Ustawa z 10 maja 2018 r. o ochronie danych osobowych (cz. 3)

Art. 32. [Dalsze spełnianie kryteriów akredytacji]

1. W okresie, na jaki akredytacja została udzielona, podmiot akredytowany jest obowiązany spełniać kryteria, o których mowa w art. 41 ust. 1 i 2 rozporządzenia 2016/679, obowiązujące na dzień wydania certyfikatu akredytacyjnego.

2. Prezes Urzędu cofa, w drodze decyzji, akredytację w przypadku stwierdzenia, że podmiot akredytowany:

1) nie spełnia lub przestał spełniać kryteria akredytacji, o których mowa w art. 41 ust. 1 i 2 rozporządzenia 2016/679;

2) podejmuje działania niezgodne z rozporządzeniem 2016/679.

komentarz

• Obowiązek ustawicznego spełniania kryteriów. W komentowanym artykule znaleźć można kolejne podobieństwa pomiędzy procesami certyfikacji oraz akredytacji dokonywanymi przez prezesa UODO (poprzednie podobieństwa opisano w komentarzach do art. 30–31 ustawy o ochronie danych osobowych; dalej: u.o.d.o.). Również i w tym przypadku podmiot akredytowany został zobligowany do spełniania kryteriów certyfikacji obowiązujących na dzień wydania certyfikatu. Jest to o tyle ważne, że termin na rozpatrzenie wniosku o udzielenie akredytacji wynosi trzy miesiące. Jeżeli zatem pomiędzy datą jego złożenia a datą wydania certyfikatu kryteria akredytacji uległyby zmianie, podmiot akredytowany byłby zobligowany do przestrzegania kryteriów obowiązujących w dniu wydania certyfikatu.
• Kryteria akredytacji. Kryteria, o których mowa w art. 41 ust. 1 i 2 RODO (rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L 119/1 z 4 maja 2016 r. ) zostały omówione w komentarzu do art. 29 u.o.d.o. Podmiot akredytowany musi spełniać zatem następujące warunki:

– dysponować odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu;

– w sposób satysfakcjonujący wykazać właściwemu organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie będącej przedmiotem kodeksu;

– dysponować procedurami, które pozwalają mu: ocenić zdolność konkretnych administratorów i podmiotów przetwarzających do stosowania kodeksu, monitorować przestrzeganie przez nich jego przepisów oraz okresowo dokonywać przeglądu jego funkcjonowania;

– dysponować procedurami i strukturami pozwalającymi rozpatrywać skargi na naruszenie kodeksu przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania kodeksu przez administratora lub podmiot przetwarzający oraz umożliwiającymi zapewnienie przejrzystości tych procedur i struktur dla osób, których dane dotyczą, i opinii publicznej;

– w sposób satysfakcjonujący wykazać właściwemu organowi nadzorczemu, że jego zadania i obowiązki nie powodują konfliktu interesów.

Uwaga: uszczegółowienie wskazanych powyżej przesłanek będzie wynikać z ogłoszonych przez prezesa UODO kryteriów akredytacji.

