Ustawa z 10 maja 2018 r. o ochronie danych osobowych (cz. 1)

Rozdział I

Przepisy ogólne

Art. 1. [Przedmiotowy zakres regulacji]

1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”.

2. Ustawa określa:

1) podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;

2) warunki i tryb akredytacji podmio tu uprawnionego do certyfikacji w zakresie ochrony danych osobo wych, akredytowanego przez Polskie Centrum Akredytacji, zwanego dalej „podmiotem certyfikującym”, podmiotu monitorującego kodeks postępowania oraz certyfikacji;

3) tryb zatwierdzenia kodeksu postępowania;

4) organ właściwy w sprawie ochrony danych osobowych;

5) 0 postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;

6) tryb europejskiej współpracy administracyjnej;

7) kontrolę przestrzegania przepisów o ochronie danych osobowych;

8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;

9) odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.

komentarz

• Zakres regulacji. Podstawowe regulacje z zakresu ochrony danych osobowych, w tym prawa i obowiązki administratorów danych, podmiotów przetwarzających oraz osób, których dane są przetwarzane, zamieszczone zostały w RODO i próżno ich szukać w ustawie krajowej. Polska ustawa o ochronie danych osobowych – wbrew jej nazwie – skupia się bowiem na kwestiach związanych z postępowaniami administracyjnymi oraz kontrolnymi prowadzonymi przez prezesa Urzędu Ochrony Danych Osobowych (zastąpił on generalnego inspektora ochrony danych osobowych), a także na odpowiedzialności cywilnej i karnej za naruszenie przepisów o ochronie danych osobowych. Pełen zakres podmiotowy i przedmiotowy spraw regulowanych komentowanym aktem prawnym wskazano właśnie w przepisach art. 1 ustawy o.d.o.
• Odesłanie do art. 2 i 3 RODO. Jak wynika z przepisów, do których krajowy akt prawny odsyła w art. 1 ust. 1, RODO znajduje zastosowanie do ochrony danych osobowych osób fizycznych, których dane osobowe podlegają przetwarzaniu:

a) w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych (art. 2 ust. 1 RODO)

oraz

b) w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej, niezależnie od tego, czy przetwarzanie odbywa się na jej obszarze (art. 3 ust. 1 RODO)

albo

c) w związku z ich przebywaniem w Unii Europejskiej przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii Europejskiej, jeżeli czynności przetwarzania wiążą się z:

– oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii Europejskiej – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub

– monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej (art. 3 ust. 2 RODO)

albo

d) przez administratora niemającego jednostki organizacyjnej w Unii Europejskiej, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego Unii Europejskiej (art. 3 ust. 3 RODO).

Należy zaznaczyć, że komentowany przepis jednoznacznie wskazuje, iż działaniem ustawy objęte są tylko przypadki przetwarzania danych osób fizycznych i nie ma podstaw do jej stosowania nawet per analogiem do osób prawnych lub jednostek organizacyjnych nieposiadających osobowości prawnej (tak: wyrok WSA w Warszawie z 24 listopada 2009 r., sygn. akt II SA/Wa 1584/09, na gruncie art. 2 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych; pogląd ten należy jednakże uznać za aktualny również względem obecnie obowiązującej ustawy).

• Sposoby przetwarzania. RODO wyróżnia kilka sposobów przetwarzania danych osobowych. A mianowicie: w sposób całkowicie zautomatyzowany, ręczny (niezautomatyzowany), a także częściowo zautomatyzowany. Ostatni z nich jest formą mieszaną dwóch pierwszych, czyli odnosi się do przetwarzania wykorzystującego zarówno elementy procesów zautomatyzowanych, jak również przetwarzania ręcznego.

Przykładem zautomatyzowanego przetwarzania danych osobowych jest profilowanie. Polega ono na automatycznym wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Tego typu operacje mogą być dokonywane z użyciem programów komputerowych bądź aplikacji, a także popularnych w Internecie plików cookies.

Przetwarzanie niezautomatyzowane, a zatem całkowicie bez udziału narzędzi informatycznych, objęte jest RODO oraz ustawą o o.d.o. wtedy, jeżeli dane osobowe będące jego przedmiotem stanowią część zbioru danych lub mają wejść w skład zbioru danych. W tym ostatnim przypadku decydująca jest wola administratora danych osobowych – odzwierciedlona w sposobie przetwarzania tychże danych osobowych. Przykładowo, wpisanie ich do kartoteki bądź innego uporządkowanego wykazu oznaczać będzie włączenie tychże danych do zbioru danych osobowych przetwarzanych w sposób niezautomatyzowany.

Stąd też zbiory lub zestawy zbiorów danych osobowych oraz ich strony tytułowe, które nie spełniają zawartej w RODO definicji zbioru danych (czyli nie są uporządkowane według określonych kryteriów), znajdują się poza zakresem omawianych regulacji prawnych.

• Zakres podmiotowy. Odnośnie natomiast kryterium podmiotowego, to – zgodnie z jurysdykcją krajowego porządku prawnego – ustawa o u.d.o. stosowana będzie w szczególności do:

a) administratorów danych osobowych oraz podmiotów przetwarzających mających siedzibę lub miejsce zamieszkania na terytorium Polski, niezależnie od tego, czy:

– przetwarzają dane osobowe na terytoriom Unii Europejskiej czy też poza nią,

– przetwarzają dane osobowe obywateli Unii Europejskiej, czy też dane osobowe innych osób fizycznych;

b) administratorów danych osobowych oraz podmiotów przetwarzających mających siedzibę lub miejsce zamieszkania poza terytorium UE, jeżeli przetwarzają dane osobowe osób przebywających na terenie Polski w związku z oferowaniem tym osobom towarów lub usług na tym terytorium – także za darmo – bądź monitorowaniem zachowania tychże osób, o ile do tego zachowania dochodzi w Unii Europejskiej.

W art. 1 ust. 2 ustawy o.d.o. wymieniono zakres tematyczny spraw, które uregulowane zostały jej przepisami. Poszczególne instytucje, które wskazano w tej jednostce redakcyjnej, zostaną omówione w dalszych częściach niniejszego komentarza praktycznego.

• Stosowanie dotychczasowej ustawy. Na marginesie należy wskazać, że dotychczasowa ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych nadal będzie stosowana w ograniczonym zakresie. Mianowicie art. 1, art. 2, art. 3 ust. 1, art. 4–7, art. 14–22, art. 23–28, art. 31 oraz rozdziały 4, 5 i 7 zachowują moc – w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu (w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie) – do wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 s. 89).

Art. 2. [Ograniczenie stosowania przepisów w przypadku działalności prasowej, literackiej i akademickiej]

1. Do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. poz. 24, z późn. zm.), a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5–9, art. 11, art. 13–16, art. 18–22, art. 27, art. 28 ust. 2–10 oraz art. 30 rozporządzenia 2016/679.

2. Do wypowiedzi akademickiej nie stosuje się przepisów art. 13, art. 15 ust. 3 i 4, art. 18, art. 27, art. 28 ust. 2–10 oraz art. 30 rozporządzenia 2016/679.

komentarz

• Wyłączenia w działalności prasowej, literackiej i akademickiej. Pierwsza grupa wyłączeń wprowadzonych w ustawie odnosi się wprost do działalności dziennikarskiej oraz prasowej, a także literackiej i artystycznej. Specyfika tego typu działalności, czy to obowiązek zachowania tajemnicy dziennikarskiej, czy też wykorzystywanie danych osobowych na potrzeby tworzenia sztuki, stoi w sprzeczności z wieloma obowiązkami nakładanymi na ww. podmioty przez RODO. Z tych też względów, aby umożliwić wykonywanie działalności prasowej i artystycznej na dotychczasowych zasadach, ustawodawca krajowy zdecydował się na wyłączenie wielu przepisów RODO. Wskazane w art. 2 ust. 1 ustawy o.d.o. wyłączenia obejmują w szczególności:

– konieczność spełnienia przesłanek legalizujących przetwarzanie danych osobowych, w tym zasady odbierania zgody od osoby, której dane dotyczą (art. 5–9 RODO);

– wykonywanie obowiązku przekazania osobie, które dane dotyczą, rozbudowanej informacji o przetwarzaniu jej danych osobowych (art. 13–14 RODO);

– prawo dostępu do danych osobowych przez osobę, której dane dotyczą, uzyskania informacji o zakresie ich przetwarzania, uzyskania ich kopii, a także prawo do sprostowania danych osobowych (art. 15–16 RODO);

– większość uprawnień osób, których dane dotyczą, w postaci: prawa żądania ograniczenia przetwarzania danych osobowych, prawo do przenoszenia danych osobowych, prawo do wniesienia sprzeciwu względem przetwarzania danych osobowych, a także związane z tym obowiązki przetwarzającego (art. 18–22 RODO);

– obowiązki w zakresie powierzenia danych osobowych do przetwarzania innemu podmiotowi, w tym legitymowanie się umową lub innym instrumentem prawnym stanowiącym podstawę takiego powierzenia (art. 28 ust. 2–10 RODO);

– obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych (art. 30 RODO).

 

Przykład 1

Dziennikarz bez obowiązku informowania o przetwarzaniu danych

Dziennikarz przeprowadza wywiad z osobą, podczas którego poznaje dane osobowe, takie jak imię, nazwisko, a nawet datę urodzenia, a także dane wrażliwe o stanie jej zdrowia. Jak wynika z art. 2 w przypadku działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych stosowanie ustawy jest wyłączone. Dziennikarz przetwarzający dane osobowe osoby, którą opisuje w swoim artykule, nie ma obowiązku odbierania na ten cel zgody od tej osoby, nawet jeżeli w artykule pojawiają się tzw. dane osobowe wrażliwe (np. o jej poglądach bądź stanie zdrowia). Co więcej, osoba ta nie otrzyma od dziennikarza informacji o przetwarzaniu jej danych osobowych, a także nie będzie mogła korzystać z większości uprawnień przysługujących jej na gruncie RODO. Niemniej jednak nie zwolni to redakcji z obowiązku wdrożenia właściwych środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzanych danych osobowych.

