienia do generowania upoważnień na inną osobę, która ma to czynić w imieniu administratora danych. Obowiązek ten nie wynika bezpośrednio z RODO, jednak nie zawsze jest możliwe, by osoba kierująca podmiotem będącym administratorem osobiście podpisywała upoważnienia. Dlatego też w przypadku kontroli UODO, podmiot kontrolujący prawdopodobnie zażąda wykazania, iż osoba, która w imieniu administratora nadaje upoważnienia do przetwarzania danych, sama posiada od administratora stosowne upoważnienie w tym zakresie. Dlatego więc, ze zwykłej ostrożności, warto sporządzić także dokument w którym administrator (a więc osoba kierująca podmiotem nim będącym – w przypadku spółek zasadniczo członek zarządu – zgodnie z reprezentacją wynikającą z uregulowań wewnętrznych) nadaje uprawnienia imiennie wskazanej osobie (osobom) do nadawania upoważnień do przetwarzania danych osobowych. Dokument taki winien być przechowywany tak długo jak samo upoważnienie do przetwarzania danych osobowych.

Uchylenie upoważnienia

Upoważnienie może również ustać. Dotyczy to zwłaszcza sytuacji nadania upoważnienia na czas nieokreślony, podczas którego mógł zmienić się zakres obowiązków danej osoby, dana osoba mogła zmienić pracę, bądź stanowisko, w związku z czym upoważnienie nie jest jej już potrzebne. Dokument uchylający upoważnienie do przetwarzania danych powinien imiennie wskazywać konkretnego pracownika, numer upoważnienia (jeśli został nadany), a także wskazać przyczynę jego odebrania (zmiana zakresu upoważnienia, śmierć osoby upoważnionej itp.). Również przy uchylaniu upoważnień administrator nie musi działać osobiście (przez osobę kierującą organizacją). Może w sposób analogiczny do trybu z poprzedniego podtytułu nadać uprawnienia do uchylania upoważnień innej, wskazanej imiennie osobie. Co istotne, nadawanie uprawnień do nadawania upoważnień i do uchylania upoważnień można nadać tej samej osobie i to na podstawie jednego dokumentu.

Najczęściej popełniane błędy

Do najczęstszych możliwych błędów zaliczyć można:

brak upoważnień w firmie (chyba że administrator uznaje, że upoważnienia są niepotrzebne, a sprawę dwuetapowego uprawnienia do przetwarzania danych rozwiązuje w inny sposób zgodny z RODO – opcja ta może być jednak mało przekonująca w przypadku kontroli UODO),
brak upoważnień i jednoczesne zastępowanie ich za pomocą innych dokumentów, np. za pomocą klauzuli w umowie o pracę, za pomocą polecenia przetwarzania danych osobowych lub za pomocą jeszcze innych dokumentów,
gdy zakres upoważnień nie pokrywa się z zakresem przetwarzania danych osobowych przez konkretne upoważnione osoby,
nadawanie upoważnień niezmiennych, upoważnień dla osób wskazanych rodzajowo,
nadawanie upoważnień przez osoby, które nie posiadają uprawnień do nadawania upoważnień do przetwarzania danych osobowych, uprawnienia te nadaje kierujący jednostką,
nadawanie upoważnień wyłącznie w systemie informatycznym, jeżeli w podmiocie wykonywane są również czynności poza systemem.

Podsumowanie

Podsumowując, przy sporządzaniu upoważnień do przetwarzania danych osobowych należy zwrócić uwagę przede wszystkim na zakres przetwarzanych danych, imienne określenie osób upoważnionych, prawidłową formę oraz podpis administratora. Równie istotne jest skorelowanie dokumentów w tym zakresie z prowadzonym RCPD. Administrator może nadać uprawnienia do nadawania upoważnień (jak i ich uchylania) innych osobom wskazanym imiennie. Ważne jednak, by uprawnienie to było możliwe do wykazania w przypadku przeprowadzonej kontroli UODO.

Źródła:

J. Rzymowski, RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora, Oficyna Wydawnicza „Impuls”, Kraków 2019.
W. Szczygielska (red.), Dokumentacja ochrony danych osobowych według RODO, Wyd. Wiedza i Praktyka, Warszawa 2018.

Artykuł Dokumentacja RODO – Część II: Upoważnienie do przetwarzania danych osobowych pochodzi z serwisu Okolice Biznesu.

Odpowiedzialność prawna i możliwe sankcje z tytułu naruszenia przepisów RODO

Krzysztof — Fri, 17 Jul 2020 08:40:38 +0000

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

Przestrzeganie przepisów dotyczących ochrony danych osobowych powinno być priorytetem wszystkich organizacji, będących administratorami lub podmiotami przetwarzającymi. Uchybienie przepisom RODO może powodować niezwykle negatywne konsekwencje finansowe, mające trojaki, niezależny od siebie charakter. Odpowiedzialność administratora lub podmiotu przetwarzającego może być bowiem egzekwowana po pierwsze na gruncie postępowania cywilnego – wszczętego powództwem osoby uprawnionej, posiadającej roszczenie z tytułu naruszenia ochrony swoich danych osobowych, po drugie na gruncie administracyjnych kar pieniężnych – nakładanych w drodze decyzji przez Prezesa UODO, wreszcie po trzecie – w postępowaniu karnym wszczynanym przez oskarżyciela publicznego.

Odpowiedzialność cywilna

Zgodnie z art. 77 RODO osobom, których dane dotyczą zagwarantowane zostało prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu. W ramach tego uprawnienia przysługują: prawo do żądania zaniechania naruszenia danych osobowych przez administratora lub podmiot przetwarzający oraz – co bardziej istotne z ekonomicznego punktu widzenia organizacji – prawo do żądania odszkodowania.

Jeśli chodzi odpowiedzialność odszkodowawczą, precyzuje ją art. 82 RODO. Stosownie do jego ust. 1, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Różny jest jednak zakres tej odpowiedzialności – jak wynika z ust. 2, każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie (w pełnym zakresie), natomiast podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Fakt naruszenia danych obciąża powoda, zgodnie z zasadą ciężaru dowodu z art. 6 Kodeksu cywilnego („Ciężar udowodnienia faktu spoczywa na osobie, która z faktu tego wywodzi skutki prawne.”). Jednakże oprócz wykazania, że doszło do naruszenia RODO, strona powodowa winna również wykazać winę strony pozwanej. Stosownie bowiem do art. 82 ust. 3 RODO, administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Co więcej, jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania (art. 83 ust. 4 RODO). Odpowiedzialność solidarna oznacza, że to powód decyduje, który z podmiotów, względem których posiada roszczenie, będzie odpowiadał w postępowaniu sądowym, a następnie – w przypadku zasądzenia kwoty odszkodowania – wypłaci je w całości. Jednakże wówczas takiemu podmiotowi będzie przysługiwało roszczenie regresowe względem pozostałych podmiotów uczestniczących w danym przetwarzaniu danych. Jak bowiem wynika z art. 83 ust. 5 RODO, administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.

Na koniec warto wspomnieć, iż ewentualne postępowanie cywilne będzie się zasadniczo toczyć przed sądem właściwym ze względu na siedzibę pozwanego (administratora lub podmiotu przetwarzającego). W przypadku gdy powód i pozwany mają siedziby w różnych krajach, sytuacja może wyjątkowo ulec modyfikacji. Wynika to z art. 79 ust. 2 RODO, który stanowi: „Postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.”.

Odpowiedzialność administracyjna

Dużo szerszym zagadnieniem jest problematyka odpowiedzialności administracyjnej, która oparta jest o system administracyjnych kar pieniężnych nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych w drodze decyzji administracyjnej. Postępowanie takie może zostać wszczęte zarówno z urzędu, jak i w efekcie skargi osoby, której dane zostały naruszone, złożonej do Prezesa UODO (który jest w Polsce organem nadzorczym w zakresie przestrzegania przepisów RODO). Jak stanowi art. 77 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

Po wszczęciu postępowania organ nadzoru musi dokonać ustaleń w zakresie stanu faktycznego, zestawić je z obowiązującym stanem prawnym i na podstawie takiej subsumcji wydać decyzję administracyjną. W przypadku podjęcia decyzji o nałożeniu kary nie może jednak ustalać jej dowolnie – stosownie do art. 83 ust. 1 RODO administracyjna kara pieniężna musi łącznie spełniać 3 kryteria:

1) musi być skuteczna,

2) musi być proporcjonalna, oraz

3) musi być odstraszająca.

Brak spełnienia któregokolwiek z nich może być przesłanką do uchylenia decyzji organu, zaskarżonej przez administratora lub podmiot przetwarzający. Będzie to miało istotne znaczenie zwłaszcza, jeśli wysokość kary mogłaby spowodować de facto zakończenie działalności gospodarczej przez przedsiębiorstwo. A biorąc pod uwagę to, jaką kwotę do zapłaty ma prawo wymierzyć Prezes UODO (o czym w dalszej części), śmiało można stwierdzić, iż nieprawidłowa decyzja organu nadzoru może realnie doprowadzić do likwidacji przedsiębiorstwa.

Przede wszystkim jednak trzeba zaznaczyć, że Prezes UODO w ramach swoich kompetencji nie musi za każdym razem uciekać się do sankcji administracyjnych. Wręcz przeciwnie, powinny być one traktowane jako środek ostateczny (ultima ratio), stosowany w przypadku poważnych naruszeń i braku znajomości podstawowych przepisów RODO. W przypadku mniej istotnych naruszeń, organ nadzoru dysponuje uprawnieniami naprawczymi, których katalog zawarty jest w art. 58 ust. 2 lit. a)-h) oraz j) RODO. Jak wskazuje powyższy przepis:

„Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;
nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.”.

