Nie ubędzie kłopotów z ochroną danych osobowych

Z początkiem nowego roku zaczną obowiązywać znowelizowane przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182), które zmienione zostały uchwaloną 7 listopada 2014 r. ustawą o ułatwieniu wykonywania działalności gospodarczej (Dz.U. poz. 1662).

Zmiany w zakresie bezpieczeństwa danych osobowych wejdą w życie już od 1 stycznia 2015 r. i dotyczyć będą trzech zagadnień:

● powoływania i kompetencji administratorów bezpieczeństwa informacji (ABI),

● rejestracji zbiorów danych osobowych,

● transferu danych do państw trzecich.

Zmiany dotyczące charakteru nowego ABI oraz jego zadań, zwłaszcza związanych z prowadzeniem rejestru zbiorów danych osobowych prowadzonych przez administratora, muszą skłonić przedsiębiorców do poważnego zastanowienia się nad celowością powoływania ABI.

Wybór, przed którym staje przedsiębiorca, sprowadza się do rozstrzygnięcia, czy łatwiej w jego ocenie będzie mu samodzielnie sprawować ochronę danych osobowych, bez wyznaczania powołanej do tego osoby, ale z koniecznością np. dokonywania rejestracji zbiorów danych osobowych u generalnego inspektora ochrony danych osobowych (GIODO), czy też korzystniejszym rozwiązaniem będzie powołanie ABI nowego typu, który w znacznej części przejmie odpowiedzialność za wykonywanie tych zadań.

Pamiętać też trzeba, że ABI nowego typu będzie mógł zadziałać jako osoba przeprowadzająca kontrolę na żądanie GIODO.

Każdy przedsiębiorca będzie musiał uwzględnić ponadto, że wynajęcie ABI nowego typu może okazać się droższe niż dotychczas z uwagi na zmianę charakteru tej funkcji i szczegółowe określenie dość znaczących zadań powierzonych administratorowi bezpieczeństwa informacji.

Poniżej omawiamy najnowsze przepisy oraz dodatkowo wyjaśniamy dotychczasowe najczęstsze wątpliwości przedsiębiorców związane ze stosowaniem ustawy o ochronie danych osobowych.

Jaka będzie rola ABI po zmianach

obowiązki od 1 stycznia 2015 r.

Administratorzy bezpieczeństwa informacji to osoby wyznaczane przez administratora danych do sprawowania nadzoru nad przestrzeganiem zasad ochrony danych. Dotychczas ustawa nie określała ani wymogów, jakie musi spełnić osoba, żeby zostać ABI, ani szczegółowych kompetencji takiej osoby. Wątpliwe było również i to, czy istnieje obowiązek powołania ABI przez administratorów będących osobami prawnymi.

Nowelizacja bardzo istotnie zmienia ten stan rzeczy. Nowe przepisy wyraźnie wskazują, że powołanie ABI będzie uprawnieniem, a nie obowiązkiem administratora. Jeżeli administrator zdecyduje się powołać ABI, to będzie musiał wyznaczyć do pełnienia tej funkcji osobę, która spełnia następujące warunki:

● ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

● ma odpowiednią wiedzę w zakresie ochrony danych osobowych,

● nie była karana za umyślne przestępstwo.

Do zadań ABI należeć będzie zapewnianie przestrzegania przepisów o ochronie danych osobowych oraz - co jest szczególnie istotną nowością - prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

W ramach nadzoru nad przestrzeganiem przepisów ABI zobowiązany będzie do:

● zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

● nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki ich ochrony oraz przestrzegania zasad w niej określonych,

● szkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie przepisów o ochronie danych osobowych.

ABI będzie musiał podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Ustawa przewiduje możliwość powołania zastępców ABI oraz to, że ABI będzie mógł wykonywać inne obowiązki, jeżeli nie naruszy to prawidłowego wykonywania jego podstawowych zadań.

Z uwagi na zmianę charakteru ABI utworzony zostanie centralny rejestr ABI prowadzony przez GIODO. Powołanie i odwołanie ABI administrator danych zobowiązany będzie zgłosić do tego rejestru.

ABI nowego typu na żądanie GIODO będzie zobowiązany do dokonania sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Oznacza to, że ABI, chociaż powoływany przez administratora, będzie mógł być swego rodzaju kontrolerem działającym na rzecz GIODO.