• Wypowiedzi akademickie. Węższe wyłączenie znajduje natomiast zastosowanie względem wypowiedzi akademickich. Na szczególną uwagę w tym zakresie zasługuje fakt, że ustawodawca nie zdecydował się na wyłączenia w odniesieniu do:

– wykonywania obowiązku informacyjnego w przypadku pozyskania danych osobowych nie bezpośrednio od osoby, której dane dotyczą, a zatem za pośrednictwem innego podmiotu (art. 14 RODO);

– realizowania prawa dostępu do danych osobowych przez osobę, której dane te dotyczą (art. 15 ust. 1 i 2 RODO), wyłączenie odnosi się jedynie do prawa uzyskania kopii danych osobowych podlegających przetwarzaniu (art. 15 ust. 3 i 4);

– innych praw osób, których dane dotyczą, z tychże praw wyłączono jedynie stosowanie do wypowiedzi akademickiej prawa do ograniczenia przetwarzania danych osobowych (art. 18 RODO).

Fakt częściowego wyłączenia stosowania RODO względem ww. kategorii czynności wiąże się rzecz jasna z koniecznością wykonywania innych praw i obowiązków nałożonych przez ten akt prawny na podmioty objęte zakresem art. 2 ustawy o.d.o.

 

Art. 3. [Wyłączenie obowiązku informacyjnego względem podmiotów wykonujących zadania publiczne]

1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 13 ust. 3 rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 ust. 3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:

1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub

2) naruszy ochronę informacji niejawnych.

2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.

3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 13 ust. 3 rozporządzenia 2016/679.

komentarz

• Pojęcie zadań publicznych. Próżno szukać ustawowej definicji zadań publicznych, termin ten jest bowiem tak obszerny, że jego ujednolicenie wydaje się obiektywnie niemożliwe. Brak jednolitej definicji tego pojęcia wypracowanej w doktrynie prawa. Zgodnie z jedną z nich, zadaniami publicznymi są te zadania, których wykonywaniem jest zainteresowany prawodawca i podmioty administracji publicznej ze względu na pewne cele (wartości) społeczne aktualne w danym miejscu i czasie (zob. R. Stasikowski, „O pojęciu zadań publicznych – studium z zakresu nauki administracji i nauki prawa administracyjnego”, „Samorząd Terytorialny” nr 7–8/2009).

Brak definicji omawianego terminu nie uniemożliwia wszakże jego częstego wykorzystywania przez ustawodawcę. Zamiast pojęciowego ram określenia tego terminu prawodawca wskazuje katalog zadań lub czynności uznawany – na gruncie danej regulacji, za zadania publiczne. Przykłady tego typu katalogów odnajdziemy nie tylko w ustawach samorządowych, np. w ustawie z 8 marca 1990 r. o samorządzie gminnym (t.j. Dz.U. z 2018 r. poz. 994 ze zm.), ale także w ustawie z 24 kwietnia 2003 r. o dzia łalności pożytku publicznego i wolontariacie (t.j. Dz.U. z 2018 r. poz. 450 ze zm.). We wskazanych aktach prawnych zamieszczono bogate katalogi zadań publicznych. Wśród nich wymienia się m.in. zadania z zakresu: promocji i ochrony zdrowia, gospodarki nieruchomościami, obronności czy też działalności na rzecz integracji europejskiej oraz rozwijania kontaktów i współpracy między społeczeństwami.

Własny katalog zadań, w przypadku których możliwe jest ograniczenie w prawie UE lub prawie państwa członkowskiego stosowania niektórych przepisów o ochronie danych osobowych, zawiera również RODO. Został on zamieszczony w art. 23 tego aktu prawnego.

• Zakres wyłączenia. Podmiotowy zakres komentowanego przepisu nie dotyczy zatem jedynie organów administracji publicznej, ale szerzej: wszystkich administratorów danych osobowych, którzy wykonują zadania publiczne – rzecz jasna w związku z wykonywaniem konkretnego zadania publicznego. Nie jest to zatem wyłączenie generalne, a obwarowane dodatkowymi przesłankami. Do skorzystania z niego nie jest wystarczające spełnienie kryterium podmiotowego, ale dodatkowo konieczne jest wykazanie istnienia warunków, o których mowa w art. 3 ust. 1 pkt 1 lub 2 ustawy o.d.o. W przypadku zatem realizacji zadań publicznych, w związku z którymi nie wystąpią okoliczności wskazane w tychże przepisach, administrator danych osobowych zobowiązany będzie do wykonania obowiązku wskazanego w art. 13 ust. 3 RODO.

Wskazany art. 13 ust. 3 RODO nakazuje natomiast, aby w przypadku planowanej zmiany celu przetwarzania danych osobowych względem tego, który został uprzednio zakomunikowany osobie, której dane dotyczą, przekazać informację o tym innym celu oraz udzielić jej wszelkich innych stosownych informacji objętych obowiązkiem informacyjnym. Stąd też wyłączenie stosowania tego przepisu oznaczałoby, że administrator danych osobowych realizujący zadanie publiczne na zasadach wskazanych w art. 3 ust. 1 pkt 1 lub 2 ustawy o.d.o. wykonywałby obowiązek informacyjny jedynie przy pierwszym pozyskaniu danych osobowych bądź kolejnych, nieobjętych omawianym wyłączeniem.

Ustawodawca w uzasadnieniu projektu ustawy o.d.o. jako przykład praktycznego zastosowania tych przepisów, wskazuje sytuację, w której administrator na podstawie przepisów prawa zbierał dane w określonym celu, a następnie ustawodawca na podstawie jakiegoś aktu prawnego postanowił, że te dane mogą zostać wykorzystane w innym celu niż ten, który istniał w momencie zbierania danych. Realizacja indywidualnego obowiązku informacyjnego w stosunku do znacznej liczby osób (np. w przypadku bazy PESEL) znacznie utrudniałaby realizacje zadań publicznych.

• Bez uszczerbku dla innych obowiązków. Co ważne, skorzystanie z omawianego wyłączenia nie zwalnia administratora danych osobowych z obowiązku zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych, który dodatkowo ma zapewniać ochronę interesu lub podstawowych praw i wolności osoby, której dane dotyczą. Ochrona ta realizowana jest m.in. poprzez zapewnienie takiej osobie przekazania jej stosownych informacji na złożony przez nią wniosek.

Brak przekazania ww. informacji nie może również wpływać na pozycję strony w toku postępowania administracyjnego, a także realizowanie jej innych praw i obowiązków względem administratora danych osobowych.

 

Art. 4. [Wyłączenie obowiązku informacyjnego przy pośrednim zbieraniu danych osobowych względem podmiotów wykonujących zadania publiczne]

1. W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:

1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub

2) naruszy ochronę informacji niejawnych.

2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.

3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679.

komentarz

• Wyłączenie przy pośrednim zbieraniu danych osobowych względem podmiotów wykonujących zadania publiczne. Przepis ten wprowadza analogiczne wyłączenie do tego, które zostało omówione w komentarzu do art. 3 ustawy o.d.o. Wyjaśnienia jednakże wymagają zasadnicze różnice pomiędzy art. 13 i art. 14 RODO. Pierwszy z nich stosowany jest w tych przypadkach, w których dane osobowe pozyskiwane są bezpośrednio od osoby, które dotyczą.

Drugi obejmuje natomiast te przypadki, gdzie dane osobowe do ich administratora trafiają pośrednio, np. pochodzą od innego administratora danych osobowych bądź systemu informatycznego, którym on zarządza. Pośrednie gromadzenie danych osobowych ma również miejsce, gdy są one pozyskiwane przy pomocy innego podmiotu niż administrator danych osobowych. Może to mieć miejsce także w oparciu o umowę powierzenia danych osobowych do przetwarzania, mocą której podmiot przetwarzający gromadzi dane osobowe dla administratora.

• Zakres wyłączenia. Wyłączenie wynikające z komentowanego przepisu jest szersze, aniżeli to omówione przy okazji komentowania wcześniejszego artykułu. Obejmuje ono bowiem zarówno pierwotny obowiązek informacyjny, a więc ten, który powstaje przy pierwszym zgromadzeniu danych osobowych, jak również obowiązek informacyjny wykonywany w związku ze zmianą celu przetwarzania danych osobowych.

W obu przepisach ustawodawca przewidział podobny mechanizm ochrony osoby, które dane dotyczą. Administrator jest zatem zobowiązany poinformować taką osobę – na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku – o podstawie nieprzekazania informacji wymaganych przez art. 14 RODO.

Na marginesie należy wskazać, że w art. 14 ust. 5 RODO zamieszczony został katalog wyłączeń, z których korzystać mogą również administratorzy danych osobowych nierealizujący zadań publicznych. I tak, wyłączenie obowiązku informacyjnego przy pośrednim zbieraniu danych osobowych może mieć miejsce, gdy:

a) osoba, której dane dotyczą, dysponuje już tymi informacjami;

b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku – w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile obowiązek ten może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem UE lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą lub

d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie UE lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

W praktyce najczęstsze zastosowanie mogą mieć przesłanki wskazane w lit. a) oraz lit. d).

 

Przykład 2

Odstąpienie od obowiązku informacyjnego przy pośrednim pozyskaniu danych

Do wójta trafia pismo informujące o prawdopodobnym naruszeniu przepisów podatkowych w zakresie nieodprowadzenia podatku od darowizny. Z uwagi na fakt, że organ ten nie jest właściwy w sprawie tego podatku, przekazuje pismo naczelnikowi urzędu skarbowego. Organ ten uzyskuje zatem dane osobowe nadawcy w sposób pośredni, tj. nie bezpośrednio od autora pisma. Okazuje się, że w piśmie jest tylko imię i nazwisko nadawcy listu, nie ma natomiast adresu zamieszkania ani innej dodatkowej informacji o osobie, która jest jego autorem. Z dostępnej naczelnikowi urzędu skarbowego bazy wynika zaś, że osób o takim samym imieniu i nazwisku jest kilkaset. Z uwagi na powyższe organ odstępuje od wykonania obowiązku informacyjnego, o którym mowa w art. 14 ust. 1 RODO z powołaniem się na art. 4 ust. 1 pkt 1 ustawy ODO.