Jak zatem można zauważyć, Prezes UODO dysponuje mechanizmami pozwalającymi na usunięcie skutków naruszeń danych osobowych bez konieczności finansowego obciążania danej organizacji. Niestety, jak wynika z art. 58 ust. 2 lit. i) RODO, administracyjne kary pieniężne mogą być nakładane zamiast powyższych środków naprawczych, jak i łącznie z nimi, zaś ocena w tym zakresie należy już do organu nadzoru.

Nie oznacza to jednak, iż Prezes UODO podejmuje rozstrzygnięcie w sposób dowolny. Wedle art. 83 ust. 2 zdanie drugie RODO, decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
umyślny lub nieumyślny charakter naruszenia;
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
kategorie danych osobowych, których dotyczyło naruszenie;
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Oczywiście, pomimo istnienia powyższych kryteriów, nadal mamy do czynienia z zasadą swobody decyzji (która w odróżnieniu od dowolności – jak przyjmuje się w nauce prawa administracyjnego – posiada pewne granice swobodnego uznania). Jednakże zaistnienie pewnych okoliczności z powyższego katalogu (np. nieumyślne naruszenie RODO, niska waga naruszenia czy uczynienie tego po raz pierwszy) mogą stanowić okoliczności prowadzące do obniżenia wysokości kary.

Analizując kwoty, jakie mogą być nałożone, trzeba stwierdzić, że przepisy RODO nadają organowi nadzoru mocne narzędzie. Wydając decyzję o nałożeniu kary pieniężnej Prezes UODO może bowiem nałożyć na przedsiębiorstwo kwotę nawet 20 000 000 euro (słownie: 20 milionów euro). Oczywiście takie kwoty nie będą wchodziły w grę w przypadku jednoosobowej działalności gospodarczej, czy sektora MŚP – są skierowane raczej do dużych korporacji, których naruszenia dużych zbiorów danych mogą spowodować dużo poważniejsze skutki. Aktualna przy tym jest zasada o konieczności spełnienia przez konkretną, indywidualną decyzję o nałożeniu kary 3 kryteriów – skuteczności, proporcjonalności i odstraszania.

Wracając jednak do samych kwot, prawodawca unijny pogrupował je w dwie kategorie – naruszenia podlegające karze do 10 000 000 euro lub 2% całkowitego rocznego obrotu z poprzedniego roku przedsiębiorstwa oraz naruszenia podlegające karze do 20 000 000 euro lub 4% całkowitego rocznego obrotu z poprzedniego roku przedsiębiorstwa.

Zgodnie z art. 83 ust. 4 RODO naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43;
obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43;
obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4;

Z kolei stosownie do art. 83 ust. 5 RODO, naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;
praw osób, których dane dotyczą, o których mowa w art. 12-22;
przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44-49;
wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;
nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.

Przedstawiony podział nie ma aż tak doniosłego znaczenia, bowiem jak wskazuje praktyka najczęściej dochodzi do naruszania wielu przepisów RODO jednocześnie w ramach danego przetwarzania. Jak zaś wynika z art. 83 ust. 3 RODO, w takiej sytuacji górną granicę odpowiedzialności administracyjnej będzie stanowić kwota, którą można nałożyć za najpoważniejsze naruszenie. Zgodnie z przywoływanym przepisem, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Zatem jeśli dojdzie do wielu naruszeń, z których wszystkie będą się mieściły w katalogu z art. 83 ust. 4 RODO, to górna granica odpowiedzialności pozostanie na poziomie 10 000 000 euro bądź 2% całkowitego obrotu za rok poprzedni. Jeśli jednak przynajmniej jedno naruszenie będzie związane z katalogiem z art. 83 ust. 5 RODO, wówczas górna granica odpowiedzialności za całość naruszeń przy przetwarzaniu obejmie wyższy pułap – 20 000 000 euro bądź 4% całkowitego obrotu za rok poprzedni.

Szczegóły dotyczące wymierzania administracyjnych kar pieniężnych określone są w prawie krajowym – kwestie te (jak i większość spraw, które przepisy RODO regulują zbyt ogólnie) określa ustawa z dnia 10 maja 2018 roku – o ochronie danych osobowych (Dz. U. z 2019 roku, poz. 1781), przywoływana dalej jako „u.o.d.o.”. Przepis art. 103 u.o.d.o. wyjaśnia przykładowo, jak należy przeliczać kwoty wyrażone w euro, na polskie złote: „Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.”.

Wartym podkreślenia jest fakt, że zgodnie z art. 7 ust. 2 u.o.d.o., postępowanie przed Prezesem UODO jest postępowaniem jednoinstancyjnym, w związku z czym od wydanej decyzji nie służy odwołanie (gdyż brak jest organu wyższego stopnia nad Prezesem UODO) oraz – co w tym przypadku jest szczególnie istotne – także wniosek o ponowne rozpatrzenie sprawy (który jest instytucją stosowaną zasadniczo w przypadku organów nie posiadających organów wyższego stopnia). Podmiot, który został ukarany administracyjną karą pieniężną może więc zaskarżyć decyzję jedynie w ramach postępowania sądowoadministracyjnego, wnosząc w terminie 30 dni od dnia jej doręczenia skargę do wojewódzkiego sądu administracyjnego (którego wyrok może następnie zaskarżyć skargą kasacyjną do Naczelnego Sądu Administracyjnego).

Na koniec należy podkreślić, iż zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Stosownie do ust. 2, Prezes Urzędu może, na wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty, ze względu na ważny interes wnioskodawcy (który należy uzasadnić we wniosku). Jednakże w takim przypadku, podmiot ukarany musi liczyć się z zapłatą dodatkowych odsetek, liczonych w przypadku odroczenia – w stosunku rocznym, zaś w przypadku rozłożenia na raty – odrębnie dla każdej z rat. Oprócz tego, Prezes UODO jest także władny, na umotywowany wniosek podmiotu ukaranego, udzielić ulgi w wykonaniu administracyjnej kary pieniężnej (art. 105 ust. 9 u.o.d.o.).

Odpowiedzialność karna

Oprócz odpowiedzialności administracyjnej i cywilnej, za naruszenie danych osobowych można odpowiadać także w ramach postępowania karnego. Przepisy RODO nie zawierają co prawda w tym zakresie szerszego pola do analizy. Jedyną relewantną normą jest art. 84 RODO, będący przepisem odsyłającym do prawa krajowego. Zgodnie z jego ust. 1, państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Ponadto, sankcje te muszą być skuteczne, proporcjonalne i odstraszające.

Ustawa o ochronie danych osobowych penalizuje dwa typy przestępstw:

nielegalne przetwarzanie danych osobowych (art. 107 u.o.d.o.)
oraz
udaremnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych lub niedostarczenie Prezesowi UODO danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej (art. 108 u.o.d.o.).

Jak stanowi pierwszy z powyższych przepisów, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Art. 107 ust. 2 u.o.d.o. zawiera z kolei postać kwalifikowaną tego występku. Stanowi on, iż jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Natomiast zgodnie z art. 108 ust. 1 u.o.d.o., kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Stosownie do ust. 2 niniejszego artykułu, tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.

Podsumowanie

Za naruszenie przepisów o ochronie danych osobowych można odpowiadać zarówno w postępowaniu administracyjnym, jak również cywilnym i karnym. Postępowanie administracyjne prowadzone przez Prezesa UODO jest podstawowym rodzajem odpowiedzialności z tytułu nieprzestrzegania RODO i może prowadzić do nałożenia wysokich kar pieniężnych. Odpowiedzialność cywilna i karna stanowią sankcje uzupełniające, jednak – co raz jeszcze trzeba podkreślić – niezależne od sankcji administracyjnej. Za jedno naruszenie można więc płacić nawet potrójną cenę – karę administracyjną nałożoną przez organ nadzoru, odszkodowanie zasądzone przez sąd cywilny oraz karę grzywny, ograniczenia lub pozbawienia wolności wydaną wyrokiem sądu karnego. Warto zatem znać zasady przetwarzania danych osobowych, aby do takich sytuacji w ogóle nie doszło, gdyż może to nas wiele kosztować.

Opracowanie własne

Artykuł Odpowiedzialność prawna i możliwe sankcje z tytułu naruszenia przepisów RODO pochodzi z serwisu Okolice Biznesu.

Pojęcie „administratora” i „podmiotu przetwarzającego dane”

Krzysztof — Fri, 17 Jul 2020 08:30:47 +0000

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

We wszystkich przedstawionych opracowaniach odnoszących się do tematyki RODO używane były terminy „administrator danych osobowych” i „podmiot przetwarzający dane osobowe”. Chociaż na pierwszy rzut oka mogłoby się wydawać, iż są to określenia o charakterze synonimicznym, to w rzeczywistości są to określenia mające swoje własne definicje legalne w przepisach RODO, jak również inny zakres obowiązków. Problematyka ta jest wbrew pozorom istotna, gdyż wiele organizacji może mieć trudności w określeniu swojego statusu. Przykładem wątpliwości prawnych może tu być status firm audytorskich oraz biegłych rewidentów, uznawanych przez dłuższy czas za „podmioty przetwarzające”. Dopiero po opublikowaniu interpretacji Urzędu Ochrony Danych Osobowych z 18 października 2019 roku rozstrzygnięto, że podmioty te są samodzielnymi „administratorami”.

Administrator danych osobowych

Zgodnie z art. 2 pkt 7 RODO, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Co więcej, jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Jak wskazuje się w doktrynie, z definicji tej można wyróżnić 3 komponenty:

element podmiotowy, którym jest adresat przepisu, tj. osoba fizyczna lub osoba prawna, organ publiczny, jednostka lub inny podmiot;
sposób działania dopuszczający model kontroli pluralistycznej: „samodzielnie lub wspólnie z innymi”;
zakres decyzyjny, który odróżnia administratora od innych podmiotów: „ustala (on) cele i sposoby przetwarzania danych osobowych”.