W ramach sprawdzania zgodności przetwarzania danych osobowych z przepisami ABI zobowiązany będzie do ustalenia stanu faktycznego i zebrania dowodów potwierdzających ustalone przez niego fakty. ABI będzie mógł także żądać udzielenia informacji przez wskazane przez niego osoby czy przeprowadzić oględziny. Z przeprowadzanych w ramach sprawdzenia czynności ABI będzie musiał sporządzić protokół. Efektem sprawdzenia prowadzonego przez ABI będzie sprawozdanie, które ma trafić do administratora danych.

Administrator danych będzie mógł wnieść uwagi lub zastrzeżenia do sprawozdania przygotowanego przez ABI.

Nowe kompetencje ABI - opisane powyżej - wyraźnie wskazują, że chociaż ABI będzie wyznaczany przez administratora, to jego pozycja w strukturze organizacyjnej przedsiębiorstwa będzie szczególna, zwłaszcza w przypadku działania w wyniku żądania GIODO.

ABI, którzy zostali powołani przed wejściem w życie omawianych przepisów, mogą pełnić swoją funkcję do czasu zgłoszenia ich do nowo utworzonego rejestru ABI, nie dłużej jednak niż do 30 czerwca 2015 r.

Administrator danych, który powoła i zgłosi ABI do rejestru prowadzonego przez GIODO, będzie zwolniony z obowiązku zgłaszania GIODO prowadzonych przez siebie zbiorów danych osobowych. Powyższe zwolnienie nie będzie dotyczyło jednak zbiorów zawierających dane wrażliwe.

Nie oznacza to jednak, że zbiory danych prowadzone przez administratorów nie będą w ogóle rejestrowane. Obowiązek ten zostanie bowiem przeniesiony z GIODO na ABI, który będzie prowadził wewnętrzny rejestr prowadzonych przez administratora zbiorów danych osobowych.

ABI nie będzie musiał prowadzić rejestru zbiorów danych, które dotychczas korzystały ze zwolnienia od zgłoszenia do GIODO, tj. w szczególności zbiorów danych przetwarzanych w związku z zatrudnieniem u administratora danych lub w związku ze świadczeniem na rzecz administratora usług na podstawie umów cywilnoprawnych; przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej czy też zbiorów danych zawierających wyłącznie dane powszechnie dostępne.

Nowością jest, że obowiązek wewnętrznej rejestracji nie będzie dotyczył danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, chyba że dane te obejmują dane wrażliwe, tj. m.in. ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przynależność wyznaniową, partyjną lub związkową czy przedstawiają informacje o stanie zdrowia.

Nowelizacja przewiduje ułatwienia w zakresie transferu danych do państw trzecich.

Obecnie zgoda GIODO (wydawana w drodze decyzji administracyjnej) jest wymagana w każdym przypadku, gdy administrator danych chce przekazać dane osobowe do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych.

Dzieje się tak również w sytuacji zawarcia przez administratora i odbiorcę danych umowy zawierającej standardowe klauzule umowne, które - na mocy decyzji Komisji Europejskiej - mają przymiot instrumentu prawnego chroniącego w odpowiednim stopniu prawa i wolności osoby.

Nowelizacja zwalnia administratora danych dokonującego transferu danych przy zastosowaniu standardowych klauzul umownych z obowiązku występowania do GIODO z wnioskiem o wyrażenie zgody na przekazanie danych. Będzie on jedynie zobowiązany do ścisłego stosowania się do tekstu zatwierdzonych przez Komisję Europejską klauzul umownych. Zmiana ta eliminuje niecelowe, a czasami długotrwałe i obciążające przedsiębiorcę rozwiązanie polegające na dwukrotnym badaniu przez różne podmioty tych samych zagadnień.

Zmiany doprowadzą również do sytuacji, w której GIODO będzie mógł zatwierdzać wiążące reguły korporacyjne, tj. wewnętrzne zasady postępowania w zakresie ochrony danych osobowych przyjmowane w ramach międzynarodowych korporacji.

Przyjęcie takich reguł do stosowania przez całą korporację będzie oznaczało, że wszyscy administratorzy danych należący do tej korporacji będą mogli przekazywać między sobą dane osobowe bez uzyskiwania odrębnych zgód GIODO, jeżeli stosują te reguły.

Z uwagi na to, że podobne rozwiązanie znane jest już w innych krajach członkowskich UE, ustawa przewiduje, że GIODO przed zatwierdzeniem wiążących reguł korporacyjnych może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw, na których terytorium mają siedziby przedsiębiorcy należący do grupy. Jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia organu ochrony danych osobowych innego państwa, GIODO może uwzględnić to rozstrzygnięcie, co zapewne istotnie ułatwi zatwierdzenie w Polsce reguł uprzednio zatwierdzonych w innym kraju UE.