Art. 5. [Ograniczenie prawa dostępu do informacji względem podmiotów wykonujących zadania publiczne]

1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz wykonanie tych obowiązków:

1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub

2) naruszy ochronę informacji niejawnych.

2. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1 i 3 rozporządzenia 2016/679, wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych, administrator wykonujący zadanie publiczne wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wyszukanie tych danych. Przepis art. 64 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149 i 650) stosuje się odpowiednio.

3. W przypadkach, o których mowa w ust. 1 i 2, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.

4. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie niewykonania obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679.

komentarz

• Ograniczenie w prawie dostępu do informacji. Art. 5 ust. 1 oraz ust. 3 i 4 ustawy stanowią ostatnią grupę ograniczeń opartych na przesłankach omówionych uprzednio przy okazji komentowania art. 3 i 4. W tym przypadku jednakże administrator danych osobowych zwolniony został z obowiązku realizowania żądania osoby, której dane dotyczą, w zakresie:

– przekazania jej potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, umożliwienia jej uzyskania dostępu do tychże danych osobowych oraz przekazania jej informacji wskazanych w art. 15 ust. 1 i 2 RODO;

– dostarczenia jej kopii danych osobowych podlegających przetwarzaniu.

• Sytuacja, gdy wykonanie obowiązku wymaga niewspółmiernie dużego wysiłku. Ograniczenie wskazane w art. 5 ust. 2 ustawy o.d.o. odnosi się natomiast do innych sytuacji. Mianowicie takich, w których do administratora danych osobowych wykonującego zadanie publiczne wpłynie żądanie osoby, której dane dotyczą, udzielenia jej informacji, o których mowa w art. 15 ust. 1 RODO, albo przekazania jej kopii jej danych osobowych podlegających przetwarzaniu, zaś administrator napotyka istotne trudności w odszukaniu danych osobowych żądającego.

W takim przypadku administrator danych osobowych uprawniony jest do zastosowania uregulowanej w art. 64 k.p.a. procedury usuwania braków formalnych podania. Zgodnie z nią, jeżeli podanie nie spełnia innych wymagań ustalonych w przepisach prawa, należy wezwać wnoszącego do usunięcia braków w wyznaczonym terminie, nie krótszym niż siedem dni, z pouczeniem, że nieusunięcie tych braków spowoduje pozostawienie podania bez rozpoznania.

Administrator będzie mógł zatem zobowiązać żądającego do przedstawienia dodatkowych informacji, które będą pomocne do wyszukania jego danych osobowych. Jeżeli żądający takich informacji nie dostarczy, administrator uprawniony będzie do nie udzielenia informacji objętej przepisami art. 15 ust. 1 i 3 RODO.

 

Przykład 3

Odmowa ze względu na niewspółmierny wysiłek

Starosta prowadzi postępowanie w przedmiocie wydania pozwolenia na budowę budynku handlowego. Okoliczni mieszkańcy, których nieruchomości leżą w strefie oddziaływania planowanej inwestycji, mają status stron postępowania. Do starosty wpływają liczne pisma od zainteresowanych, w których to pojawiają się m.in. różnego typu dane osobowe. Jedna z kilkudziesięciu stron zwraca się do starosty z żądaniem opartym na art. 15 ust. 1 RODO, domagając się przekazania mu informacji wymienionych w tym przepisie. Tymczasem akta postępowania administracyjnego liczą już kilkanaście tomów, w między czasie bowiem strony wnosiły zażalenia na postanowienia wydawane w toku postępowania.

Organ administracji nie może zatem odnaleźć wszystkich żądanych informacji. W tym celu zobowiązuje wnioskodawcę do wskazania dokumentów, w których mogą być zawarte jej dane osobowe, oraz wyznacza jej w tym celu siedmiodniowy termin pod rygorem pozostawienia jej żądania bez rozpoznania.

• Obowiązki administratora. Powyższe nie zwalnia jednakże administratora z obowiązku wykonania dyspozycji zawartych w przepisach ust. 3 i 4 omawianego artykułu. W tym udzielenia, na wniosek, informacji o podstawie niewykonania żądania dostępu do danych osobowych osoby, której dane dotyczą.

Art. 6. [Wyłączenie stosowania przepisów w przypadkach szczególnych]

Ustawy oraz rozporządzenia 2016/679 nie stosuje się do:

1) przetwarzania danych osobowych przez jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1, 3, 5, 6 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077 oraz z 2018 r. poz. 62 i 1000), w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą;

2) działalności służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2017 r. poz. 1920 i 2405 oraz z 2018 r. poz. 138, 650, 723 i 730).

komentarz

• Charakter wyłączenia. Grupę przepisów ustawy o.d.o. poświęconą ograniczeniom stosowania RODO i omawianej ustawy zamyka art. 6. Inaczej wszakże niż w poprzednich przepisach komentowany artykuł nie tyle ogranicza stosowanie ww. aktów prawnych, co wprost wyłącza ich stosowanie w pełnym zakresie.
• Zakres podmiotowy wyłączenia. Wyłączenie to obejmuje dwie grupy podmiotów. Jedną z nich (wskazaną w art. 6 pkt 1) stanowią następujące jednostki sektora finansów publicznych:

– organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;

– jednostki budżetowe;

– agencje wykonawcze;

– instytucje gospodarki budżetowej;

– inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego,

o ile wykonują zadania w zakresie bezpieczeństwa narodowego oraz zapewniona jest ochrona praw i wolności osób, których dane dotyczą.

• Pojęcie bezpieczeństwa narodowego. Jak słusznie zauważono w uzasadnieniu projektu ustawy, w polskiej legislacji brak jest zamkniętego katalogu działań uznanych za wchodzące w zakres „bezpieczeństwa narodowego”. W ocenie projektodawcy jednakże decyzja o tym, czy dane działanie powinno być uznane za objęte „bezpieczeństwem narodowym”, podjęta powinna być przez podmiot powołujący się na tę przesłankę, po wnikliwej ocenie każdego stanu faktycznego przez administratora oraz podmiot przetwarzający. Przy czym nie powinno się stosować w tym przypadku wykładni zawężającej ochronę prawa podstawowego, jakim jest ochrona danych osobowych. Decyzja taka będzie w dalszej kolejności podlegała działaniom kontrolnym prezesa Urzędu Ochrony Danych Osobowych oraz wymiaru sprawiedliwości.
• Wyłączenie w odniesieniu do służb specjalnych. Drugie z wyłączeń (art. 6 pkt 2) sprawia już zdecydowanie mniej trudności. Stosowane bowiem będzie względem działalności służb specjalnych.

Na marginesie należy wskazać, że wyłączenia stosowania RODO, niezależnie od polskiej regulacji, będą miały miejsce również w przypadkach wprost wskazanych w tym akcie prawa unijnego (zob. art. 2 ust. 2). Rozporządzenie nie ma zatem zastosowania do przetwarzania danych osobowych:

a) w ramach działalności nieobjętej zakresem prawa Unii Europejskiej;

b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE (działania Unii Europejskiej na arenie międzynarodowej);

c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Co ważne, wobec brzmienia art. 1 ust. 1 ustawy o.d.o., we wskazanych powyżej przypadkach nie będzie stosowana także polska ustawa o ochronie danych osobowych. Ma ona bowiem zastosowanie jedynie do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 RODO.

 

Art. 7. [Postępowanie administracyjne przed Prezesem Urzędu Ochrony Danych Osobowych]

1. W sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, zwanym dalej „Prezesem Urzędu”, o których mowa w rozdziałach 4–7 i 11, stosuje się ustawę z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.

2. Postępowanie przed Prezesem Urzędu jest postępowaniem jednoinstancyjnym.

3. Do postanowień wydanych w postępowaniach, o których mowa w ust. 1, na które zgodnie z ustawą z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego służy zażalenie, przepisów o zażaleniu nie stosuje się.

4. Na postanowienia, o których mowa w ust. 3, służy skarga do sądu administracyjnego.

komentarz

• Stosowanie kodeksu postępowania administracyjnego. Ostatni z przepisów rozdziału 1 u. o.d.o. poświęcony został wskazaniu ogólnych zasad postępowania administracyjnego prowadzonego przed prezesem Urzędu Ochrony Danych Osobowych.

Prezes UODO jest organem właściwym w sprawach ochrony danych osobowych i zastąpił dotychczasowy organ, którym do 25 maja 2018 r. był generalny inspektor ochrony danych osobowych. Prezes UODO jest organem administracji publicznej, co oznacza, że do postępowań przed nim zastosowanie znajdują przepisy kodeksu postępowania administracyjnego, o ile z ustawy o.d.o. nie wynika nic innego.

Kodeks postępowania administracyjnego znajdzie zatem zastosowanie m.in. w postępowaniach administracyjnych mających za przedmiot:

– dokonywanie certyfikacji administratorów danych osobowych i podmiotów przetwarzających;

– zatwierdzanie kodeksów postępowa nia oraz udzielanie akredytacji podmiotom monitorujących ich przestrzeganie;

– naruszenie przepisów o ochronie danych osobowych;

– nakładanie administracyjnych kar pieniężnych.

• Jednoinstancyjność powstępowania. Zgodnie z kodeksem postępowania administracyjnego zasadą jest, że postępowanie administracyjne jest dwuinstancyjne (art. 15 k.p.a.). Niemniej jednak zasada ta może zostać uchylona przez przepis szczególny. Przepisami takimi są właśnie art. 7 ust. 2 i 3 komentowanej ustawy.