• Cofnięcie akredytacji. Jeżeli dany podmiot akredytowany przestanie spełniać ww. kryteria – obowiązujące w dacie wydania certyfikatu, wówczas prezes UODO będzie zobowiązany do cofnięcia udzielonej mu akredytacji. Organ nadzoru analogicznie będzie musiał postąpić, gdy stwierdzone zostanie, że podmiot akredytowany podejmuje działania niezgodne z RODO. W obu przypadkach rozstrzygnięcie prezesa UODO będzie miało postać decyzji administracyjnej. Pozwoli to na jej zaskarżenie do wojewódzkiego sądu administracyjnego. Procedura ta została opisana szerzej w komentarzach do art. 20 oraz 22 u.o.d.o.
• Metody oceny. Podmioty akredytowane nie podlegają monitoringowi na wzór monitorowania przestrzegania zatwierdzonych kodeksów postępowania. Stwierdzenie naruszeń wskazanych w ust. 2 może jednakże nastąpić w toku innych postępowań prowadzonych przez prezesa UODO, np. wywołanych skargą na ten podmiot, bądź w trakcie prowadzonej przez organ nadzoru kontroli.
• Możliwe problemy z interpretacją przesłanek cofnięcia akredytacji. Na zakończenie zwrócić należy uwagę na niezwykle pojemną przesłankę podejmowania działań niezgodnych z rozporządzeniem 2016/679 (RODO). Podstawą do cofnięcia akredytacji mogą być zatem wszelkie czynności podejmowane przez podmiot akredytowany, które są w sprzeczności z RODO. Ustawodawca nie zawęził bowiem tej przesłanki jedynie do czynności podejmowanych w związku z monitorowaniem przestrzegania zatwierdzonych kodeksów postępowania przez ten podmiot. Z drugiej jednakże strony ustawodawca ograniczył omawianą przesłankę jedynie do działań niezgodnych z RODO. Może to budzić pewne wątpliwości interpretacyjne – czy celowo pominięto przypadki zaniechań, czyli sytuacji, w których dany podmiot nie wykonał wymaganych od niego czynności (działań)? Na gruncie innych aktów prawnych pojęcia „działania” i „zaniechania” są od siebie odróżniane. Obie kategorie opisuje się zaś zbiorczym terminem „zachowanie”. Rozróżnienie to ma miejsce na gruncie różnych dziedzin prawa, np. cywilnego i karnego. O woli pominięcia zaniechań może dodatkowo świadczyć konstrukcja tejże przesłanki. Ustawodawca nie ograniczył się bowiem do użycia słowa „działania”, ale posłużył się zwrotem „podejmuje działania”. Ten zaś bez wątpienia odnosi się do aktywnych zachowań danej jednostki, która dla zaistnienia skutku musi podjąć konkretne czynności, w tym przypadku niezgodne z RODO.

Jeżeli prezes UODO skorzystałby z kompetencji przyznanych mu przez przepisy komentowanego artykułu, podmiot któremu cofnięto akredytację, jest uprawniony do wniesienia skargi do sądu administracyjnego na decyzję administracyjną wydaną przez krajowy organ nadzorczy. Przy czym wniesienie skargi w tym zakresie nie wstrzymuje z mocy prawa wykonalności ostatecznej decyzji prezesa UODO. Skarżący może jednakże wystąpić z wnioskiem o zawieszenie jej wykonalności zarówno do organu, który ją wydał, jak i do sądu administracyjnego.

Ostateczna decyzja wydana w przedmiocie cofnięcia akredytacji będzie stanowiła również podstawę do usunięcia danego podmiotu z rejestru podmiotów akredytowanych prowadzanego przez prezesa UODO. Więcej na ten temat w komentarzu do art. 33 ustawy.

Art. 33. [Wykaz podmiotów akredytowanych]

1. Prezes Urzędu prowadzi publicznie dostępny wykaz podmiotów akredytowanych.

2. Prezes Urzędu dokonuje wpisu do wykazu niezwłocznie po udzieleniu akredytacji.

3. Prezes Urzędu udostępnia wykaz na swojej stronie podmiotowej w Biuletynie Informacji Publicznej i dokonuje jego aktualizacji.

komentarz

• Obowiązek prowadzenia wykazu. Jak już była o tym mowa przy okazji komentowania przepisów poświęconych certyfikatowi akredytacyjnemu (art. 31 u.o.d.o.), jednym z narzędzi zapewniających jawność procesu akredytacji jest obowiązek prezesa UODO do prowadzenia specjalnego wykazu podmiotów akredytowanych. Wpisywane będą do niego wszystkie podmioty, które uzyskają taką decyzję.

Z treści komentowanego artykułu wywieść można, że taka lista będzie służyła do wskazania (wymienienia) podmiotów, którym udzielono akredytacji, a więc nie muszą się na niej znajdować inne, bardziej szczegółowe informacje – np. data wydania certyfikatu akredytacyjnego czy też dziedzina będąca przedmiotem danego kodeksu postępowania. Można domyślać, się, że wykaz będzie zapewne obejmował oznaczenie podmiotu akredytowanego poprzez wskazanie jego pełnej nazwy, firmy bądź imienia i nazwiska, a także adresu.