Jeśli chodzi o aspekt podmiotowy, należy przyjąć, iż administratorem nie jest konkretna osoba sprawująca stanowisko kierownicze czy pracownik, któremu powierzono zadania związane z przetwarzaniem danych. Oczywiście w przypadku osób samodzielnie prowadzących działalność gospodarczą, to oni – jako przedsiębiorcy – będą posiadali status administratora. Jednakże w przypadku osób prawnych – przede wszystkim spółek kapitałowych – taki status nie będzie przysługiwał zarządowi czy konkretnemu pracownikowi odpowiadającemu za ochronę danych osobowych, a de iure konkretnej spółce. Kategorie te wyraźnie rozdzielił Sąd Najwyższy, wskazując, iż w odróżnieniu do administratora, podmiot, który zarządza, zawiaduje zbiorem danych lub danymi, ale nie decyduje o celach i środkach ich przetwarzania winien być określany jako „podmiot administrujący danymi” (Postanowienie SN z dnia 11.12.2000 roku, Sygnatura akt II KKN 438/00).

Wedle drugiego kryterium może dochodzić zarówno do sytuacji, w której mamy do czynienia z jednym administratorem, jak i gdy ustalanie celów i sposobów przetwarzania następuje wspólnie z innymi administratorami. Jeśli administratorów jest przynajmniej dwóch, określa się ich mianem „współadministratorów”, niezależnie od tego czy dochodzi w danym przypadku do symetrycznej współpracy lub podziału zadań.

Kluczowym z punktu widzenia odróżnienia administratora od innych podmiotów (w tym „podmiotu przetwarzającego”) jest jego zakres decyzyjny. W piśmiennictwie podkreśla się, iż decydowanie o celach i środkach przetwarzania powinno być rozumiane jako faktyczne podejmowanie we własnym imieniu i na własną rzecz decyzji o tym, w jakim celu i w jaki sposób przetwarzane są dane osobowe. Przy realizacji tego komponentu może okazać się pomocne kryterium kompetencji dorozumianej, identyfikujące w pewnych stosunkach administratora jak np. pracodawca (zakład pracy) względem pracowników czy stowarzyszenie (partia polityczna, wspólnota religijna itp.) względem swoich członków. Ponadto, na co zwracają uwagę J. Błachut i S. Dudzik, przepis art. 4 pkt 7 RODO posługuje się tu spójnikiem „i”, tak więc wprowadza koniunkcję, co implikuje w konsekwencji, iż administratorem jest ten, kto jednocześnie decyduje o celach i o sposobach przetwarzania, nie zaś ten, kto podejmuje decyzję tylko co do jednej z tych kwestii.

Podmiot przetwarzający dane osobowe

Jeśli chodzi o podmiot przetwarzający, to jego definicja zawarta jest w art. 2 pkt 8 RODO. Stosownie do tego przepisu, termin ten oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Już na wstępie warto więc zasygnalizować, iż to od decyzji administratora zależeć będzie, czy powierzy dane do przetwarzania podmiotowi przetwarzającemu, czy też pozostawi te obowiązki we własnym zakresie. Jak zauważa P. Fajgielski, określenie „podmiot przetwarzający” nie najlepiej oddaje istotę omawianej konstrukcji prawnej, gdyż stanowi skrót myślowy, zaś znacznie lepszym sformułowaniem wydaje się być nazwa „podmiot przetwarzający na zlecenie”, która bardziej precyzyjnie oddaje istotę tego pojęcia. Zgodnie z uzasadnieniem Autora, termin „podmiot przetwarzający” w powiązaniu z przetwarzaniem przez osobę fizyczną danych w imieniu administratora może prowadzić do błędnego uznawania, że w przypadku niektórych osób (np. pracownika) mamy do czynienia z „podmiotem przetwarzającym”, podczas gdy istotą tego pojęcia jest nie tylko dokonywanie czynności w imieniu administratora, ale także na jego zlecenie, przez zewnętrzny podmiot, nieznajdujący się w strukturze organizacyjnej administratora.

Należy zatem odróżnić „osoby przetwarzające dane z upoważnienia administratora bądź podmiotu przetwarzającego” od „podmiotu przetwarzającego” w imieniu administratora. Do pierwszej kategorii można zaliczyć wyłącznie osoby fizyczne, takie jak pracownicy administratora/podmiotu przetwarzającego, osoby przetwarzające dane na podstawie umów cywilnoprawnych, lecz w ramach struktury organizacyjnej administratora/podmiotu przetwarzającego, bądź też inne osoby, które zostały dopuszczone przez administratora/podmiot przetwarzający do czynności przetwarzania danych – np. praktykanci, stażyści czy wolontariusze. Idąc za P. Fajgielskim, mimo iż podobnie jak podmioty przetwarzające wykonują oni czynności na danych osobowych, to podstawą tego rodzaju czynności jest upoważnienie nadane przez administratora (bądź przez podmiot przetwarzający), a nie – jak w przypadku podmiotu przetwarzającego – zlecenie przetwarzania danych dla administratora.

Jeśli zaś chodzi o katalog podmiotów przetwarzających, to analogicznie do administratorów, obejmuje on nie tylko osoby fizyczne, ale także osoby prawne i inne podmioty wymienione w art. 2 pkt 8 RODO (jest to de facto katalog otwarty). Zatem podmiotem przetwarzającym administratora będącego osobą fizyczną, stowarzyszeniem czy spółką kapitałową może być inna osoba fizyczna, spółka, stowarzyszenie bądź inny podmiot, któremu administrator zleci przetwarzanie danych. Istotne jest jednak to, iż cel i sposób przetwarzania danych ustala administrator, który ponosi również odpowiedzialność za swój wybór. Zadaniem podmiotu przetwarzającego jest zaś wykonywanie obowiązków administratora na jego zlecenie i w jego imieniu.

Ustalenie statusu danego podmiotu w praktyce

Jak więc w praktyce ustalić, czy w konkretnej sytuacji dochodzi do powierzenia przetwarzania danych osobowych przez administratora (co implikuje przypisanie statusu „podmiotu przetwarzającego”), czy też do odrębnego administrowania (a więc przypisania statusu „administratora”? Oczywiście każda sytuacja wymaga indywidualnej analizy i zastanowienia się, kto faktycznie ustala sposoby i cele przetwarzania danych (należy więc odpowiedzieć na pytanie, który podmiot podejmuje decyzję dotyczącą określonego celu, czyli tego, czy, dlaczego i w jakim zakresie będą przetwarzane dane osobowe?). Pewnych wskazówek może udzielać orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej. Przykładem jednego z przełomowych orzeczeń jest wyrok TS UE z dnia 13.05.2014 roku (Sygn. akt C-131/12), w którym za administratora uznany został operator wyszukiwarki internetowej w stosunku do informacji zawierających dane osobowe, przetwarzanych przez tego operatora, lokalizowanych i indeksowanych w sposób automatyczny, czasowo przechowywanych i udostępnianych internautom w sposób uporządkowany, zgodnie z określonymi preferencjami. Trybunał Sprawiedliwości uznał operatora wyszukiwarki internetowej za administratora danych, choć operator ten de facto pośredniczył w udostępnianiu informacji generowanych i publikowanych przez podmioty trzecie. Jednak, jak wskazano w wyroku, specyfika świadczenia tych usług wymagała przyjęcia właśnie takiej kwalifikacji.

Bardzo ciekawym i przydatnym jest stanowisko Bawarskiego Urzędu Krajowego ds. Nadzoru nad Ochroną Danych, dotyczące określenia tego, czy w danej sytuacji mamy do czynienia z powierzeniem przetwarzania danych osobowych czy nie. Dokument ten wymienia sytuacje, w których dochodzi do powierzenia przetwarzania danych osobowych „podmiotowi przetwarzającemu” (zgodnie z art. 2 pkt 8 RODO) oraz sytuacje, w których do takiego powierzenia nie dochodzi (a wówczas mamy do czynienia z odrębnym administratorem danych). Pomimo, że stanowisko to zostało zaprezentowane przez organ szczebla związkowego, to jest zbieżne (a wręcz poszerzone o kolejne przykłady) ze stanowiskiem przyjętym przez organ federalny – Niemiecką Konferencję Ochrony Danych. Wydaje się, że mając na względzie jednolitość prawa unijnego, wskazówki z gruntu niemieckiego mogą być z powodzeniem transponowane do realiów polskich, do czasu gdy organ polski (UODO) wyda własny dokument w tym zakresie.