Co prawda postępowanie administracyjne prowadzone dotychczas przed generalnym inspektorem ochrony danych osobowych było dwuinstancyjne, ale ze względu na to, że nad organem tym nie przewidziano organu wyższego stopnia, na decyzję GIODO nie przysługiwało odwołanie. Zamiast tego strona mogła wystąpić z wnioskiem o ponowne rozpatrzenie sprawy przez ten sam organ. Tworzyło to zatem jedynie namiastkę postępowania odwoławczego, a nadto przyczyniało się do znaczącego wydłużenia czasu trwania całego postępowania administracyjnego prowadzonego przez ten organ.

Ustawodawca, aby usunąć ww. mankamenty, zdecydował się na wprowadzenie jednoinstancyjnego postępowania administracyjnego przed prezesem Urzędu Ochrony Danych Osobowych. W praktyce oznacza to, że decyzja wydana przez ten organ w I instancji jest zarazem decyzją ostateczną w toku postępowania administracyjnego oraz na jego gruncie, w przypadku braku dobrowolnego jej wykonania, podlegać może postępowaniu egzekucyjnemu w administracji. Co ważne, tę samą zasadę stosować należy nie tylko względem decyzji ww. organu administracji publicznej, ale także do jego postanowień.

• Konsekwencje jednoinstancyjności. W obu wskazanych wyżej przypadkach (tj. decyzji i postanowień) nie ma możliwości odwołania do organu wyższego stopnia bądź wniosku o ponowne rozpatrzenie sprawy.
• Prawo do zaskarżenia. Natomiast strona może wnieść od razu skargę do wojewódzkiego sądu administracyjnego. Od niej natomiast przysługuje skarga kasacyjna do Naczelnego Sądu Administracyjnego.

Przykład 4

Brak możliwości odwołania, ale możliwa skarga

Do prezesa Urzędu Ochrony Danych Osobowych wpłynął wniosek samorządu zawodowego o zatwierdzenie opracowanego przez wnioskodawcę kodeksu postępowania. Prezes po zapoznaniu się z jego treścią odmawia jego zatwierdzenia, wskazując na jego niezgodność z RODO. Decyzja organu nadzoru jest ostateczna. Samorząd zawodowy nie może wnieść od niej odwołania, ma jednak prawo wnieść skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Powyższe nie zmienia jednakże faktu, że wniesienie skargi na decyzję ostateczną, co do zasady, nie wstrzymuje jej wykonania, w tym przymusowego w drodze postępowania egzekucyjnego (jedyny wyjątek w tym zakresie dotyczy decyzji prezesa Urzędu Ochrony Danych Osobowych wydanych w zakresie administracyjnej kary pieniężnej).

• Prawo do wnioskowania o wstrzymanie wykonania decyzji. Rzecz jasna nie wyłącza to prawa strony do wnioskowania o wstrzymanie wykonalności wspomniany powyżej decyzji ostatecznych. Wniosek taki może zostać złożony zarówno do organu nadzoru, który wydał zaskarżoną decyzję, jak i do sądu administracyjnego. Wnioski takie rozpatrywane są na zasadach określonych w ustawie z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (zob. art. 61), stąd też:

– organ, który wydał decyzję lub postanowienie, będzie mógł wstrzymać z urzędu lub na wniosek skarżącego ich wykonanie w całości lub w części, chyba że zachodzą przesłanki, od których w postępowaniu administracyjnym uzależnione jest nadanie decyzji lub postanowieniu rygoru natychmiastowej wykonalności albo, gdy ustawa szczególna wyłącza wstrzymanie ich wykonania;

– po przekazaniu sądowi administracyjnemu skargi, sąd ten może na wniosek skarżącego wydać postanowienie o wstrzymaniu wykonania w całości lub w części zaskarżonej decyzji lub postanowienia organu nadzoru, jeżeli zachodzi niebezpieczeństwo wyrządzenia znacznej szkody lub spowodowania trudnych do odwrócenia skutków, z wyjątkiem przepisów prawa miejscowego, które weszły w życie, chyba że ustawa szczególna wyłącza wstrzymanie ich wykonania.

Co ważne, odmowa wstrzymania wykonania aktu lub czynności przez prezesa Urzędu Ochrony Danych Osobowych nie pozbawia skarżącego prawa złożenia wniosku do sądu administracyjnego. Należy jednakże pamiętać, że wstrzymanie wykonania decyzji lub postanowienia traci moc z dniem wydania przez sąd orzeczenia uwzględniającego skargę albo uprawomocnienia się orzeczenia oddalającego skargę. W tym drugim przypadku, jeżeli strona wniesie skargę kasacyjną od wyroku sądu I instancji, wstrzymanie wykonania decyzji upadnie wraz z odrzuceniem tejże skargi, umorzeniem postępowania bądź wydaniem wyroku przez Naczelny Sąd Administracyjny.

 

Rozdział 2

Wyznaczanie inspektora ochrony danych

Art. 8. [Ogólny obowiązek wyznaczenia inspektora ochrony danych]

Administrator i podmiot przetwarzający są obowiązani do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”, w przypadkach i na zasadach określonych w art. 37 rozporządzenia 2016/679.

komentarz

• Wyznaczanie IOD. Inspektor ochrony danych (IOD) jest swego rodzaju wewnętrznym organem nadzoru w zakresie ochrony danych osobowych powoływanym przez administratora danych osobowych lub podmiot przetwarzający.

IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań mu przypisanych. Może on być członkiem personelu (pracownikiem) administratora danych osobowych lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

• Możliwość powołania jednego inspektora dla kilku podmiotów. Co ważne, w kilku przypadkach jeden IOD może zostać powołany dla więcej aniżeli jednego podmiotu. Może to mieć miejsce względem:

– grupy przedsiębiorców, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Z tym że na gruncie RODO termin „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane;

– administratora lub podmiotu przetwarzającego będących organem lub podmiotem publicznym;

– administratora, podmiotu przetwarzającego, zrzeszenia lub innych podmiotów reprezentujących określone kategorie administratorów lub podmiotów przetwarzających.

• Istota funkcji i rola. RODO podkreśla istotną rolę inspektora ochrony danych w strukturze organizacyjnej podmiotu, który go powołał. Zgodnie z rozporządzeniem:

a) inspektor ochrony danych powinien być niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych;

b) administrator oraz podmiot przetwarzający zapewniają inspektorowi zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej;

c) inspektor ochrony danych nie może otrzymywać instrukcji dotyczących wykonywania jego zadań;

d) inspektor nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań;

e) inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego;

f) inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań;

g) inspektor ochrony danych może wykonywać inne zadania i obowiązki, jeżeli takie zadania i obowiązki nie powodowały konfliktu interesów.

• Zadania inspektora. Na wysoką pozycję inspektora ochrony danych wpływa również zakres zadań będących w jego kompetencji, do których zalicza się następujące czynności:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów UE lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

• Zaistnienie obowiązku powołania. Z uwagi na powyższe, w szczególności zaś zakres kompetencji inspektora ochrony danych, jego ustanowienie jest obligatoryjne jedynie w przypadkach, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, rozwinięcie tej regulacji nastąpiło w art. 9 ustawy o.d.o.,

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (do tej kategorii danych osobowych należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych i biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, przetwarzanie danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

• Pojęcie dużej skali. Problemem interpretacyjnym odnoszącym się do przypadków wskazanych w lit. b) i lit. c) jest identyfikacja pojęcia „dużej skali”. W RODO nie znajdziemy wprost definicji tego terminu. Z pomocą jednakże przyszła Grupa Robocza Art. 29, która wydała przydatne w tym zakresie wytyczne. Wskazana grupa, a w zasadzie zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, stanowi ciało o charakterze doradczym, powołane na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

W wytycznych dotyczących IOD z 13 grudnia 2016 r. wskazano, że przy ocenie, czy mamy do czynienia z dużą skalą, należy brać pod uwagę:

– liczbę podmiotów danych, których dotyczy przetwarzanie;

– zakres danych lub zakres różnych elementów danych przetwarzanych;

– okres przetwarzania danych;

– geograficzny zasięg czynności przetwarzania.

• Przykłady podmiotów przetwarzających na dużą skalę. W wytycznych podano również przykłady podmiotów przetwarzających dane osobowe na dużą skalę, wśród nich na szczególną uwagę zasługują następujące:

– przetwarzanie danych osobowych pacjenta przez szpital;

– przetwarzanie danych osobowych osób korzystających ze środków publicznego transportu;

– przetwarzanie danych osobowych przez banki i zakłady ubezpieczeń;

– przetwarzanie danych osobowych dla reklamy behawioralnej przez wyszukiwarki internetowe;

– przetwarzanie danych osobowych takich jak treść, ruch, lokalizacja, przez dostawcę i operatora usług internetowych lub telefonicznych.

W wytycznych zamieszczono również dwa przykłady przetwarzania danych osobowych, które należy uznawać za niemieszczące się w pojęciu przetwarzania na dużą skalę, są to:

– przetwarzanie danych osobowych pacjentów przez lekarza w ramach prywatnej praktyki lekarskiej;

– przetwarzanie danych osobowych dotyczących wyroków karnych i wykroczeń przez prawników w ramach ich praktyki zawodowej.

• Ustalenie istnienia obowiązku. Powyższe wytyczne oraz przykłady bez wątpienia są pomocne w ustaleniu, czy dany podmiot spełnia przesłankę przetwarzania danych osobowych na dużą skalę. Kolejnej wskazówki interpretacyjnej dostarcza motyw 91 RODO, gdzie wskazano, że o operacjach przetwarzania o dużej skali można mówić, gdy służą one przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, np. ze względu na swój szczególny charakter, gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia.