• Termin wpisu. Podmiot akredytowany ma być wpisywany do rejestru „niezwłocznie”, po udzieleniu mu akredytacji. Wpis następować zatem będzie możliwie szybko. Niemniej jednak z prawnego punktu widzenia jego dokonanie nie będzie wiązało się z jakimikolwiek dodatkowymi prawami bądź obowiązkami dla podmiotu akredytowanego. Wpis do wykazu nie jest bowiem konstytutywną przesłanką akredytacji – ma jedynie charakter następczej czynności materialno-technicznej o walorze informacyjnym. Do jego dokonania nie jest konieczne wydanie odrębnej decyzji bądź postanowienia przez organ nadzoru.
• Wykreślenie z wykazu. Chociaż komentowane przepisy nie mówią o tym wprost, to nie powinno budzić wątpliwości, że w przypadku cofnięcia akredytacji prezes UODO – również niezwłocznie – dokona wykreślenia danego podmiotu z wykazu. Celem jego prowadzenia jest bowiem upublicznienie informacji o podmiotach akredytowanych, czyli posiadających ważną akredytację. Pośrednio potwierdza to brzmienie końcowego fragmentu przepisu art. 33 ust. 3, w którym to wskazano, że prezes UODO nie tylko udostępnia wykaz, ale także go aktualizuje.

Podobnie jak w przypadku wpisu do wykazu podmiotów akredytowanych, również wykreślenie z niego nie ma mocy konstytutywnej. Jest to jedynie czynność techniczna, podejmowana jako konsekwencja wcześniejszej decyzji administracyjnej krajowego organu nadzorczego.

Owo upublicznienie natomiast następować będzie poprzez udostępnienie wykazu na stronie podmiotowej prezesa UODO w Biuletynie Informacji Publicznej. Dostęp do wykazu będzie zatem bezpłatny.

Rozdział 6

Prezes Urzędu

Art. 34. [Prezes Urzędu Ochrony Danych Osobowych]

1. Prezes Urzędu jest organem właściwym w sprawie ochrony danych osobowych.

2. Prezes Urzędu jest organem nadzorczym w rozumieniu rozporządzenia 2016/679, w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89) oraz w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępującego i uchylającego decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW (Dz. Urz. UE L 135 z 24.05.2016, str. 53).

3. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu Rzeczypospolitej Polskiej.

4. Na stanowisko Prezesa Urzędu może być powołana osoba, która:

1) jest obywatelem polskim;

2) posiada wyższe wykształcenie;

3) wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;

4) korzysta z pełni praw publicznych;

5) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;

6) posiada nieposzlakowaną opinię.

5. Prezes Urzędu w zakresie wykonywania swoich zadań podlega tylko ustawie.

6. Kadencja Prezesa Urzędu trwa 4 lata, licząc od dnia złożenia ślubowania. Prezes Urzędu po upływie kadencji wykonuje swoje obowiązki do czasu objęcia stanowiska przez nowego Prezesa Urzędu.

7. Ta sama osoba nie może być Prezesem Urzędu więcej niż przez dwie kadencje.

8. Kadencja Prezesa Urzędu wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego.

9. Prezes Urzędu może zostać odwołany przed upływem kadencji, wyłącznie w przypadku, gdy:

1) zrzekł się stanowiska;

2) stał się trwale niezdolny do pełnienia obowiązków na skutek choroby stwierdzonej orzeczeniem lekarskim;

3) sprzeniewierzył się ślubowaniu;

4) został skazany prawomocnym wyrokiem sądu za popełnienie umyślnego przestępstwa lub umyślnego przestępstwa skarbowego;

5) został pozbawiony praw publicznych.

10. W przypadku wygaśnięcia kadencji Prezesa Urzędu jego obowiązki pełni zastępca Prezesa Urzędu wskazany przez Marszałka Sejmu.

komentarz

• Kompetencje i rola prezesa. Prezes UODO, jako organ właściwy w sprawie ochrony danych osobowych, zastąpił generalnego inspektora ochrony danych osobowych, który funkcjonował w krajowym porządku prawnym w oparciu o przepisy ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.).