Zgodnie zatem ze stanowiskiem Bawarskiego Urzędu Krajowego ds. Nadzoru nad Ochroną Danych, do powierzenia przetwarzania danych w rozumieniu art. 4 punkt 8 RODO dochodzi zwykle w następujących sytuacjach:

wsparcie techniczne przy obliczaniu wysokości wynagrodzenia, usługi księgowe, centra rozliczeniowe,
outsourcing w ramach przetwarzania danych w chmurze, o ile nie jest potrzebny merytoryczny dostęp do danych dostawcy usług chmury;
przetwarzanie adresów e-mail w celach reklamowych przez spółkę zajmującą się wysyłaniem wiadomości elektronicznych;
przetwarzanie danych klientów przez Call-Center, bez istotnej własnej przestrzeni decyzyjnej;
outsourcing administracji pocztą elektroniczną oraz podobnych usług dotyczących danych na stronie internetowej (np. wsparcie w zakresie formularzy kontaktowych lub pytań użytkowników);
wprowadzanie danych, konwertowanie danych lub skanowanie dokumentów;
outsourcing przechowywania zapasowych kopii bezpieczeństwa lub innego archiwizowania;
niszczenie nośników danych przez usługodawcę;
testowanie oraz konserwacja (np. zdalna konserwacja, wsparcie zewnętrzne); zautomatyzowanych procedur lub urządzeń do przetwarzania danych, jeżeli przy świadczeniu takich usług dostęp do danych osobowych nie może być wykluczony;
scentralizowane centrum usług wspólnych w ramach koncernu, takie jak planowanie podróży służbowych czy obliczanie kosztów podróży (w każdym przypadku, gdy nie dochodzi do współadministrowania, zgodnie z art. 28 RODO);
centra obliczeniowe aptek;
izba rozliczeniowa lekarzy/dentystów, bez faktoringu;
ochrona, która odbiera gości i przesyłki przy bramie;
podmioty zewnętrzne, usługodawcy itd., którym zleca się odczytywanie oraz/ lub zbieranie, względnie przetwarzanie opłat za media w mieszkaniach czynszowych (ogrzewanie, prąd, woda, itd.);
usługodawcy zajmujący się organizacją wiz, którzy otrzymują w tym celu dane zatrudnionych osób od pracodawcy.

Z kolei nie dochodzi do powierzenia przetwarzania danych w rozumieniu art. 4 ust. 8 RODO (lecz do (1) odrębnego administrowania bądź (2) w ogóle braku przetwarzania danych przez dany podmiot), zwykle w odniesieniu do następujących, przykładowych sytuacji:

Przy korzystaniu z usług zewnętrznych ze strony samodzielnego administratora – w następujących sytuacjach:

w przypadku zawodów poddanych tajemnicy zawodowej (doradca podatkowy, adwokat, zewnętrzny lekarz zakładowy, rewident gospodarczy);
w przypadku agencji windykacyjnych przy przeniesieniu roszczeń;
w przypadku transferu pieniędzy przez instytucje bankowe;
w przypadku usług pocztowych dostarczania listów lub paczek;
w działalności administracji budynku;
detektywi dokonujący obserwacji/ nagrywania/ prowadzący dochodzenie;
producenci oraz hurtownicy, którzy otrzymują od sprzedawców detalicznych adresy ich klientów, w związku z uzgodnioną z tymi klientami bezpośrednią wysyłką (zlecenie wysyłki towarów);
podmiot wysyłający kwiaty lub wina, który otrzymuje listę adresów do wysyłki prezentów w postaci kwiatów, względnie win do osób trzecich (zlecenie wysyłki towarów);
zarządca masy upadłościowej;
agencja rekrutacyjna na zlecenie osoby szukającej pracy lub pracodawcy;
dostawca platformy internetowej w celu pośredniczenia pomiędzy sprzedawcą a konsumentem, którzy mogą się spotkać na platformie;
usługi telekomunikacyjne, chyba że dochodzą do nich usługi towarzyszące takie jak archiwizacja telefonów służbowych czy usuwanie danych z chmury, itd.;
pośrednicy ubezpieczeniowi/ finansowi; pośrednicy w ramach umów z klientami;
przedstawiciel handlowy w ramach doradztwa oraz pośrednictwa;
przesłanie danych uczestnika szkolenia w celu przeprowadzenia szkolenia przez zewnętrznego trenera do organizatora szkolenia lub hotelu;
wytwarzanie indywidualnych produktów medycznych, środków, protez, itd. dla pacjentów/ klientów na zlecenie lekarzy, dentystów, aptek, sklepów medycznych;
laboratoria medyczne, laboratoria materiałowe itd. (zlecenie badań materiałowych);
usługi płatnicze w przypadku płatności elektronicznych (przesyłanie danych płatniczych, kontrola prania pieniędzy oraz oszustw, zgodnie z wymogami niemieckiej ustawy o nadzorze finansowym oraz podstawowymi wymogami niemieckiego Federalnego Urzędu Nadzoru Usług Finansowych);
dostawcy usług, przy których pośredniczy biuro podróży, jak np. hotele, podmioty wynajmujące samochody, spółki lotnicze, operatorzy autobusów, ubezpieczenia, itd.

Co do zasady, nie dochodzi do zlecenia czynności przetwarzania danych osobowych lecz umowa dotyczy innych czynności – w następujących sytuacjach:

rzemieślnik wynajęty przez osobę wynajmującą, który otrzymuje niezbędne dane najemcy;
rzeczoznawca oceniający szkody w samochodzie;
przewóz osób, usługi transportu chorych;
usługi ochrony;
usługi sprzątania oraz prace rzemieślników w przedsiębiorstwie;
czyszczenie strojów roboczych, mających plakietkę z nazwiskiem;
drukowanie prospektów, katalogów ze zdjęciami zatrudnionych lub fotomodelek;
transport wystarczająco wybrakowanych materiałów papierowych;
transport dokumentów oraz towarów przez kurierów, spółki spedycyjne, roznoszenie gazet;
tłumaczenie tekstów z lub na języki obce.

Jak podkreślił bawarski organ, w obu podkategoriach (a więc zarówno w przypadku odrębnego administrowania, jak i przy braku czynności przetwarzania danych osobowych), administrator, w zależności od konkretnego przypadku i jeżeli zajdzie taka potrzeba, precyzuje cel oraz określa poufność w odniesieniu do przekazanych danych.

Podsumowanie

Odróżnienie pojęcia „administratora” oraz „podmiotu przetwarzającego” jest niezwykle istotne, różny jest ich zakres obowiązków jak i odpowiedzialności. Niestety, przepisy RODO nie wymieniają kazuistycznie sytuacji pozwalających jednoznacznie zakwalifikować dany podmiot do jednej z kategorii, dlatego każdorazowo należy zestawiać faktyczne czynności z definicjami legalnymi zawartymi w art. 2 pkt 7 i 8 RODO. Przydatnym może być także przegląd orzecznictwa Trybunału Sprawiedliwości UE, który bardzo często zajmuje się rozstrzyganiem spraw z zakresu ochrony danych osobowych. Przykładem katalogu sytuacji w których dochodzi do powierzenia przekazania danych, oraz w których to nie następuje jest dokument Bawarskiego Urzędu Krajowego ds. Nadzoru nad Ochroną Danych, który może być pewną wskazówką dla polskich przedsiębiorców do czasu wydania podobnego dokumentu przez UODO.

Źródła

Bielak-Jomaa Edyta (red.) Chomiczewski Witold Czerniawski Michał Drobek Piotr Góral Urszula Kuba Magdalena Łuczak Joanna Makowski Paweł Witkowska-Nowakowska Katarzyna Zawadzka Natalia, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz., Wolters Kluwer Polska, 2018.
Fajgielski Paweł, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz., Wolters Kluwer Polska, 2018.
Błachut Jacek i Dudzik Sławomir, Ochrona danych osobowych w działalności profesjonalnych uczestników rynku funduszy inwestycyjnych. Europejski Przegląd Sądowy, 2019, nr 4. s. 12-22, Teza
https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf, za: https://gdpr.pl/administrator-czy-podmiot-przetwarzajacy-stanowisko-bawarskiego-organu (dostęp na dzień: 10 lipca 2020 roku).

Artykuł Pojęcie „administratora” i „podmiotu przetwarzającego dane” pochodzi z serwisu Okolice Biznesu.

Prawa przysługujące osobom, których przetwarzane są dane osobowe

Krzysztof — Thu, 02 Jul 2020 14:37:10 +0000

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

W poprzedniej analizie została omówiona problematyka zgody na przetwarzanie danych osobowych, jej elementów konstrukcyjnych oraz sposobu jej wyrażania. W niniejszym artykule przedstawione zostaną rodzaje uprawnień, jakie przysługują osobom, które już wyraziły zgodę na przetwarzanie danych osobowych. Jest to dosyć istotne zagadnienie, bowiem również na etapie samego przetwarzania danych osoby, których te dane dotyczą mają wiele możliwości modyfikacji stosunku łączącego je z administratorem ich danych. Dlatego też warto przyjrzeć im się nieco bliżej.

Przejrzystość oraz tryb korzystania z uprawnień (art. 12 RODO)

Pierwszym z uprawnień gwarantowanych przez RODO jest prawo do przejrzystego informowania oraz przejrzystej komunikacji ze strony administratora danych osobowych. Zgodnie z art. 12 ust. 1 RODO, administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 (była o nich mowa w artykule dotyczącym zgody na przetwarzanie danych osobowych), oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

Co więcej, stosownie do art. 12 ust. 2 RODO, administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22 (o których będzie mowa w dalszej części). W przypadku przetwarzania niewymagającego identyfikacji, o którym mowa w art. 11 ust. 2 RODO, administrator nie może ponadto odmówić podjęcia działań na żądanie osoby której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy art. 15-22, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.

Bardzo istotna jest kwestia niezwłoczności działań podejmowanych przez administratora, o czym stanowi art. 12 ust. 3 RODO. Zgodnie z tym przepisem, administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

Ponadto, zgodnie z ust. 4 niniejszego artykułu, jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Udzielane przez administratora informacje, z katalogu wymienionego w art. 13 i 14 RODO oraz komunikacja i działania podejmowane na mocy art. 15-22 i 34, są – co do zasady – wolne od opłat. Jednakże, jak wynika z art. 12 ust. 5 zd. 2 RODO, jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
odmówić podjęcia działań w związku z żądaniem.