Obecnie obowiązujące przepisy też budzą wątpliwości

Informacje wrażliwe umieszczane w chmurze

Odróżnienie administratora od przetwarzającego dane osobowe jest kluczowe dla ustalenia obowiązków ciążących na danym podmiocie w zakresie zapewnienia przetwarzania danych zgodnie z prawem. Zdarza się, że ustalenie roli danego podmiotu nie jest łatwe. Administratorem danych będzie zawsze ten podmiot, który określa cele i sposoby przetwarzania danych; przetwarzającym - ten, który działa w imieniu administratora i nie podejmuje we własnym zakresie działań polegających na określeniu celów i sposobów przetwarzania.

Co do zasady zatem, to klient usługi w chmurze powinien być uznany za administratora danych.

Umowę o powierzeniu przetwarzania danych osobowych należy podpisać w każdym przypadku, w którym administrator zleca innemu podmiotowi (przetwarzającemu) jakąkolwiek czynność z zakresu przetwarzania danych osobowych.

Umowa jest konieczna, jeżeli istotnie mamy do czynienia z danymi osobowymi (a za takie uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej), a inny podmiot niż administrator na zlecenie administratora dokonuje jakichkolwiek operacji na tych danych (takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie lub usuwanie).

Przetwarzający może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Dlatego też istotne jest, aby strony uzgodniły, jakie w szczególności dane będą powierzone do przetwarzania i jaki jest zakres obowiązków procesora.

Umowa o powierzeniu przetwarzania danych osobowych nie musi być osobnym dokumentem. Postanowienia dotyczące tego zagadnienia mogą stanowić treść umowy o usługi w chmurze.

Zgodnie z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182) umowa powierzenia danych do przetwarzania powinna zostać zawarta na piśmie. Dla zachowania wymogów ustawy nie wystarczy zatem zaakceptowanie dostępnego wyłącznie online formularza i ogólnych warunków usług stosowanych przez dostawcę. Należy jednak uznać, że umowa taka będzie skuteczna, a konsekwencji dopatrzyć się będzie można co najwyżej w zakresie postępowania dowodowego prowadzonego w razie sporu.

Często relacja między klientem a dostawcą przedstawia się w ten sposób, że klient-administrator może wyłącznie zaakceptować treść warunków świadczenia usług przez usługodawcę-procesora. Nie zwalnia to jednak administratora z odpowiedzialności za dane osobowe. To na administratorze ciąży obowiązek ustalenia, w jaki sposób działa usługodawca i czy np. nie przekazuje danych do państw spoza UE, czy zatrudnia podwykonawców z takich państw, czy zapewnia przewidziane polskim prawem warunki zabezpieczenia danych itp.

Jeżeli usługodawca nie zapewnia ochrony zgodnej z przepisami prawa polskiego lub istnieje zagrożenie transferu danych do państw spoza UE, administrator - aby pozostać w zgodzie z regulacjami dotyczącymi ochrony danych osobowych - nie powinien korzystać z usług takiego dostawcy.

W przypadku, w którym mamy do czynienia ze zwykłą relacją, gdzie klient usług chmurowych jest administratorem, a dostawca tych usług - procesorem, na przekazanie danych dostawcy usług chmurowych nie jest wymagana zgoda osób, których przetwarzane w ten sposób dane dotyczą. Ciągle bowiem to klient usług w chmurze jest administratorem tych danych, a dane przetwarzane są przez niego, z tym że za pomocą wybranego przez niego podmiotu trzeciego (tj. dostawcy usług w chmurze).

Powierzanie danych podmiotom trzecim

Prawo przewiduje kilka podstaw do przetwarzania danych osobowych. Przetwarzanie danych jest dopuszczalne:

1) za zgodą osoby, której dane dotyczą;

2) jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3) jeżeli jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4) jeżeli jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5) jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Nie tylko zgoda osoby uprawnia zatem do przetwarzania danych. Przetwarzanie danych osobowych może w szczególności być niezbędne do zrealizowania umowy, której stroną jest osoba, której dane dotyczą. W konkretnym przypadku zatem może się np. okazać, że dla realizacji uprawnień z gwarancji konieczne jest przekazanie danych osobowych producentowi rzeczy czy innemu podmiotowi.

Pamiętać jednak należy, że przesłanki dopuszczalności przetwarzania danych nie mogą być nadużywane, a i zakres przekazywanych danych musi być uzasadniony rzeczywistą potrzebą. Sprzedawca nie powinien zatem przekazywać żadnych danych osobowych, o ile nie jest to konieczne do przeprowadzenia postępowania reklamacyjnego.