Jako organ odpowiedzialny za całość sfery ochrony danych osobowych na terenie Polski, prezes UODO wykonuje zadania przewidziane w RODO dla krajowego organu nadzorczego. I tak jest on organem właściwym do podejmowania decyzji oraz wykonywania niżej wskazanych zadań na terytorium swojej właściwości. Wobec faktu, że komentowana ustawa nie zawiera zbiorczego zestawienia kompetencji prezesa UODO, należy wskazać je w oparciu o przepisy RODO. Organ ten zatem:

a) monitoruje i egzekwuje stosowanie RODO względem wszystkich podmiotów podlegających jego jurysdykcji;

b) upowszechnia w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk. Szczególną uwagę poświęca działaniom skierowanym do dzieci;

c) doradza, zgodnie z prawem krajowym, parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawie aktów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem;

d) upowszechnia wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia;

e) udziela osobie, której dane dotyczą, na jej żądanie informacji o wykonywaniu praw przysługujących im na mocy niniejszego rozporządzenia, a w stosownym przypadku współpracuje w tym celu z organami nadzorczymi innych państw członkowskich;

f) rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym;

g) współpracuje z innymi organami nadzorczymi, w tym dzieli się informacjami oraz świadczy wzajemną pomoc, w celu zapewnienia spójnego stosowania i egzekwowania niniejszego rozporządzenia;

h) prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego;

i) monitoruje zmiany w stosownych dziedzinach, o ile zmiany te mają wpływ na ochronę danych osobowych, w szczególności monitoruje rozwój technologii informacyjno-komunikacyjnych i praktyk handlowych;

j) przyjmuje standardowe klauzule umowne, o których mowa w art. 28 ust. 8 i art. 46 ust. 2 lit. d RODO;

k) ustanawia i prowadzi wykaz związany z wymogiem dokonania oceny skutków dla ochrony danych na mocy art. 35 ust. 4 RODO;

l) udziela zaleceń, o których mowa w art. 36 ust. 2 RODO, dotyczących operacji przetwarzania;

m) zachęca do sporządzania kodeksów postępowania zgodnie z art. 40 ust. 1, wydaje opinie na ich temat oraz zatwierdza te kodeksy, w których znajdują się odpowiednie zabezpieczenia, na mocy art. 40 ust. 5 RODO;

n) zachęca do ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń z tej dziedziny zgodnie z art. 42 ust. 1 RODO, a także zatwierdza kryteria certyfikacji zgodnie z art. 42 ust. 5 RODO;

o) gdy ma to zastosowanie – zgodnie z art. 42 ust. 7 RODO dokonuje okresowego przeglądu udzielonych certyfikacji;

p) opracowuje i publikuje kryteria akredytacji podmiotu monitorującego kodeksy postępowania na mocy art. 41 RODO oraz podmiotu certyfikującego na mocy art. 43 RODO;

q) akredytuje podmiot monitorujący kodeksy postępowania na mocy art. 41 RODO oraz podmiot certyfikujący na mocy art. 43 RODO;

r) wydaje zezwolenia na klauzule umowne i przepisy, o których mowa w art. 46 ust. 3 RODO;

s) zatwierdza wiążące reguły korporacyjne na mocy art. 47 RODO;

t) bierze udział w pracach Europejskiej Rady Ochrony Danych;

u) prowadzi wewnętrzny rejestr naruszeń niniejszego rozporządzenia i działań podjętych zgodnie z art. 58 ust. 2 RODO oraz

v) wypełnia inne zadania związane z ochroną danych osobowych.

Jako ciekawostkę należy podać, że co prawda zasadą jest, iż wypełnianie przez krajowy organ nadzorczy jego zadań względem osoby, której dane dotyczą, oraz inspektora ochrony danych odbywa się bezpłatnie, jednakże RODO zezwala, aby w niektórych przypadkach pobierał on rozsądną opłatę. Może to mieć miejsce, jeżeli żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze względu na swą powtarzalność. Alternatywnie – organ może odmówić podjęcia żądanych działań. Rzecz jasna w takiej sytuacji spoczywa na nim obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne.