Konkretna analiza danego przypadku oraz podjęcie decyzji o powołaniu IOD leżeć wszakże będzie bezpośrednio w kompetencji administratora danych osobowych i podmiotu przetwarzającego. To te podmioty ponosić będą również odpowiedzialność, gdy stanowisko takie nie zostanie ustanowione, mimo ziszczenia się ww. przesłanek. [wzór nr 1]

wzór 1

Uchwała w sprawie powołania inspektora ochrony danych

 

UCHWAŁA nr 1

Zarządu Spółki Wodociągi Gminne sp. z o.o.

z dnia 24 maja 2018 r.

w przedmiocie wyznaczenia inspektora ochrony danych

1. Zarząd Wodociągi Gminne sp. z o.o. wyznacza Jana Kowalskiego na stanowisko inspektora ochrony danych [Inspektor].

2. Inspektor pełnić będzie swoje obowiązki na podstawie umowy o pracę.

3. W zakresie nieuregulowanym w umowie, o której mowa w punkcie 2, zastosowanie znajdą przepisy Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz ustawę z 10 maja 2018 r. o ochronie danych osobowych.

4. Uchwała wchodzi w życie z dniem podjęcia.

Uchwałę podjęto w głosowaniu tajnym:

3 głosami „za”

0 głosami „przeciw”

0 głosami „wstrzymującymi się”

[…………………………]

Adam Nowak

Prezes Zarządu

©℗

Przykład 5

Powołanie IOD w spółce z o.o.

Zarząd spółki z o.o. po przeprowadzeniu wewnętrznego audytu spółki w zakresie procedur ochrony danych osobowych postanowił o konieczności powołania inspektora ochrony danych. Ze względu na fakt, że inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań przewidzianych dla tego stanowiska przez RODO, zdecydowano się na wybór specjalisty spoza grona pracowników spółki.

W tym celu zarząd w pierwszej kolejności powziął uchwałę w przedmiocie wyznaczenia inspektora ochrony danych. W treści tego dokumentu zobowiązano biuro zarządu do opracowania treści umowy o świadczenie usług przez inspektora. W drugim kroku zawarto przedmiotową umowę określającą prawa i obowiązki stron.

Po dokonaniu wskazanych czynności zarząd zgłosił inspektora prezesowi Urzędu Ochrony Danych Osobowych, a także zamieścił informacje o osobie inspektora wraz z jego danymi kontaktowymi na swojej stronie internetowej.

Art. 9. [Podmioty publiczne zobowiązane do wyznaczenia IOD]

Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się:

1) jednostki sektora finansów publicznych;

2) instytuty badawcze;

3) Narodowy Bank Polski.

komentarz

• Obligatoryjność w przypadku podmiotów publicznych. Jak już wskazywano przy okazji komentowania artykułu 8 ustawy o.d.o., w myśl art. 37 ust. 1 lit. a) RODO administrator danych osobowych i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze, gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.
• Podmioty obowiązane. Ustawodawca krajowy zdecydował się na jednoznaczne doprecyzowanie katalogu podmiotów zobowiązanych do wyznaczenia IOD w oparciu o ww. przesłankę. Wskazanie to nastąpiło właśnie w treści przepisu art. 9 ustawy o.d.o.
• Jednostki sektora finansów publicznych. Pierwsza z kategorii podmiotów publicznych objętych dyspozycją omawianego artykułu określona została w art. 9 ustawy z 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz.U. z 2017 r. poz. 2077 ze zm.). Za jednostki sektora finansów publicznych uważać zatem należy:

1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały – z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, ta kategoria została bowiem wprost wyłączona w art. 37 ust. 1 lit. a) RODO;

2) jednostki samorządu terytorialnego oraz ich związki;

3) związki metropolitalne;

4) jednostki budżetowe;

5) samorządowe zakłady budżetowe;

6) agencje wykonawcze;

7) instytucje gospodarki budżetowej;

8) państwowe fundusze celowe;

9) Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;

10) Narodowy Fundusz Zdrowia;

11) samodzielne publiczne zakłady opieki zdrowotnej;

12) uczelnie publiczne;

13) Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;

14) państwowe i samorządowe instytucje kultury;

15) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

• Instytuty badawcze. Instytutem badawczym jest państwowa jednostka organizacyjna wyodrębniona pod względem prawnym, organizacyjnym i ekonomiczno-finansowym, która prowadzi badania naukowe i prace rozwojowe ukierunkowane na ich wdrożenie i zastosowanie w praktyce. Status tychże podmiotów publicznych reguluje ustawa z 30 kwietnia 2010 r. o instytutach badawczych.
• Narodowy Bank Polski. NBP jest natomiast bankiem centralnym Rzeczypospolitej Polskiej unormowanym m.in. w przepisach z 29 sierpnia 1997 r. o Narodowym Banku Polskim.

Art. 10. [Zawiadomienie o wyznaczeniu IOD]

1. Podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.

2. Zawiadomienie może zostać dokonane przez pełnomocnika podmiotu, o którym mowa w ust. 1. Do zawiadomienia dołącza się pełnomocnictwo udzielone w formie elektronicznej.

3. W zawiadomieniu oprócz danych, o których mowa w ust. 1, wskazuje się:

1) imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna;

2) firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą;

3) pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w pkt 1 i 2;

4) numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.

4. Podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o każdej zmianie danych, o których mowa w ust. 1 i 3, oraz o odwołaniu inspektora, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania.

5. W przypadku wyznaczenia jednego inspektora przez organy lub podmioty publiczne albo przez grupę przedsiębiorców, każdy z tych podmiotów dokonuje zawiadomienia, o którym mowa w ust. 1 i 4.

6. Zawiadomienia, o których mowa w ust. 1 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

komentarz

• Obowiązek zgłoszenia IOD. Przepisy art. 10 ustawy o.d.o. wprowadzają obowiązek oraz określają zasady i terminy zgłaszania inspektorów ochrony danych prezesowi Urzędu Ochrony Danych Osobowych.
• Forma zgłoszenia. Na uwagę zasługuje fakt, że zgłoszenie dokonywane jest w formie elektronicznej, a do jego wysłania jest wystarczające opatrzenie go podpisem potwierdzonym profilem zaufanym ePUAP. Pozwala to na wypełnienie omawianego obowiązku bez konieczności zakupu kwalifikowanego podpisu elektronicznego.

Zgłoszenie może zostać dokonane również przez pełnomocnika. W tym przypadku konieczne jest zachowanie formy elektronicznej. Zgodnie zaś z art. 781 par. 1 k.c., do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym.

Istotny jest również wymóg skierowany do podmiotów, które wyznaczyły wspólnego inspektora ochrony danych dla swoich jednostek organizacyjnych. W takim bowiem przypadku konieczne jest dokonanie zgłoszenia odrębnie przez każdy z tych podmiotów.

• Istotne terminy. Ze względu na fakt, że inspektor ochrony danych zastępuje dotychczasowego administratora bezpieczeństwa informacji, konieczne stało się wprowadzenie przez ustawodawcę odpowiednich przepisów przejściowych do ustawy o.d.o. regulujących tryb zastępowania jednego stanowiska przez drugie. Zgodnie z nimi (zob. art. 158 ustawy o.d.o.):

– osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, staje się, z mocy ustawy, inspektorem ochrony danych i pełni swoją funkcję do dnia 1 września 2018 r., chyba że do tego dnia administrator danych osobowych zawiadomi prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu innej osoby na inspektora ochrony danych;

– osoba taka może zostać odwołana przez administratora danych osobowych bez zawiadomienia prezesa UODO o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy na podstawie RODO administrator danych osobowych nie ma obowiązku wyznaczenia inspektora ochrony danych;

– osoba, która stała się inspektorem ochrony danych, pełni swoją funkcję także po dniu 1 września 2018 r., jeżeli do tego dnia administrator zawiadomił o niej prezesa UODO;

– administrator danych osobowych, który przed dniem wejścia w życie ustawy o.d.o. – czyli przed 25 maja 2018 r. – nie powołał administratora bezpieczeństwa informacji, a jest obowiązany do wyznaczenia inspektora ochrony danych na podstawie art. 37 RODO, ma obowiązek wyznaczenia go oraz zawiadomienia prezesa UODO o jego wyznaczeniu, w terminie do 31 lipca 2018 r.;

– podmiot przetwarzający, zobowiązany do wyznaczenia inspektora ochrony danych na podstawie art. 37 RODO, wyznacza inspektora ochrony danych i zawiadamia prezesa UODO o jego wyznaczeniu, w sposób określony w art. 10 ust. 1, w terminie do 31 lipca 2018 r.

 

Art. 11. [Informacje o IOD]

Podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 ust. 1, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

komentarz

• Brak rejestru. Pod rządami poprzedniej ustawy o ochronie danych osobowych (z 1997 r.) ówczesny generalny inspektor ochrony danych osobowych prowadził jawny rejestr administratorów bezpieczeństwa informacji. Ani RODO, ani też ustawa o.d.o. nie przewidują takiego rejestru. Dlatego też prezes Urzędu Ochrony Danych Osobowych nie będzie prowadził jawnej i ogólnodostępnej ewidencji inspektorów ochrony danych.
• Obowiązek udostępniania danych inspektora. Aby wypełnić lukę po likwidacji ww. rejestru administratorów bezpieczeństwa informacji, a także w celu wykonania art. 37 ust. 7 RODO, polski ustawodawca postanowił, że dane inspektora ochrony danych będą publikowane – przez każdy podmiot, który go ustanowił – na jego stronie internetowej bądź też w inny sposób ogólnie dostępny (jeżeli dany podmiot nie prowadzi strony internetowej). Co ważne, w tym drugim przypadku informacje o IOD powinny znajdować się w miejscu prowadzenia działalności przez podmiot, który go wyznaczył. Obowiązek ten może zostać wykonany przykładowo poprzez zamieszczenie stosownych danych w gablocie, ewentualnie wyłożenie jej do wglądu w ww. miejscu. [przykład 6]

Na zakończenie należy wskazać, że wypełnienie obowiązku udostępniania danych IOD może zostać powiązane z wykonywaniem obowiązku informacyjnego, o którym mowa w art. 13–14 RODO. W obu bowiem przypadkach w treści informacji przekazywanej osobie, której dane dotyczą, należy zamieścić dane kontaktowe inspektora ochrony danych – jeżeli został on powołany. Rzecz jasna wskazywane połączenie możliwe będzie jedynie w odniesieniu do administratora danych osobowych. Podmiot przetwarzający nie wykonuje bowiem obowiązku informacyjnego we własnym imieniu.