Administrator może, a nawet powinien kontrolować podmiot, któremu powierzył przetwarzanie danych. Mimo zawarcia umowy bowiem nie zmienia się jego status i pozostaje odpowiedzialny za przetwarzanie danych zgodnie z prawem.

Powierzenie danych do przetwarzania jest ponadto umownym zleceniem określonych zadań innemu podmiotowi i administrator powinien mieć możliwość kontroli tego, w jaki sposób procesor wywiązuje się z tych działań.

Wskazane jest, aby w umowie o powierzeniu danych do przetwarzania określić sposób kontroli sprawowanej przez administratora.

Podmiot, któremu powierzono dane do przetwarzania na podstawie art. 31 ustawy o ochronie danych osobowych, obowiązany jest przed rozpoczęciem ich przetwarzania podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024).

W konsekwencji podmiot, któremu powierzono przetwarzanie danych osobowych w zakresie zabezpieczenia tych danych, ponosi odpowiedzialność jak administrator danych.

Mimo to nie staje się ich administratorem. W pozostałym zakresie wyłączną odpowiedzialność za przetwarzanie danych zgodnie z prawem ponosi administrator danych, który powierzył dane do przetwarzania.

Uzyskiwanie zgody klienta i wykorzystanie marketingowe

Zgoda na przetwarzanie danych osobowych ma być wyrażona swobodnie i wyraźnie. Nikt nie może czuć się zmuszony do jej wyrażenia. Niedopuszczalne jest takie sformułowanie umowy, które powoduje, że klient, chcąc ją zawrzeć, musi również zaakceptować zgodę na przetwarzanie danych.

Należy pamiętać, że na przetwarzanie danych w celu realizacji umowy nie jest konieczne udzielenie zgody. Takie przetwarzanie możliwe jest na podstawie przepisów prawa bez zgody osoby, której dane dotyczą. Każde zatem postanowienie umowy dotyczące wykorzystania danych osobowych powinno wzbudzić czujność. Jeżeli bowiem usługodawca rzeczywiście ma zamiar wykorzystywać dane osobowe wyłącznie do realizacji umowy, jej treść nie musi zawierać jakiejkolwiek klauzuli zgody na przetwarzanie danych.

Zgodnie z prawem możliwe jest przetwarzanie danych bez zgody osoby, której dane dotyczą, jeżeli jest to niezbędne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

Przepisy ustawy o ochronie danych osobowych nie precyzują, o jaką umowę chodzi. Oznacza to, że również umowa przedwstępna może stanowić podstawę do przetwarzania danych osobowych. W każdej umowie przedwstępnej zawarte są dane osobowe, których wykorzystanie może być niezbędne do realizacji umowy przedwstępnej.

W takim zakresie umowa przedwstępna stanowić będzie przesłankę legalizującą przetwarzanie danych osobowych.

Przepisy ustawy o ochronie danych osobowych nie regulują tego zagadnienia.

Zgodnie z ustawą administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a przede wszystkim powinien zabezpieczyć dane m.in. przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem. Należy jednak stwierdzić, że nie ma obowiązku przesyłania listami poleconymi korespondencji zawierającej dane osobowe.

Przepisy ustawy o ochronie danych osobowych przewidują dwa rodzaje obowiązków informacyjnych, które ciążą na administratorach danych.

W przypadku zbierania danych osobowych nie od osoby, której one dotyczą - czyli np. w wyniku nabycia zbioru danych - administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: adresie swojej siedziby i pełnej nazwie; celu i zakresie zbierania danych; źródle danych; prawie dostępu do treści swoich danych oraz ich poprawiania, a także o uprawnieniu do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania danych osobowych.

Firma marketingowa, która nabyła zbiór danych osobowych od innego administratora danych, powinna zatem powiadomić osoby, których dane dotyczą, że posiada ich dane, oraz dać im czas na wniesienie sprzeciwu na ich przetwarzanie do celów marketingowych.

Niedotrzymanie tych warunków łamie przepisy o ochronie danych osobowych i naraża poniesienie odpowiedzialności karnej. Brak realizacji obowiązku informacyjnego zagrożony jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku.

Tomasz Rutkowski radca prawny, managing associate w Kancelarii Prawniczej Deloitte Legal

Tomasz Rutkowski

radca prawny, managing associate w Kancelarii Prawniczej Deloitte Legal