• Uprawnienia wobec podmiotów przetwarzających. W celu umożliwienia prezesowi UODO wykonywania wszystkich wyżej wskazanych kompetencji, RODO wyposaża krajowe organy nadzorcze w wiele bardzo istotnych uprawnień względem podmiotów przetwarzających dane osobowe na terenie ich właściwości. Podobnie jak w przypadku zadań krajowego organu nadzorczego, również jego uprawnienia nie zostały w sposób kompletny przedstawione w ustawie krajowej. Wynika to oczywiście z bezpośredniej mocy wiążącej RODO na terenie Unii Europejskiej. Istotne jest wszakże posiadanie wiedzy o uprawnieniach prezesa UODO, mogą one bowiem znaleźć zastosowanie również względem polskich przedsiębiorców. Do przedmiotowych uprawnień należą następujące:

1) w zakresie prowadzenia postępowań:

a) nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;

b) prowadzenie postępowań w formie audytów ochrony danych;

c) dokonywanie przeglądu udzielonych certyfikacji na mocy art. 42 ust. 7 RODO;

d) zawiadamianie administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia niniejszego rozporządzenia;

e) uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;

f) uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego;

2) w zakresie naprawczym:

a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;

b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;

c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;

d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

g) nakazanie na mocy art. 16, 17 i 18 RODO sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 RODO powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43 RODO, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;

i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy;

j) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej;

3) w zakresie wydawania zezwoleń oraz uprawnienia doradcze:

a) udzielanie porad administratorowi zgodnie z procedurą uprzednich konsultacji, o której mowa w art. 36 RODO;

b) wydawanie, z własnej inicjatywy lub na wniosek, opinii przeznaczonych dla parlamentu narodowego, rządu państwa członkowskiego lub – zgodnie z prawem państwa członkowskiego – innych instytucji i organów oraz ogółu społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych;

c) zezwalanie na przetwarzanie zgodnie z art. 36 ust. 5 RODO, jeżeli prawo państwa członkowskiego wymaga takiego uprzedniego zezwolenia;

d) opiniowanie i zatwierdzanie projektów kodeksów postępowania zgodnie z art. 40 ust. 5 RODO;

e) akredytowanie na mocy art. 43 RODO podmiotów certyfikujących;

f) udzielanie certyfikacji i zatwierdzanie kryteriów certyfikacji zgodnie z art. 42 ust. 5 RODO;

g) przyjmowanie standardowych klauzul ochrony danych, o których mowa w art. 28 ust. 8 i art. 46 ust. 2 lit. d RODO;

h) zezwalanie na klauzule umowne, o których mowa w art. 46 ust. 3 lit. a RODO;

i) zezwalanie na uzgodnienia administracyjne, o których mowa w art. 46 ust. 3 lit. b RODO;

j) zatwierdzanie wiążących reguł korporacyjnych na mocy art. 47 RODO.

• Inne uprawnienia. Jak wynika z treści ust. 2 komentowanego artykułu, wskazane wyżej zadania i uprawnienia prezesa UODO nie wyczerpują całości jego kompetencji. Jest on bowiem także organem nadzorczym w rozumieniu aktów prawnych, wskazanych w przepisach, do których ustęp ten odsyła.

Krajowy organ nadzorczy wykonuje zatem również zadania z zakresu monitorowania:

– dopuszczalności przekazywania, pobierania i wszelkiego rodzaju udostępniania przez dane państwo członkowskie danych osobowych do Europolu oraz sprawdzanie, czy takie przekazywanie, pobieranie lub udostępnianie danych nie powoduje naruszenia praw osób, których dane dotyczą;

– ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Co ciekawe, w tym drugim przypadku przepisy unijne dopuszczają ustanowienie odrębnego organu nadzorczego – decyzję o ustanowieniu jednego czy też dwóch krajowych organów nadzorczych w zakresie ochrony danych osobowych pozostawiono bowiem poszczególnym państwom członkowskim. Polski ustawodawca wybrał możliwość połączenia kompetencji wymienionych w przepisach przywołanych w art. 34 ust. 2 komentowanej ustawy z kompetencjami organu nadzorczego wynikającymi z RODO.