 

Przykład 6

Spółka wypełnia obowiązki po powołaniu inspektora

Zarząd spółki powołał jednego z pracowników na stanowiska inspektora ochrony danych. Na stronie internetowej podmiotu zamieszczono informację o następującej treści: „Inspektorem ochrony danych jest pan Jan Kowalski. W sprawach związanych z ochroną danych osobowych można kontaktować się z inspektorem w następujący sposób:

– telefonicznie, pod numerem telefonu: 123–456–789,

– przez pocztę elektroniczną na adres: jan.kowalski@firmax.pl,

– osobiście, w czasie dyżurów, w każdy czwartek w godzinach 10–15, w pokoju 101”.

Następnie, przed upływem 14 dni od powołania inspektora ochrony danych, zawiadomiono o tym fakcie prezesa Urzędu Ochrony Danych Osobowych, podając mu imię i nazwisko inspektora, a także jego adres poczty elektronicznej oraz numer telefonu.

Rozdział 3

Warunki i tryb udzielania akredytacji podmiotowi certyfikującemu

Art. 12. [Sposób udzielania akredytacji]

1. Akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych, o której mowa w art. 43 rozporządzenia 2016/679, zwanej dalej „akredytacją”, udziela Polskie Centrum Akredytacji.

2. Akredytacja jest udzielana na zasadach określonych w art. 43 ust. 1-7 rozporządzenia 2016/679.

3. Do udzielania akredytacji stosuje się przepisy rozdziału 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650), z wyjątkiem art. 24 ust. 4–7 oraz art. 25 ust. 1 i 2 w zakresie dotyczącym ograniczenia zakresu akredytacji oraz jej zawieszenia.

komentarz

• Mechanizm certyfikacji. RODO przewiduje możliwość ustanowienia mechanizmów certyfikacji, znaków jakości oraz oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z tymże rozporządzeniem operacji przetwarzania prowadzonych przez administratorów danych osobowych oraz podmioty przetwarzające. Sam mechanizm certyfikacji oraz korzyści płynące z niego dla podmiotów, które uzyskały stosowny certyfikat, uregulowane zostały w dalszych przepisach ustawy o.d.o. (zob. rozdział 4) oraz zostaną omówione w komentarzach do właściwych jednostek redakcyjnych tego aktu prawnego.
• Akredytacja podmiotów certyfikujących. Certyfikacji, czyli przeprowadzenia postępowania mającego na celu zbadanie zgodności procedur i postępowania certyfikowanej jednostki z przepisami RODO, dokonuje krajowy organ nadzoru bądź też akredytowane podmioty certyfikujące. Zasady udzielania niezbędnej w tym zakresie akredytacji regulują przepisy komentowanego artykułu oraz art. 43 RODO. Wynika z nich w szczególności, że podmioty certyfikujące zostają akredytowane w przypadku:

a) wykazania swojej niezależności i wiedzy fachowej w dziedzinie podlegającej certyfikacji;

b) zobowiązania się do stosowania kryteriów akredytacji ogłoszonych przez prezesa Urzędu Ochrony Danych Osobowych;

c) dysponowania procedurami wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych osobowych;

d) dysponowania procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie warunków certyfikacji przez administratora danych osobowych lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania certyfikacji przez administratora danych osobowych lub podmiot przetwarzający, oraz które zapewniają przejrzystość tych procedur i struktur dla osób, których dane dotyczą, i opinii publicznej;

e) wykazania, że ich zadania i obowiązki nie powodują konfliktu interesów.

• Organ akredytujący. W Polsce organem udzielającym akredytacji jest Polskie Centrum Akredytacji na zasadach przewidzianych w ustawie z 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku.
• Procedura. Proces akredytacji inicjuje wniosek podmiotu ubiegającego się o udzielenie akredytacji, który musi spełniać wymogi wskazane w art. 23 ww. ustawy.

Wniosek może zostać złożony w formie papierowej lub elektronicznej. Przy czym ten, który został złożony za pomocą środków komunikacji elektronicznej, opatruje się kwalifikowanym podpisem elektronicznym.

Do wniosku dołącza się oryginały dokumentów opisujących system zarządzania w podmiocie certyfikującym albo kopie poświadczone przez osoby uprawnione do reprezentowania jednostki oceniającej zgodność. Wszakże w przypadku składania wniosku drogą elektroniczną podmiot certyfikujący może uzgodnić z Polskim Centrum Akredytacji inny sposób udostępnienia ww. dokumentów.

Polskie Centrum Akredytacji rozpatruje wniosek o udzielenie akredytacji i w terminie nie dłuższym niż 12 miesięcy od dnia złożenia kompletnego wniosku zawiadamia wnioskującą jednostkę o udzieleniu albo odmowie udzielenia akredytacji. Jeżeli organ akredytujący uzna, że wnioskodawca spełnia wymogi akredytacji, wydaje mu certyfikat. W innym przypadku odmawia udzielenia akredytacji. Akredytacji udziela się na maksymalny okres pięciu lat ( można ją przedłużyć na tych samych warunkach, o ile podmiot certyfikujący spełnia stosowne wymogi).

• Cofnięcie akredytacji. Zarówno prezes Urzędu Ochrony Danych Osobowych, jak i Polskie Centrum Akredytacji uprawnione są do cofnięcia akredytacji w przypadku, gdy podmiot certyfikujący nie spełnia lub przestał spełniać warunki akredytacji lub jeżeli działania podejmowane przez podmiot certyfikujący naruszają przepisy prawa w zakresie ochrony danych osobowych.
• Możliwości odwołania. Co ważne, w przypadku udzielenia, odmowy udzielenia albo cofnięcia akredytacji podmiotowi certyfikującemu przysługuje odwołanie. Wnosi się je do Komitetu Odwoławczego działającego przy Polskim Centrum Akredytacji – w terminie 14 dni od dnia otrzymania zawiadomienia o udzieleniu, odmowie udzielenia albo cofnięciu akredytacji. Odwołanie rozpatruje zespół trzech ekspertów – wyznaczonych spośród członków Komitetu Odwoławczego przez przewodniczącego Komitetu Odwoławczego – w terminie 60 dni od dnia doręczenia odwołania.
• Skarga do WSA. Jeżeli wniesione przez podmiot certyfikujący odwołanie zostanie oddalone, przysługuje mu skarga do sądu administracyjnego, za pośrednictwem Komitetu Odwoławczego, w terminie 30 dni od dnia doręczenia zawiadomienia o oddaleniu odwołania. W postępowaniu przed sądem administracyjnym stosuje się odpowiednio przepisy o zaskarżaniu do sądu decyzji administracyjnych.
• Skutki uzyskania akredytacji. Po uzyskaniu omawianej akredytacji podmiot certyfikujący uprawniony jest do przeprowadzania certyfikacji u administratorów danych osobowych oraz podmiotów przetwarzających. Przy czym podmiot certyfikujący zobowiązany jest do przedstawienia prezesowi Urzędu Ochrony Danych Osobowych powodów udzielenia albo odmowy udzielenia certyfikacji.

Art. 13. [Kryteria akredytacji podmiotów certyfikujących]

Prezes Urzędu udostępnia na swojej stronie podmiotowej w Biuletynie Informacji Publicznej kryteria akredytacji, o których mowa w art. 43 ust. 3 rozporządzenia 2016/679.

komentarz

• Kryteria certyfikacji. Akredytacja podmiotów certyfikujących dokonywana jest na podstawie kryteriów zatwierdzonych przez krajowy organ nadzorczy lub przez Europejską Radę Ochrony Danych. Krajowy organ nadzorczy zobowiązany jest do podania do wiadomości publicznej – w łatwo dostępny sposób – wymogów oraz kryteriów certyfikacji.

Organy nadzorcze z poszczególnych państw członkowskich przekazują te wymogi i kryteria Europejskiej Radzie Ochrony Danych. Gromadzi ona w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości w dziedzinie ochrony danych i udostępnia je opinii publicznej za pomocą odpowiednich środków.

• Zobowiązanie organu nadzoru. Na gruncie prawa polskiego ustawodawca zdecydował, że kryteria akredytacji podmiotów certyfikujących będą udostępniane na stronie internetowej prezesa Urzędu Ochrony Danych Osobowych – w Biuletynie Informacji Publicznej. W chwili zamykania komentarza do druku takie kryteria nie zostały jeszcze przedstawione.

Art. 14. [Informowanie o udzielonej akredytacji]

1. Polskie Centrum Akredytacji informuje Prezesa Urzędu o udzielonej akredytacji.

2. Informacja o udzielonej akredytacji zawiera:

1) oznaczenie podmiotu, któremu udzielono akredytacji;

2) wskazanie zakresu udzielonej akredytacji oraz okresu jej ważności.

3. Polskie Centrum Akredytacji informuje Prezesa Urzędu o cofnięciu akredytacji.

4. Informacja o cofnięciu akredytacji zawiera:

1) oznaczenie podmiotu, któremu cofnięto akredytację;

2) wskazanie przyczyny uzasadniającej cofnięcie akredytacji.