Warto jednak przy tym dodać, iż Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa nie na osobie wnoszącej żądanie, której dane dotyczą, lecz na administratorze. Z kolei w przypadku pojawienia się uzasadnionych wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15-21, administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

Prawo dostępu do informacji (art. 15 RODO)

Niezwykle relewantnym uprawnieniem przysługującym osobom, których dane są przetwarzane, jest prawo dostępu do informacji, które ujęte są w katalogu wyrażonym przez art. 15 ust. 1 RODO. Jak stanowi ten przepis, osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

cele przetwarzania;
kategorie odnośnych danych osobowych;
informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
informacje o prawie wniesienia skargi do organu nadzorczego;
jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Sposób udostępnienia powyższych informacji regulowany jest przez art. 15 ust. 3 i 4 RODO. Stosownie do tych przepisów, administrator dostarcza osobie, której dane dotyczą, kopię (jedną) danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej. Oczywiście prawo do uzyskanie kopii, o którym mowa powyżej, nie może niekorzystnie wpływać na prawa i wolności innych osób.

Uprawnienia do sprostowania i usunięcia danych (art. 16-20 RODO)

Odrębną kategorię uprawnień tworzą prawa osoby do pewnej ingerencji w przetwarzanie swoich danych osobowych przez administratora. Są one określone w art. 16-20 RODO i obejmują: prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do otrzymania powiadomienia o sprostowaniu, usunięciu lub ograniczeniu danych oraz prawo do przesyłania danych innemu administratorowi.

Prawo do sprostowania i uzupełnienia danych (art. 16 RODO)

Często dochodzi do sytuacji, gdy błędne dane osobowe są wprowadzane, a następnie przetwarzane przez administratora w wyniku np. oczywistej omyłki pisarskiej czy błędów rachunkowych (może to wynikać za równo ze strony administratora danych i jego pracowników, jak i osoby, której dane dotyczą). Pomyłki takowe można konwalidować w trybie art. 16 RODO, który odnosi się do sprostowania i uzupełnienia danych. Jak wynika z brzmienia niniejszego przepisu, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Jak jednak wskazuje się w doktrynie, obowiązek administratora do sprostowania czy uzupełnienia danych, nie ma charakteru bezwzględnego – administrator może odmówić spełnienia żądania, jeśli może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą (zgodnie z art. 11 ust. 2 RODO), jak również gdy okazałoby się, że żądanie stoi w sprzeczności z zasadą prawdziwości danych art. 5 RODO (osoba żądałaby zmiany danych na dane nieprawdziwe). Jednakże tak jak przy pozostałych uprawnieniach osób, których dane dotyczą, to administrator będzie musiał wykazać, że żądanie sprostowania lub uzupełnienia danych jest niezasadne.

Prawo do usunięcia danych – tzw. „prawo do bycia zapomnianym” (art. 17 RODO)

W art. 17 RODO umiejscowione jest jedno z kluczowych uprawnień wykorzystywanym w prawie nowych technologii – prawo do usunięcia danych (określane także jako prawo do bycia zapomnianym). Stosownie do ust. 1 tego przepisu, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
dane osobowe były przetwarzane niezgodnie z prawem;
dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust.1.

Zgodnie z ust. 2, jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Zasady określone w ust. 1 i 2 nie mają jednak zastosowania do sytuacji, w zakresie w jakim przetwarzanie jest niezbędne:

do korzystania z prawa do wolności wypowiedzi i informacji;
do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do ograniczenia przetwarzania (art. 18 RODO)

Osoba, której dane dotyczą, ma także prawo do żądania ograniczenia przetwarzania jej danych osobowych. Z prawa tego można korzystać w następujących przypadkach:

osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, wnoszącą o ograniczenie przetwarzania jej danych.

Prawo do otrzymania powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO)

Co prawda wynika to pośrednio z przepisów każdego z wymienionych wyżej uprawnień, jednakże prawodawca unijny zdecydował się dobitniej podkreślić prawo osoby, której dane dotyczą, do otrzymania powiadomienia o sprostowaniu, uzupełnieniu, usunięciu lub ograniczeniu przetwarzania danych osobowych. Obowiązek ten rozciągnięty został nie tylko w stosunku do tych osób, ale także wobec odbiorców, którym ujawniono konkretne dane osobowe. Zgodnie z przepisem art. 19 RODO, administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

Prawo do przenoszenia danych (art. 20 RODO)

Jak stanowi art. 20 ust. 1 RODO, osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:

przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b);oraz
przetwarzanie odbywa się w sposób zautomatyzowany.

Co więcej, wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Wykonanie prawa do przenoszenia danych pozostaje bez uszczerbku dla art. 17 RODO (czyli jest niezależne od uprawnienia do usunięcia swoich danych osobowych). Nie ma ono jednak zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Jego realizacja nie może także niekorzystnie wpływać na prawa i wolności innych osób.

Prawo do sprzeciwu

Ostatnim z kluczowych uprawnień przysługujących osobie, której dane osobowe są przetwarzane, jest prawo do sprzeciwu, określone w art. 21 RODO. Stosownie do jego ust. 1, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno wtedy już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Oprócz tego, stosownie do ust. 2 i 3 niniejszego artykułu, jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. W takim przypadku administratorowi również nie wolno już przetwarzać do takich celów danych osobowych.

O prawie do wniesienia sprzeciwu informuje się osobę, której dane dotyczą najpóźniej przy okazji pierwszej komunikacji z tą osobą, w sposób wyraźny, jasny oraz odrębny od wszelkich pozostałych informacji. Osoba, której dane dotyczą, może wykonać prawo do sprzeciwu także za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne. Natomiast jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

Podsumowanie

Na gruncie przepisów RODO istnieje wiele norm prawnych stanowiących ochronę osób, których dane osobowe są przetwarzane. W niniejszym opracowaniu zostały zaprezentowane pokrótce najważniejsze z nich, kluczowe z praktycznego punktu widzenia, biorąc pod uwagę konflikty jakie pojawiają się w życiu codziennym w ramach stosowania przepisów o ochronie danych osobowych. Oczywiście istnieją też inne prawa przysługujące osobom, których dane dotyczą, jak np. prawo do informacji o naruszeniu danych osobowych (art. 34 RODO), czy też prawo do niepodlegania decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO). Dlatego też w przypadku wątpliwości, co do legalności danego zachowania, najlepiej uprzednio skonsultować swoje zamiary i dotychczasowe praktyki z profesjonalnym podmiotem doradczym, co na pewno przyczyni się do uniknięcia wielu sporów, a być może także roszczeń prawnych ze strony innych osób.

Źródła:

Bielak-Jomaa Edyta (red.) Chomiczewski Witold Czerniawski Michał Drobek Piotr Góral Urszula Kuba Magdalena Łuczak Joanna Makowski Paweł Witkowska-Nowakowska Katarzyna Zawadzka Natalia, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz., Wolters Kluwer Polska, 2018.
Fajgielski Paweł, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.

Artykuł Prawa przysługujące osobom, których przetwarzane są dane osobowe pochodzi z serwisu Okolice Biznesu.

Prawny charakter zgody na przetwarzanie danych osobowych

Krzysztof — Thu, 02 Jul 2020 11:08:14 +0000

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

W ostatniej analizie zostały przedstawione zasady przetwarzania danych osobowych na gruncie RODO. Do prawidłowego dysponowania danymi osobowymi wymagana jest zgoda osoby, której dane dotyczą. Bez niej bowiem przetwarzanie danych konkretnej osoby może zostać uznane za działanie wbrew jej woli, a co za tym idzie – bezprawne, co można wywieść m.in. z art. 6 ust. 1 lit. a czy art. 9 ust. 2 lit. a RODO. W niniejszym artykule zostaną omówione kwestie pojęcia zgody i jej determinantów określonych w RODO, jak również wymogów koniecznych do skutecznego jej wyrażenia. Pozwoli to bliżej przyjrzeć się obowiązkom, jakie ciążą na administratorach danych w związku z ich przetwarzaniem.

Pojęcie zgody i jej elementy konstrukcyjne

Zgodnie z definicją legalną, zawartą w art. 4 pkt 11 RODO: „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Jak wynika z powyższej definicji, zgoda może być wyrażona zarówno poprzez złożenie wyraźnego oświadczenia oświadczenia (pisemnego czy ustnego), jak i w sposób dorozumiany (per facta concludentia). Przez złożenie oświadczenia należy posiłkować się definicją zawartą w art. 60 Kodeksu cywilnego, zgodnie z którą oświadczeniem woli danej osoby jest każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej.

Jak wskazuje się w doktrynie charakter zgody obejmuje 4 obligatoryjne elementy:

dobrowolność
konkretność
świadomość
jednoznaczność.

Dobrowolność

Dobrowolność zgody oznacza, iż osoba, której dane dotyczą, ma rzeczywisty lub wolny wybór co do udzielenia zgody oraz może jej odmówić lub ją wycofać bez niekorzystnych konsekwencji. Z wymogiem jej zagwarantowania łączy się uprawnienie do rzeczywistego wycofania zgody, brak przymusu przy jej odbieraniu oraz możliwość odmowy jej wyrażenia. Brak przymusu oznacza, iż dobrowolna zgoda oznacza decyzję podjętą z własnej inicjatywy przez osobę będącą w pełni władz umysłowych, bez jakiegokolwiek przymusu o charakterze społecznym, finansowym, psychologicznym lub innym (a tym bardziej pod wpływem groźby karalnej).
Oczywiście nie wyklucza to aktywnego zachęcania podmiotu, którego dane dotyczą przez administratora danych do udzielenia zgody i wprowadzenia w pewnym zakresie różnicowania sytuacji prawnej podmiotów, które udzieliły zgody na określoną aktywność administratora względem ich danych, od podmiotów, które takiej zgody nie udzieliły (np. przystąpienie do programu lojalnościowego i czerpanie przysługujących z tego tytułu korzyści, czy zgodę na przesyłanie informacji handlowych w zamian za otrzymanie zniżki lub możliwość zapoznania się z określonymi treściami, w innym przypadku płatnymi, lub ściągnięcia e-booka).
Warto również podkreślić, iż zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna. Potwierdza to treść art. 7 ust. 4 RODO, zgodnie z którym „Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.”.