• Wybór i odwołanie. W kolejnych ustępach art. 34 ustawy ODO uregulowany został tryb wyboru oraz odwoływania prezesa UODO. RODO kwestiom tym poświęca aż dwa artykuły (art. 53–54), niemniej ogranicza się do ogólnego oraz wariantowego uregulowania procedur wyboru krajowych organów nadzorczych. Pozostawia zatem szczegółowe kwestie omawianej materii decyzji krajowego ustawodawcy, zastrzega jednakże, iż:

– krajowy organ nadzorczy będzie powoływany przez: parlament, rząd, głowę państwa albo niezależny organ uprawniony do powoływania członków organu nadzorczego na podstawie prawa danego państwa członkowskiego – w Polsce organem uprawnionym do powołania prezesa UODO, analogicznie jak to miało miejsce w odniesieniu do generalnego inspektora ochrony danych osobowych jest Sejm za zgodą Senatu;

– członek organu nadzorczego może zostać odwołany ze stanowiska tylko w przypadku, gdy dopuścił się poważnego uchybienia lub przestał spełniać warunki niezbędne do pełnienia obowiązków;

– kadencja krajowego organu nadzorczego nie może być krótsza niż cztery lata, niemniej poszczególne państwa członkowskie mogą postanowić o jej wydłużeniu – w Polsce zdecydowano się na określenie kadencji w minimalnym wymiarze wymaganym przez RODO. Na marginesie należy dodać, że również kadencja generalnego inspektora ochrony danych osobowych trwała cztery lata.

Art. 35–44. [Pominięte]

Ze względu na praktyczny wymiar niniejszego komentarza omawianie zasad wyboru, odwoływania oraz kwalifikacji niezbędnych do pełnienia funkcji prezesa UODO zostały pominięte.

Art. 45. [Urząd Ochrony Danych Osobowych]

1. Prezes Urzędu wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych, zwanego dalej „Urzędem”.

2. W przypadkach uzasadnionych charakterem i liczbą spraw z zakresu ochrony danych osobowych na danym terenie Prezes Urzędu może w ramach Urzędu tworzyć jednostki zamiejscowe Urzędu.

3. Prezes Urzędu, w drodze zarządzenia, nadaje statut Urzędowi, określając:

1) organizację wewnętrzną Urzędu,

2) zakres zadań swoich zastępców,

3) zakres zadań i tryb pracy komórek organizacyjnych Urzędu

– mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Urzędu.

komentarz

• Kompetencje urzędu. Komentowany artykuł wyraźnie odróżnia organ administracji publicznej, którym jest prezes UODO, od jego jednostki pomocniczej, czyli Urzędu Ochrony Danych Osobowych. Kompetencje, obowiązki i uprawnienia wskazywane w komentarzu do art. 34 niniejszej ustawy (nazywane łącznie władztwem administracyjnym) przysługują prezesowi UODO, nie zaś urzędowi. Wszelkie pisma, wystąpienia i skargi należy zatem kierować do prezesa UODO. Krajowy organ nadzoru może wszakże zlecić wykonywanie części swoich kompetencji pracownikom obsługującego go urzędu. Działać oni jednakże będą w granicach kompetencji organu administracji publicznej.
• Jednostki zamiejscowe. Komentowane przepisy pozwalają prezesowi UODO na tworzenie jednostek zamiejscowych urzędu. Nie jest to rozwiązanie nowe, gdyż możliwość taka istniała również pod rządami poprzednio obowiązującej ustawy. Nadmienić jedynie wypada, że w porównaniu do wcześniejszych przepisów prezes UODO uzyskał znacznie większą samodzielność w tym zakresie. Dotychczas bowiem to Prezydent RP po zasięgnięciu opinii generalnego inspektora ochrony danych osobowych nadawał w drodze rozporządzenia statut biuru (było one odpowiednikiem obecnego urzędu), określając jego organizację, zasady działania oraz siedziby jednostek zamiejscowych i zakres ich właściwości terytorialnej, mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji jego zadań. Obecna regulacja zmienia więc sposób określania organizacji wewnętrznej urzędu. Nie należy jej zatem poszukiwać w rozporządzeniu prezydenta RP, a w zarządzeniu wydanym przez samego Prezesa UODO.

Na marginesie należy wskazać, że jednym z elementów ww. zarządzenia może być określenie zakresu zadań zastępców prezesa UODO, którzy są powoływani przez organ nadzorczy samodzielnie. Ustawa ogranicza jedynie ich liczbę do trzech.