5. Prezes Urzędu i Polskie Centrum Akredytacji mogą zawrzeć porozumienie o współpracy w zakresie monitorowania działalności podmiotów certyfikujących i wzajemnym przekazywaniu informacji dotyczących tych podmiotów.

komentarz

• Obieg informacji. Przepisy komentowanego artykułu regulują sposób przekazywania informacji pomiędzy Polskim Centrum Akredytacji a prezesem Urzędu Ochrony Danych Osobowych. Jest to istotne przede wszystkim z uwagi na pozostałe kompetencje krajowego organu nadzoru. Jak już była o tym mowa przy okazji omawiana art. 12, każdy z podmiotów uprawniony jest do cofnięcia udzielonej akredytacji w przypadku, gdy podmiot ten nie spełnia lub przestał spełniać warunki akredytacji lub jeżeli działania podejmowane przez podmiot certyfikujący naruszają przepisy prawa w zakresie ochrony danych osobowych.
• Uprawnienia prezesa UODO w zakresie certyfikacji. Niezależnie od powyższego, prezes Urzędu Ochrony Danych Osobowych uprawniony jest do cofnięcie certyfikacji lub nakazania podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej przez ten podmiot bądź nakazania podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane (zob. art. 58 ust. 2 lit. h RODO).

Co więcej, krajowy organ nadzoru, niezależnie od kompetencji Polskiego Centrum Akredytacji oraz podmiotów certyfikujących, uprawniony jest do udzielania akredytacji oraz certyfikowania administratorów danych osobowych i podmiotów przetwarzających (zob. art. 58 ust. 3 lit. e i f RODO).

 

Rozdział 4

Warunki i tryb dokonywania certyfikacji

Art. 15. [Zasady udzielania certyfikacji]

1. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, zwanej dalej „certyfikacją”, dokonuje Prezes Urzędu lub podmiot certyfikujący, na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek.

2. Certyfikacja jest dokonywana na zasadach określonych w rozporządzeniu 2016/679.

3. W sprawach dokonywania certyfikacji przez podmiot certyfikujący nieuregulowanych w rozporządzeniu 2016/679 i ustawie stosuje się postanowienia umowy cywilnoprawnej zawartej między podmiotem certyfikującym a podmiotem ubiegającym się o certyfikację.

komentarz

• Istota certyfikacji. Jak już była o tym mowa przy okazji omawiania zasad udzielania akredytacji podmiotom certyfikującym, RODO przewiduje możliwość uzyskania przez administratora danych osobowych oraz przez podmiot przetwarzający certyfikatu poświadczającego o zgodności z tymże rozporządzeniem operacji przetwarzania prowadzonych przez te podmioty.
• Dobrowolność i termin. Certyfikacja jest dobrowolna, zaś sam certyfikat udzielany jest na maksymalny okres trzech lat. Po tym czasie certyfikację można przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi. Podobnie jak przy akredytacji, organy certyfikujące maja uprawnienie do cofnięcia certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.
• Rola i znaczenie certyfikatu. Rola omawianego certyfikatu, a przez to również jego wartość rynkowa, nie ogranicza się jedynie do stwierdzenia zgodności postępowania przez administratora danych osobowych lub podmiot przetwarzający z przepisami regulującymi ochronę danych osobowych.

Certyfikat spełnia również dodatkowe funkcje:

– w razie braku odpowiedniej decyzji Komisji Europejskiej administrator danych osobowych lub podmiot przetwarzający może przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Odpowiednie zabezpieczenia można natomiast zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – m.in. za pomocą zatwierdzonego mechanizmu certyfikacji wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;

– organ nadzoru decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca w każdym indywidualnym przypadku należytą uwagę m.in. na stosowanie przez administratora danych osobowych lub podmiot przetwarzający zatwierdzonych mechanizmów certyfikacji;

– stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji może posłużyć za element wykazujący wywiązywanie się z obowiązków ciążących na tym podmiocie w związku z powierzeniem mu danych osobowych do przetwarzania.

Z powyższego wynika, że dysponowanie przez dany podmiot, także spoza Unii Europejskiej, przedmiotowym certyfikatem może stanowić wystarczające narzędzie potwierdzające wdrożenie przez niego standardów ochrony danych osobowych wymaganych przez RODO.

Posiadanie certyfikatu może także w niektórych sytuacjach uchronić dany podmiot przed nałożeniem na niego administracyjnych kar pieniężnych bądź wpłynąć na zmniejszenie ich wysokości. Należy wszakże pamiętać również o tym, że prezes Urzędu Ochrony Danych Osobowych uprawniony jest do odebrania certyfikatu, co ma stanowić jedną z sankcji za naruszenie przepisów RODO.

• Procedura certyfikacji przez podmioty inne niż prezes UODO. Ze względu na fakt, że RODO oraz ustawa ODO nie regulują w sposób wyczerpujący procedury certyfikacji prowadzonej przez inne podmioty niż prezes Urzędu Ochrony Danych Osobowych, kwestie szczegółowe pozostawiono regulacji stron w ramach zasady swobody umów.

Tego typu nienazwana umowa prawa cywilnego powinna regulować przede wszystkim, prawa i obowiązki każdej ze stron, terminy do ich wykonania, a także odpowiedzialność za naruszenie umowy. W umowie należy również opisać procedurę przeprowadzania audytu mającego stwierdzić zasadność przyznania certyfikatu, a także inne, bardziej szczegółowe kwestie związane z praktycznym wykonywaniem umowy. Możliwe jest również odwołanie się do ogólnych instytucji prawa cywilnego, takich jak chociażby kary umowne za naruszenie obowiązków kontraktowych, czy też instytucję zwolnienia z długu – w przypadku błędów popełnionych w toku certyfikacji skutkujących roszczeniami osób trzecich.

 

Art. 16. [Kryteria certyfikacji]

Prezes Urzędu udostępnia na swojej stronie podmiotowej w Biuletynie Informacji Publicznej kryteria certyfikacji, o których mowa w art. 42 ust. 5 rozporządzenia 2016/679.

komentarz

• Udostępnienie kryteriów krajowych. Certyfikacja – niezależne od tego, czy dokonywana jest przez akredytowany podmiot certyfikujący czy też przez prezesa Urzędu Ochrony Danych Osobowych – odbywa się na tożsamych zasadach. Jej kryteria ustala oraz podaje je do wiadomości publicznej krajowy organ nadzoru. Polski ustawodawca postanowił o publikowaniu ich na stronie Biuletynu Informacji Publicznej tegoż organu nadzoru.
• Kryteria unijne. Na marginesie należy nadmienić, że własne kryteria certyfikacji może ustanawiać także Europejska Rada Ochrony Danych. W takim przypadku mogą one posłużyć do wspólnej certyfikacji podmiotów z różnych państw członkowskich lub przyznawania europejskiego znaku jakości ochrony danych. ©℗

Ramka 1

Najważniejsze zmiany wynikające z ustawy

1. Generalny inspektor ochrony danych osobowych (GIODO) został zastąpiony prezesem Urzędu Ochrony Danych Osobowych.

2. Zniesiono możliwość składania wniosku o ponowne rozparzenie sprawy przez GIODO, postępowanie przed prezesem Urzędu Ochrony Danych Osobowych jest bowiem jednoinstancyjne, a jego decyzje natychmiast wykonalne. Od decyzji prezesa urzędu przysługuje skarga do wojewódzkiego sądu administracyjnego, zaś jej wniesienie powodować będzie wstrzymanie wykonania decyzji tego organu w zakresie nałożonej kary pieniężnej.

3. Organizacje społeczne uzyskały możliwość żądania wszczęcia postępowania przed prezesem urzędu, a także wstąpienia do postępowania będącego już w toku.

4. Pojawiła się instytucja czasowego zawieszenia przetwarzania danych osobowych przez administratora danych w toku postępowania prowadzonego przez prezesa UODO – organ ten będzie uprawniony – w drodze postanowienia – do zobowiązania podmiotu, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych. Prezes UODO będzie również wskazywał dopuszczalny zakres tego przetwarzania w czasie trwania postępowania.

5. Dodano możliwość zastrzeżenia informacji stanowiących tajemnicę przedsiębiorstwa do wiadomości prezesa UODO przez stronę postępowania. Prezes urzędu będzie mógł wszakże uchylić zastrzeżeni – w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.

6. Zmniejszyła się liczba występków i wykroczeń przewidzianych w ustawie o ochronie danych osobowych – nowa ustawa przewiduje jedynie dwa przypadki takiej odpowiedzialności.

7. Prezes urzędu – jeżeli uzna, że przemawia za tym interes publiczny – po zakończeniu postępowania będzie mógł zmieścić informacje o wydaniu decyzji na swojej stronie podmiotowej w Biuletynie Informacji Publicznej.

8. Ustawa wprowadza nową regulację w zakresie kontroli przestrzegania przepisów o ochronie danych osobowych, a także o nakładaniu administracyjnych kar pieniężnych. ©℗

Ramka 2

Najważniejsze zmiany wynikające z RODO

1. Nałożenie na administratora danych obowiązku informowania o naruszeniach ochrony danych osobowych – w niektórych przypadkach został on zobowiązany do zgłoszenia tego typu naruszeń zarówno organowi zajmującemu się przetwarzaniem danych osobowych, a w niektórych przypadkach także osobie, które dane te dotyczą. Natomiast podmiot przetwarzający jest zobligowany do niezwłocznego zgłaszania takich naruszeń administratorowi danych.

2. Funkcję administratora bezpieczeństwa informacji (tzw. ABI) zastąpiono funkcją inspektora ochrony danych. Przy czym RODO przyznaje inspektorowi szersze uprawnienia oraz większe gwarancje niezależności. Niemniej jednak powoływanie inspektora nadal będzie w większości przypadków dobrowolne.

3. Wprowadzono obowiązek oceny skutków planowanego przetwarzania dla ochrony danych osobowych – w niektórych sytuacjach, zwłaszcza gdy przetwarzanie to będzie wykonywane przy użyciu nowych technologii, administrator danych jest zobligowany do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

4. Pojawia się instytucja uprzednich konsultacji – jest ona powiązana z oceną skutków przetwarzania danych osobowych. Jeżeli ocena taka ujawni wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zaś administrator danych nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator danych będzie miał obowiązek skonsultowania się z organem nadzorczym co do sposobów minimalizacji ww. ryzyka.