Konkretność

Jak przyjmuje się w doktrynie, aby wymóg konkretności zgody był spełniony, nie może ona w szczególności nie zawierać informacji na temat celu przetwarzania lub podawać je w sposób ogólny, blankietowy czy też odnosić się do otwartego zbioru czynności przetwarzania. By zatem zgoda była konkretna, w sposób zrozumiały musi określać wyraźnie i precyzyjnie cel oraz zakres przetwarzania. Nie musi to być, rzecz jasna jeden cel, gdyż przy takim rozumowaniu należałoby implikować, iż koniecznym do zachowania wymogu konkretności jest odbieranie osobnego aktu oświadczenia odnośnie każdego celu przetwarzania danych. Zdaniem części doktryny wystarczające jest jedno oświadczenie odnoszące się do większej liczby określonych celów, co można argumentować brzmieniem art. 6 ust. 1 lit. a RODO – ważne by cele te były dostatecznie sprecyzowane. Co więcej, jeśli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, musi ono być jasne, zwięzłe, a przy tym nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Świadomość

Świadomy charakter zgody jest bardzo silnie skorelowany z wymogiem jej konkretności. Aby zgoda była świadoma, administrator w chwili zwracania się o zgodę musi przedstawić wszystkie niezbędne informacje i powinny one dotyczyć istotnych aspektów przetwarzania. W tym kontekście należy stwierdzić, iż warunkiem świadomości wyrażenia zgody, jest spełnienie przez administratora obowiązków informacyjnych z art. 13 RODO (w przypadku osoby, której dane dotyczą) i 14 RODO (w przypadku innej osoby).

Zgodnie z pierwszym z przepisów:

„Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Co więcej, zgodnie z art. 13 ust. 2 RODO poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:

okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
informacje o prawie wniesienia skargi do organu nadzorczego;
źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Stosownie do art. 13 ust. 3 RODO, Informacje, o których mowa w ust. 1 i 2, administrator podaje:

w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Z kolei jak wynika z z art. 13 ust. 4 RODO, jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

Jednoznaczność

Ostatnim z konstytutywnych wymogów zgody na przetwarzanie danych osobowych jest wymóg jednoznaczności zgody. Zdaniem P. Fajgielskiego, wymóg, aby oświadczenie o zgodzie było jednoznaczne, oznacza, że wyrażenie zgody nie powinno budzić wątpliwości co do zamiaru osoby, która takie oświadczenie składa, zatem jeżeli oświadczenie o zgodzie można różnie interpretować i wyciągać z niego odmienne wnioski w przedmiocie zgody, to może pojawić się wątpliwość co do spełnienia omawianej tu przesłanki.

Sposób i warunki wyrażenia zgody

Jeśli chodzi o sposób i warunki wyrażenia zgody, to jak już zostało wspomniane wcześniej, nie musi mieć ono wyłącznie formy pisemnej, może nastąpić także w postaci elektronicznej, ustnie, a nawet w sposób konkludentny. Jednakże nieprzypadkowo administratorom danych rekomenduje się odbieranie oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych na piśmie. Zgodnie bowiem z art. 7 ust. 1 RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeśli więc dany podmiot decyduje się na odbiór oświadczenia ustnego, powinien zabezpieczyć się na wypadek zabezpieczenia dowodów, np. poprzez rejestrację oświadczenia (o której jednak również należy uprzednio poinformować daną osobę, która musi wyrazić zgodę na taką czynność). Stwarza to oczywiście dodatkowe trudności, dlatego optymalną formą wyrażania zgody jest tradycyjna forma pisemna (jednak autonomię w decyzji co do sposobu odebrania oświadczenia posiada administrator danych).
Klauzule dotyczące zgody na przetwarzanie danych osobowych powinny być łatwe do zrozumienia dla przeciętnego człowieka. Odnosi się to nie tylko do użycia „prostego i jasnego języka”, ale także do takich determinantów, jak krój czy wielkość czcionki.
Przepisy RODO nie określają też czasu obowiązywania zgody, jednak – co już zostało uprzednio zasygnalizowane – osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę (art. 7 ust. 3 zdanie pierwsze RODO). Jednakże wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest informowana o możliwości wycofania zgody, zanim ją wyrazi. Co ważne, wycofanie zgody musi być równie łatwe jak jej wyrażenie. Należy także podkreślić, iż zarówno wyrażenie zgody, jak i jej wycofanie mogą być zawarte również przez pełnomocnika, na podstawie szczegółowego upoważnienia określającego wyraźnie, w jakim zakresie zgoda na przetwarzanie danych mocodawcy ma być przez pełnomocnika udzielona (pełnomocnictwo rodzajowe, a tym bardziej – pełnomocnictwo ogólne – są w takiej sytuacji niewystarczające).

Wymogi dotyczące zgody udzielanej przez dziecko

Na koniec warto wspomnieć o pewnej specyfice wyrażania zgody na przetwarzanie danych osobowych przez osoby najmłodsze, nie posiadające pełnej (a w pewnych przypadkach nawet ograniczonej) zdolności do czynności prawnych. Zgodnie z art. 8 ust. 1 RODO, jeżeli zastosowanie ma art. 6 ust. 1 lit. a), w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Ponadto, Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat – w Polsce jednak takie działania nie zostały podjęte, zatem zastosowanie mają ogólne reguły wynikające z przepisów RODO.
W przypadkach zgody udzielanej w imieniu dziecka (najczęściej przez rodzica) administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała (art. 8 ust. 2 RODO). Sformułowanie „podejmuje rozsądne działania”, nie oznacza, iż administrator ma obowiązek każdorazowej weryfikacji, czy osoba wyrażająca zgodę jest rzeczywiście rodzicem bądź opiekunem dziecka, wystarczające jest podjęcie próby tym zakresie. Jak wskazuje P. Fajgielski, W praktyce mogą być przyjmowane różne rozwiązania mające pozwolić na weryfikację, np. rozmowa telefoniczna czy też konieczność potwierdzenia przez e-mail. Zdaniem Autora, „komentowany przepis nie nakłada też explicite obowiązku sprawdzenia, czy osoba osiągnęła wymagany wiek, jednak należy przyjąć, że ustanowienie tego rodzaju wymogu odnoszącego się do wieku pociąga za sobą konieczność dokonywania przez administratora weryfikacji spełnienia tego wymogu”.

Podsumowanie

Od skutecznie wyrażonej zgody na przetwarzanie danych osobowych zależy jego legalność. Jeśli bowiem zgoda nie została wyrażona, bądź jej wyrażenie nie spełnia wymogów dobrowolności, świadomości, konkretności i jednoznaczności, administrator danych osobowych będzie je przetwarzał w sposób bezprawny. Równie ważny jest sposób i warunki udzielenia samej zgody, o których mowa w przepisach RODO. O ich przestrzeganie musi dbać przede wszystkim podmiot przetwarzający, gdyż to on jest obowiązany do wykazania, że przetwarzane przez niego dane nie naruszają przepisów rozporządzenia (a więc również, że doszło do wyrażenia skutecznej zgody na przetwarzanie danych).

Źródła:

Bielak-Jomaa Edyta, Lubasz Dominik, Chomiczewski Witold, Czerniawski Michał, Drobek Piotr, Góral Urszula, Kuba Magdalena, Łuczak Joanna, Makowski Paweł, Witkowska-Nowakowska Katarzyna i Zawadzka Natalia. RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018.
Fajgielski Paweł. Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.

Artykuł Prawny charakter zgody na przetwarzanie danych osobowych pochodzi z serwisu Okolice Biznesu.

Zasady przetwarzania danych osobowych na gruncie RODO

Krzysztof — Mon, 22 Jun 2020 06:51:52 +0000

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

W poprzednim artykule zostało wyjaśnione czym są dane osobowe oraz na jakie kategorie dzielą je przepisy RODO (a więc Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku – w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)). Kolejnym niezwykle istotnym zagadnieniem jest pojęcie przetwarzania danych osobowych oraz operacji do niego pochodnych. Wyjaśnienie tej kwestii pozwoli bowiem na przeanalizowanie zasad przetwarzania danych osobowych, do których przestrzegania zobowiązują przepisy RODO.

Pojęcie przetwarzania danych osobowych i ich rodzaje

Jak wynika z definicji art. 4 pkt 2 RODO „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak:

zbieranie,
utrwalanie,
organizowanie,
porządkowanie,
przechowywanie,
adaptowanie lub modyfikowanie,
pobieranie,
przeglądanie,
wykorzystywanie,
ujawnianie poprzez przesłanie,
rozpowszechnianie lub innego rodzaju udostępnianie,
dopasowywanie lub łączenie,
ograniczanie,
usuwanie
lub
niszczenie.

Definicja ta zawiera trzy przesłanki ogólne charakteryzujące kategorię przetwarzania (które muszą być spełnione kumulatywnie) oraz przykładowy katalog czynności, które mogą je stanowić.

Oprócz tego, prawodawca unijny zdecydował zawrzeć legalne definicje dwóch szczególnych rodzajów przetwarzania danych osobowych, tj. profilowania i pseudonimizacji. Zgodnie z art. 4 pkt 4 RODO profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Jak wskazuje się w doktrynie, profilowanie umożliwia wywiedzenie, poprzez wnioskowanie z już posiadanych danych, dodatkowych informacji o konkretnej osobie, co wiąże się z ryzykiem:

błędnej oceny danej osoby i dyskryminacji;
naruszenia prawa do prywatności (w szczególności poprzez brak wiedzy podmiotu danych o tym, że jest profilowany);
podważenia autonomii informacyjnej jednostki (brak wiedzy o tym, które dane są wykorzystywane do profilowania i jakie wnioski o cechach lub przyszłym zachowaniu są formułowane).