5. Rozporządzenie wprowadza obowiązek szacowania ryzyka – administrator danych oraz podmiot przetwarzający zostali zobowiązani do wprowadzenia odpowiednich, do zidentyfikowanego ryzyka, środków technicznych i organizacyjnych mających na celu zapewnienie właściwego poziomu bezpieczeństwa ochrony danych osobowych.

6. Dodano obowiązek uwzględnienia ochrony danych osobowych w fazie projektowania – administrator danych jest zobowiązany – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – do wdrażania odpowiednich środków technicznych i organizacyjnych (np. pseudonimizacja, minimalizacja danych), tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

7. Wprowadzone zmiany w sposobie powierzania i podpowierzania przetwarzania danych osobowych – ustawa z 1997 r. bowiem w sposób szczątkowy reguluje kwestię powierzenia danych osobowych innym podmiotom oraz milczy w zakresie dopuszczalności oraz zasad podpowierzania przetwarzania danych osobowych. RODO wprowadza w tym zakresie rozbudowaną regulację. Nakłada także na podmiot przetwarzają wymóg uzyskania zgody administratora danych na podpowierzanie danych osobowych innym podmiotom.

8. Wprowadzono zmiany w zakresie udzielania zgody na przetwarzanie danych osobowych – RODO zmienia nieznacznie katalog przesłanek przetwarzania danych osobowych bez zgody osoby, której dane dotyczą. Nadto wprowadza regulacje odnoszące się do zgody osoby niepełnoletniej – udzielanej przy realizacji usług społeczeństwa informacyjnego, a także nowej instytucji przetwarzania danych osobowych bez konieczności identyfikacji osoby, której dane są przetwarzane.

9. Liczne zmiany dotykają praw osób, których dane są przetwarzane – ustawa z 1997 r. posługuje się instytucjami: sprzeciwu oraz żądania zaprzestania przetwarzania danych osobowych, tymczasem na gruncie RODO funkcjonuje tylko instytucja sprzeciwu, przy czym łączy cechy i funkcje ww. instytucji. Ponadto pojawiają się całkowicie nowe uprawnienia osoby, której dane są przetwarzane, przykładowo: prawo do bycia zapomnianym, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych (zob. art. 12–22 RODO).

10. Wprowadzono kompleksowe regulacje w zakresie profilowania – pojawił się generalny zakaz podejmowania wiążących decyzji przez administratora danych na podstawie zautomatyzowanego przetwarzania danych, w tym profilowania. Niemniej jednak w rozporządzeniu przewidziano także wyjątki od tego zakazu.

11. W RODO zrezygnowano z rejestracji zbiorów danych osobowych na rzecz rejestrowania czynności przetwarzania – znikną rejestry zbiorów danych osobowych prowadzone przez GIODO albo przez ABI, administrator danych natomiast ma obecnie obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada. Analogiczny obowiązek nałożono na podmiot przetwarzający.

12. Wprowadzono zmiany w obowiązku udzielania informacji przez administratora danych – także obecnie administrator danych ma obowiązek udzielać informacji osobom, których dane osobowe przetwarza, przy czym RODO wprowadza w tym zakresie ustawowe terminy, a także możliwość pobierania opłaty za udzielane informacje, gdy żądania takie są ewidentnie nieuzasadnione lub nadmierne, zwłaszcza z uwagi na ich ustawiczny charakter. Co ważne, zwiększono znacznie rangę tego obowiązku, który stał się jedną z przesłanek legalnego przetwarzania danych osobowych,

13. Dodano prawo do odszkodowania oraz odpowiedzialność administratora danych za szkodę majątkową i niemajątkową – RODO wprowadza regulacje w zakresie cywilnoprawnej odpowiedzialności ADO za szkody wywołane naruszeniem przezeń przepisów rozporządzenia. Ponadto wprowadzono katalog roszczeń, z którymi osoba, której dane są przetwarzane, będzie mogła wystąpić do administratora danych. W Polsce roszczenia z tego tytułu będzie rozpatrywał sąd okręgowy niezależnie od wartości przedmiotu sporu.

14. Pojawia się regulacja w zakresie współadministrowania danymi osobowymi – rozporządzenie wprowadza pojęcie podmiotów, którzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych,

15. Dodano instytucję certyfikacji – RODO umożliwia wprowadzenie systemu certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych, mających świadczyć o zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. W Polsce certyfikację będzie przeprowadzał prezes Urzędu Ochrony Danych Osobowych, bądź akredytowany podmiot certyfikujący.

16. Dodano instytucję kodeksów postępowania – zrzeszenia oraz inne organizacje reprezentujące administratorów danych lub podmioty przetwarzające będą mogły przyjmować kodeksy postępowania. Ich celem będzie doprecyzowanie zasad ochrony danych osobowych zawartych w RODO.

17. Dodano przepisy o akredytacji – monitorowanie przestrzegania kodeksów postępowania, a także przeprowadzenie postępowania w celu wydania certyfikatu dokonywane będzie przez podmioty do tego akredytowane. W Polsce akredytacji udzielać będzie Polskie Centrum Akredytacji.

18. Pojawia się Europejska Rada Ochrony Danych – powołany zostaje organ Unii Europejskiej, w którego skład wchodzić będą przewodniczący jednego organu nadzorczego każdego państwa członkowskiego oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele. Rada będzie miała za zadanie m.in. monitorowanie sposobu stosowania RODO i doradzanie innym organom UE albo krajom członkowskich, a także wydawanie w tym zakresie wytycznych, rozstrzyganie sporów między krajowymi organami ochrony danych osobowych.

19. Zmieniono zasady i wysokość nakładanych kar za naruszenie przepisów, RODO zastrzega bardzo wysokie kary finansowe za naruszenie przepisów rozporządzenia – nawet 20 mln euro, określa także przesłanki, którymi winny się kierować organy je nakładające. Prezes Urzędu Ochrony Danych Osobowych będzie uprawniony, na wniosek podmiotu ukaranego, do odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty ze względu na ważny interes ukaranego wnioskodawcy. ©℗

Ramka 3

Słowniczek podstawowych pojęć

Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1 RODO). Przy czym informacje to nie tylko znaki językowe, ale także inne okoliczności towarzyszące znakom językowym lub tylko informacje pozajęzykowe, np. zdjęcia, filmy, zarejestrowane głosy, cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki. Informacja nie musi być również powszechnie zrozumiała. Informacja może zostać uznana za mającą charakter danych osobowych tylko wtedy, jeżeli dotyczy osoby fizycznej.

Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO).

Zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Tym, co odróżnia zbiór danych osobowych od innych zestawów danych, jest istnienie cechy lub cech pozwalających na odnalezienie w zbiorze określonej informacji bez potrzeby przeglądania całego zestawu. W przypadku typowego przedsiębiorcy będzie on najczęściej posiadał zbiory danych osobowych: pracowników, klientów, kandydatów do pracy, współpracowników, członków organów, itp. (art. 4 pkt 6).

Administrator danych osobowych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Innymi słowy jest to podmiot decydujący o przeznaczeniu oraz zakresie przetwarzania danych osobowych (art. 4 pkt 7 RODO).

Podmiot przetwarzający (procesor) – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora danych osobowych (art. 4 pkt 8 RODO). Procesor ma obowiązek zapewnić bezpieczeństwo ochrony danych osobowych. Ponadto jego dostęp do danych osobowych powinien wynikać z powierzenia, które może przyjąć formę umowy albo innego instrumentu prawnego (np. uchwały bądź zarządzenia organu administracji publicznej). Przykładem relacji „administrator danych osobowych–procesor” może być przekazywanie przez przedsiębiorcę danych osobowych klientów i pracowników do biura księgowego, z którym on współpracuje. Księgowa w takim wypadku przetwarza dane osobowe w celu i zakresie określonym przez administratora danych osobowych (jej klienta). Z uwagi na powyższe na procesorze nie spoczywa obowiązek legitymowania się samodzielną przesłanką legalizującą przetwarzanie danych osobowych, działa on bowiem na mocy umowy z administratorem danych osobowych. Nadto to na administratorze spoczywa obowiązek informacyjny, czyli przekazania osobie, której dane osobowe są przetwarzane, informacji wymaganych przez RODO (zob. art. 13–14 RODO).

Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt 11 RODO). Co ważne, wbrew potocznemu mniemaniu zgoda nie jest jedyną przesłanką legalizującą przetwarzanie danych osobowych. Wśród najczęściej występujących należy wskazać: wykonywanie umowy, podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, czy też wypełnienie obowiązku prawnego ciążącego na administratorze – np. obowiązek przechowywania dokumentacji pracowniczej albo faktur. Wystarczające jest, aby administrator legitymował się jedną z przesłanek, nawet jeżeli nie jest to zgoda. ©℗

wzór 2

Gdańsk, 30 maja 2018 r.

Prezes Urzędu Ochrony Danych Osobowych

Zawiadomienie o ustanowieniu

Inspektora Ochrony Danych

Działając w imieniu spółki Twój Bank spółka akcyjna z siedzibą w Gdańsku przy ul. Wodociągowej 1, REGON: 12334567890, jako jej prezes zarządu uprawniony do jednoosobowej reprezentacji, informuję niniejszym, że w spółce powołany został inspektor ochrony danych:

– imię i nazwisko: Jan Kowalski,

– adres poczty eletronicznej: jan.kowalski@twoj-bank.pl,

– numer telefonu: 750–750–750,

– data wyznaczenia: 25 maja 2018 r.

 

Uzasadnienie

W wykonaniu dyspozycji art. 10 ust. 1 ustawy z 10 maja 2018 r., podmiot który wyznaczył inspektora ochrony danych informuje o tym Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia jego wyznaczenia.

[…………………………]

Adam Nowak

Prezes Zarządu

©℗