Jako przykłady profilowania można wskazać gromadzenie informacji dotyczących preferencji i aktywności użytkowników serwisów internetowych m.in. dla spersonalizowania oferty skierowanej do tych użytkowników, jak również sytuacje korzystania z różnego rodzaju urządzeń, które gromadzą informacje o sposobie zachowania użytkowników (np. samochody wyposażone w moduł GPS i przekazujące drogą radiową informacje na temat położenia, przebytej trasy, stylu i prędkości jazdy i wiele innych informacji).

Jeśli chodzi o pseudonimizację, to jej definicja zawarta jest w art. 4 pkt 5 RODO, stosownie do którego termin ten oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Może ono przebiegać na różne sposoby, najczęściej w drodze przypisania pseudonimu bezpośrednio poprzez osobę, której dane dotyczą, lub choćby z wykorzystaniem numeru ID użytkownika (podmiot odpowiedzialny za dane osobowe użytkowników może w tym celu skorzystać także z usług podmiotu trzeciego, np. jednostki certyfikacyjnej).

Główne zasady dotyczące przetwarzania danych

Katalog podstawowych zasad przetwarzania danych osobowych wyrażony przede wszystkim w art. 5 RODO. Na gruncie tego przepisu doktryna wyodrębniła następujące zasady przetwarzania danych osobowych, posiadające nadrzędną moc w stosunku do pozostałych przepisów o ochronie danych osobowych:

Zasadę legalności (zgodności z prawem),
Zasadę rzetelności,
Zasadę przejrzystości,
Zasadę celowości (ograniczenia celu przetwarzania),
Zasadę adekwatności (minimalizacji danych),
Zasadę prawidłowości (merytorycznej poprawności danych),
Zasadę ograniczenia przechowywania,
Zasadę integralności i poufności (bezpieczeństwa danych)
oraz
Zasadę rozliczalności.

Powyższe zasady – jak podkreśla P. Fajgielski – muszą być spełnione łącznie, z czego można wywieść, iż przetwarzanie danych osobowych naruszające którąkolwiek z zasad, będzie stanowiło naruszenie przepisów RODO. Z drugiej strony autor ten podkreśla, iż większość z zasad ogólnych nie ma charakteru absolutnego i podlega ograniczeniom, które jednakowoż powinny być wyraźnie określone przepisami prawa i nie podlegać interpretacji rozszerzającej.

Zasada legalności (zgodności z prawem)

W zasadzie tej nie chodzi tylko o przetwarzanie zgodnie z przepisami RODO, ale także zgodnie z innymi aktami normatywnymi, które bezpośrednio lub pośrednio wkraczają w sferę danych osobowych. Zgodnie z poglądami doktryny i orzecznictwem sądów administracyjnych, brak wystarczających środków finansowych czy też trudności natury technicznej bądź organizacyjnej nie stanowią usprawiedliwienia dla naruszenia przepisów o ochronie danych osobowych przy przetwarzaniu danych.

Zasada rzetelności

Słownik Języka Polskiego PWN opisuje słowo „rzetelny” jako:

1) wypełniający należycie swe obowiązki,

2) taki, jaki powinien być, odpowiadający wymaganiom,

3) zgodny z prawdą, wiarygodny.

Jednocześnie określenie to użyte w polskiej wersji RODO jest przetłumaczone z angielskiego fair, dlatego też w doktrynie wskazuje się, iż bardziej zasadnym byłoby uznanie, iż wymóg rzetelności obejmuje postępowanie w sposób uczciwy i w dobrej wierze.

Zasada przejrzystości

Zasada ta wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Wynika z niej obowiązek informowania osób które dane dotyczą m.in. o:

tożsamości administratora danych,
celach przetwarzania danych,
innych niezbędnych informacji, mających wpływ na rzetelność i przejrzystość przetwarzania.

Ponadto z zasady przejrzystości wynika uprawnienie podmiotów danych do uzyskania potwierdzenia oraz informacji o przetwarzanych danych osobowych ich dotyczących. Generalnie zatem na administratorach danych osobowych ciąży powinność uświadomienia osobom fizycznym ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem danych osobowych oraz sposobów wykonywania praw przysługujących im w związku z takim przetwarzaniem.

Zasada celowości (ograniczenia celu przetwarzania)

Zgodnie z art. 5 ust. 1 lit. b RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, jednocześnie zaś dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami. Jak podkreśla P. Ziółkowski, prawodawca unijny wyraźnie tu stwierdził, że przetwarzanie danych osobowych musi być celowe i uzasadnione – jeżeli cel jest osiągnięty, dalsze przetwarzanie nie powinno mieć miejsca, chyba że zmieni się cel przetwarzania.

Zasada adekwatności (minimalizacji danych)

Stanowi ona, iż przetwarzane dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”). W praktyce ma ona bardzo doniosłe znaczenie – przykładem jej zastosowania może być sklep wysyłkowy, który może przetwarzać dane nabywcy konieczne do realizacji usługi (imię, nazwisko, adres, e-mail itp.), jednak nie jest uprawniony do przetwarzania innych jego danych, np. preferencji politycznych czy danych o charakterze biometrycznym. Należy też się zgodzić z poglądem doktryny, że „zbieranie danych, które potencjalnie w przyszłości mogą być użyteczne, lecz nie jest to jeszcze wiadome i cel tego wykorzystania nie został jeszcze określony (zbieranie danych „na zapas”), nie jest dopuszczalne zgodnie z omawianą zasadą”.

Zasada prawidłowości (merytorycznej poprawności danych)

Zgodnie z art. 5 ust. 1 lit. d RODO, dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane. Ponadto należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Zdaniem P. Fajgielskiego, z zasady prawidłowości wynika obowiązek administratora danych uaktualnienia danych „w razie potrzeby”, co oznacza, że powinien on reagować na sygnały dotyczące nieprawidłowości, jednak nie ma po jego stronie obowiązku ciągłego przeglądania zasobów swoich baz danych w celu wyszukiwania danych nieprawidłowych.

Zasada ograniczenia przechowywania

Wynika ona z art. 5 ust. 1 lit. e RODO, wedle którego: dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Jednakże dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą. Zasada ta koresponduje z prawem do usunięcia danych (prawo do bycia zapomnianym), z drugiej jednak strony istnieje możliwość nieograniczonego czasowo przechowywania danych, o ile zostaną zanonimizowane, a więc przekształcone do postaci, która nie pozwala na identyfikację osób, których dane dotyczyły (wymogu tego natomiast nie spełnia pseudonimizacja).

Zasada integralności i poufności (bezpieczeństwa danych)

Zasada ta oznacza przetwarzanie w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. P. Ziółkowski wskazuje przy tym, iż metodami realizacji tej zasady są tu w praktyce robienie kopii bezpieczeństwa i wprowadzanie haseł do systemu (w przypadku danych elektronicznych) oraz przechowywanie w sposób uniemożliwiający poznanie ich treści przez osoby postronne (w przypadku danych w postaci papierowej) – poprzez wykorzystywanie zamykanych szaf i stosowanie tzw. „zasady czystego biurka”. Równie ważne jest w tym kontekście uświadamianie swoich pracowników, aby bez zezwolenia nie wynosili dokumentacji z zakładu pracy czy też nie ujawniali informacji o klientach.

Zasada rozliczalności

Nakłada ona na administratora danych osobowych obowiązek nie tylko przestrzegania powyżej omówionych zasad, ale także wykazania ich przestrzegania (co może być przydatne np. podczas kontroli). Nie może być to, rzecz jasna, działanie jednorazowe, a wdrażane środki powinny być w miarę potrzeb weryfikowane i aktualizowane. Jak wskazuje się w doktrynie, pomocnym w wykazywaniu przez administratora danych przestrzegania przepisów RODO może okazać się stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji.

Podsumowanie

Przestrzeganie zasad przetwarzania danych osobowych jak i sama definicja przetwarzania są fundamentalną kwestią w zrozumieniu praktycznego obchodzenia się z danymi osób fizycznych w ramach prowadzonej działalności gospodarczej. Zgodnie z RODO definicja przetwarzania danych osobowych ma bardzo szeroki zakres, co sprawia, że praktycznie każda operacja takimi danymi, a wręcz styczność z nimi jest nią objęta. Istotne więc jest by przetwarzając dane np. klientów, kontrahentów, czy nawet własnych pracowników, robić to zgodnie z wszystkimi zasadami wskazanymi w art. 5 RODO. Równie istotnym co przestrzeganie zasad, jest wykazanie stosowania środków, które te zasady realizują, co często bywa trudne w praktyce. W niniejszej analizie zostały pokrótce przedstawione charakterystyki poszczególnych zasad i ich realizacji, jednakże można bez trudu wyobrazić sobie wiele problemów praktycznych przy stosowaniu każdej pojedynczej z nich. Dlatego też w sytuacji konkretnego stanu faktycznego najlepszym rozwiązaniem będzie zwrócenie się o dokonanie analizy prawnej i zaproponowania rozwiązań, które w danym przypadku pomogą lepiej funkcjonować firmie, a jednocześnie nie narażać się na ryzyko naruszenia przepisów RODO.

Źródła

Drobek Piotr. Art. 5. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018.
Fajgielski Paweł. Art. 4. W: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.
Lubasz Dominik, Chomiczewski Witold, Czerniawski Michał, Drobek Piotr, Góral Urszula, Kuba Magdalena, Makowski Paweł i Witkowska-Nowakowska Katarzyna. Art. 4. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018.
P. Ziółkowski, Zasady przetwarzania danych, SIP LEX 2018.

Artykuł Zasady przetwarzania danych osobowych na gruncie RODO pochodzi z serwisu Okolice Biznesu.

Pojęcie i kategorie danych osobowych na gruncie RODO

Krzysztof — Wed, 10 Jun 2020 12:45:13 +0000

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

Celem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku – w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), przywoływanego w dalszej części jako: „RODO”, jest ochrona osób fizycznych w związku z przetwarzaniem danych osobowych. W związku z tym, przystępując do analizy kluczowych aspektów powyższego aktu prawnego oraz jego wpływu na nasze codzienne życie (zarówno prywatne, jak i zawodowe), należy już na samym początku wyjaśnić, czym na gruncie RODO są dane osobowe oraz jakie kategorie danych osobowych możemy wyróżnić.

Definicja danych osobowych

Pojęcie danych osobowych definiowane jest w art. 4 pkt 1 RODO. Stosownie do treści tego przepisu, oznaczają one wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Tak określona definicja danych osobowych, jak i osoby fizycznej powoduje, że ma ona de facto zastosowanie do każdego z nas. Co więcej, ma ona charakter otwarty, gdyż niemożliwym jest wymienienie wszystkich typów informacji, które wypełniają pojęcie danych osobowych (wynika ona także z zastosowanego w przepisie zwrotu „w szczególności”).

Zgodnie z doktryną, do przykładowego katalogu danych osobowych można niewątpliwie zaliczyć takie informacje jak:

imię, nazwisko,
adres zamieszkania,
numer PESEL,
NIP,
seria i numer dowodu osobistego lub paszportu,
data i miejsce urodzenia,
numer telefonu,
wykonywany zawód,
wysokość wynagrodzenia,
wizerunek,
stan cywilny,
obywatelstwo,
stan zdrowia,
wykształcenie,
karalność,
adres e-mail,
ale także:
identyfikatory internetowe,
adresy IP,
identyfikatory plików cookie – generowanych przez urządzenia, aplikacje, narzędzia i protokoły,
głos na nagraniu rozmowy telefonicznej,
twarz na nagraniu z kamery,
tablice rejestracyjne samochodu,
płeć, kolor i kształt tęczówki,
waga,
wzrost,
odcisk palca,
informacje o przebywaniu w konkretnym miejscu,
informacje o przejeździe środkami komunikacji miejskiej,
grupa krwi,
struktura kodu genetycznego.

Istotna rzecz, na którą trzeba zwrócić uwagę, to fakt, iż dane osobowe dotyczą osób fizycznych, co implikuje z kolei, iż nie podlegają ochronie prawnej na gruncie RODO dane osób prawnych oraz jednostek organizacyjnych mających zdolność prawną, a nieposiadających osobowości prawnej. Tak samo rzecz się ma, jeśli chodzi o osoby fizyczne reprezentujące osoby prawne (takie jak np. spółki kapitałowe) – mocą przepisów szczególnych niektóre dane osobowe takich podmiotów podlegają ujawnieniu (m.in. w KRS czy CRBR). W przypadku jednoosobowej spółki z o.o. informacje dotyczące osoby fizycznej mogą okazać się tożsame z informacjami dotyczącymi osoby prawnej, z kolei w przypadku osób fizycznych prowadzących działalność gospodarczą, katalog danych jawnych, udostępnianych w CEIDG, może być ograniczony wolą przedsiębiorcy (zgodnie z art. 43 ust. 1 ustawy z dnia 6 marca 2018 roku – o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz. U. z 2019 r., poz. 1291), CEIDG udostępnia zawarte w niej dane i informacje, o których mowa w art. 5 ust. 1 i 2, z wyjątkiem numeru PESEL, daty urodzenia oraz danych kontaktowych, o których mowa w art. 5 ust. 1 pkt 7, w przypadku gdy, podając je, osoba uprawniona sprzeciwiła się ich udostępnianiu w CEIDG).

Kategorie danych osobowych

Na gruncie przepisów RODO możemy wyróżnić trzy podstawowe kategorie danych osobowych:

tzw. zwykłe dane osobowe
szczególne dane osobowe z art. 9 RODO (tzw. dane wrażliwe)
oraz
dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (wymienione w art. 10 RODO).

Jeśli chodzi o zwykłe dane osobowe, to co do zasady można do nich zaliczyć wszystkie dane, których nie można zaklasyfikować do pozostałych kategorii. O ile takimi danymi będą przykładowo imię, nazwisko, NIP, PESEL, czy wykonywany zawód, o tyle przymiotu zwykłych danych osobowych nie będą posiadały takie informacje jak wizerunek, grupa krwi, odcisk linii papilarnych, temperatura ciała, czy zawartość alkoholu w wydychanym powietrzu.

Szczególne dane osobowe (dane wrażliwe) tym różnią się od zwykłych danych osobowych, że ze względu na ich charakter przetwarzanie jest zasadniczo zabronione. Zakaz ten wynika z art. 9 ust. 1 RODO, który stanowi:

„Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.”.

Nie ma on jednak charakteru absolutnego – zgodnie z art. 9 ust. 2 RODO, nawet dane wrażliwe będą mogły być przetwarzane, jeśli spełniony jest choćby jeden z poniższych warunków:

osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Co więcej, z przepisu art. 9 ust. 1 RODO wynikają 4 grupy danych wrażliwych:

dane osobowe ujawniające:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych;

dane genetyczne,
dane biometryczne
oraz
dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby.

O ile dane z pkt 1 nie wymagają szerszego omówienia, o tyle należy pochylić się nad tym, jakie faktory determinują pozostałe grupy danych.

Dane genetyczne zdefiniowane są w art. 4 pkt 13 RODO i oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej. Jak wskazuje P. Fajgielski, „(…) W motywie 34 preambuły wskazano, że dane genetyczne to dane dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji. Informacje te mogą wskazywać np. na predyspozycje osoby do wystąpienia różnych chorób. (…)”.

Z kolei dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (art. 4 pkt 14 RODO). Oprócz kategorii wskazanych expressis verbis w powyższym przepisie, w ramach tej grupy coraz częściej wykorzystywane są inne kategorie danych, jak np. obraz tęczówki oka, geometria dłoni, układ naczyń krwionośnych dłoni (odzwierciedlające różnorodne cechy fizyczne lub fizjologiczne). Danymi biometrycznymi mogą być również informacje dotyczące sposobu zachowania się człowieka, a więc cech behawioralnych, jak np. brzmienie głosu, sposób poruszania się. We współczesnych czasach dane biometryczne są coraz częściej wykorzystywane np. w dokumentach tożsamości, w systemach zabezpieczeń dostępu, w bankomatach itp..

Wreszcie, zgodnie z art. 4 pkt 15 RODO, przez dane dotyczące zdrowia należy rozumieć dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Definicja ta jest dosyć szeroka, gdyż obejmuje nie tylko informacje odnoszące się do zdrowia fizycznego lub psychicznego osoby (np. informacja, na jakie schorzenie cierpi osoba), ale obejmują również informacje o korzystaniu z usług opieki zdrowotnej (np. wizyt u lekarza, świadczeń medycznych, przepisanych lekarstw itp.). W przepisie nie wskazano explicite informacji dotyczących nałogów danej osoby, jednakże zgodnie z większościowym poglądem w doktrynie, również informacje o nałogach czy uzależnieniach wchodzą w zakres danych dotyczących zdrowia.

Na koniec wypada wspomnieć także, czym są dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (nienależące ani do kategorii zwykłych danych osobowych, ani do kategorii szczególnych danych osobowych). Kategoria ta odnosi się danych dotyczących wyroków skazujących oraz naruszeń prawa. Mimo, że polski ustawodawca przyznał omawianej kategorii danych status danych wrażliwych, prawodawca unijny nie uwzględnia powyższych danych w katalogu danych wrażliwych. Zgodnie bowiem z treścią art. 10 ust. 1 RODO,

„Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.”.

Nie wchodząc w szczegóły dotyczące tej grupy danych, trzeba jedynie zasygnalizować, że rejestrami, o których mowa w zdaniu drugim powyższego przepisu, są Krajowy Rejestr Karny oraz Rejestr Sprawców Przestępstw na Tle Seksualnym.

Podsumowanie

Pojęcie danych osobowych na gruncie RODO jest bardzo szerokie i możemy uznać, że każda informacja odnosząca się do pewnej indywidualnie wskazanej osoby tę definicję wypełnia. Bardzo ważne jest także określenie kategorii danych, bowiem ma to wpływ na istnienie możliwości przetwarzania konkretnej informacji. Szczególne istotne jest przestrzeganie zakazu przetwarzania danych szczególnych (wrażliwych), choć i tutaj prawodawca unijny przewidział szereg wyłączeń. W razie wątpliwości w konkretnej sprawie warto przed podjęciem decyzji o przetwarzaniu skonsultować się z profesjonalnym doradcą w zakresie RODO, co zminimalizuje ryzyko powstania po stronie podmiotu przetwarzającego dane zapłaty administracyjnej kary pieniężnej bądź odszkodowania.

Źródła:

Glumińska-Pawlic Jadwiga, Bielecka Dominika, Derela Klaudia, Grzybczyk Paulina, Hofman Artur, Markowicz Jan, Mikuła Marek, Mrozińska Agata , Oleś Artur, Orpik Klaudia, Sikorski Jakub i Zarzycki Łukasz. 4. Rozporządzenie 2016/679. W: Działalność gospodarcza w sektorze MŚP. Wolters Kluwer Polska, 2020.
Fajgielski Paweł. Art. 4. W: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.
Kuba Magdalena. Art. 10. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018.

Artykuł Pojęcie i kategorie danych osobowych na gruncie RODO pochodzi z serwisu Okolice Biznesu.