Art. 46. [Tajemnica służbowa]

1. Prezes Urzędu, zastępcy Prezesa Urzędu, a także pracownicy Urzędu są obowiązani zachować w tajemnicy informacje, o których dowiedzieli się w związku z wykonywaniem czynności służbowych.

2. Obowiązek zachowania w tajemnicy informacji, o których mowa w ust. 1, trwa także po zakończeniu kadencji albo zatrudnienia.

komentarz

• Obowiązek zachowania tajemnicy. Artykuł 46 powtarza obowiązek zachowania tajemnicy służbowej przez prezesa UODO oraz pracowników obsługującego go urzędu. Dotyczy on w szczególności wszelkich poufnych informacji, które ww. osoby uzyskały w toku wypełniania zadań lub wykonywania swoich uprawnień. Obowiązek zachowania tajemnicy służbowej w trakcie kadencji ma zastosowanie zwłaszcza w sytuacjach, w których osoby fizyczne zgłaszają naruszenia RODO bądź innych przepisów z zakresu ochrony danych osobowych.
• Znaczenie regulacji. Ten z pozoru prozaiczny obowiązek jest niezwykle istotny z punktu widzenia postępowań prowadzonych przez prezesa UODO. W ich trakcie bowiem dochodzi nie tylko do przekazania organowi nadzorczemu danych osobowych, niekiedy wrażliwych, ale także całych systemów wdrożenia bezpieczeństwa ich ochrony przez podmioty będące administratorami danych osobowych lub podmiotami przetwarzającymi. Ujawnienie tego typu informacji osobom postronnym mogłoby prowadzić do daleko idących negatywnych konsekwencji dla uczestników postępowania. To zaś mogłoby skutecznie zniechęcać osoby, których dane dotyczą, do składania skarg w związku z naruszeniem przepisów o ochronie danych osobowych.
• Czas obowiązywania tajemnicy. Ze względu na kadencyjność prezesa UODO (ta sama osoba może pełnić tę funkcję nie dłużej niż przez dwie kadencje), a także możliwość zmiany zatrudnienia przez pracowników UODO, konieczne było wprowadzenie przepisu zawartego w ust. 2, który nakłada na te osoby obowiązek zachowania tajemnicy także po zakończeniu kadencji albo zatrudnienia.

Art. 47–50. [Pominięte]

Art. 51. [Opiniowanie aktów prawnych przez Prezesa Urzędu]

Założenia i projekty aktów prawnych dotyczące danych osobowych są przedstawiane do zaopiniowania Prezesowi Urzędu.

komentarz

• Prawo opiniowania. Zgodnie z art. 57 ust. 1 lit. c RODO do zadań krajowego organu nadzorczego należy m.in. doradzanie, zgodnie z prawem państwa członkowskiego, parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawie aktów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem.

RODO przyznając krajowym organom nadzorczym kompetencje w omawianym zakresie, odsyła jednocześnie do ustawodawstw krajowych. Opiniowanie założeń i projektów aktów prawnych przez prezesa UODO odbywać się będzie zatem w oparciu o przepis art. 51 polskiej ustawy, nie zaś bezpośrednio w oparciu o RODO.

• Zakres uprawnienia. Odnotować należy, że prezes UODO uprawniony został do wydawania swoich opinii zarówno w odniesieniu do założeń projektu aktu prawnego, jak i do samego projektu aktu prawnego. W zależności bowiem od przyjętej ścieżki legislacyjnej projekt ustawy może być poprzedzony uprzednim sporządzeniem założeń, jak i opracowany bez nich. Opinia wydana przez prezesa UODO nie jest wiążąca dla podmiotu przeprowadzającego opiniowanie w ramach procedury legislacyjnej.

Art. 52. [Wystąpienia Prezesa UODO]

1. Prezes Urzędu może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.

2. Prezes Urzędu może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

3. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania.

komentarz

• Istota instytucji. Przepis ten nadaje prezesowi bardzo istotne uprawnienie. Wskazane w nim wystąpienia prezesa UODO mogą być kierowane nie tylko do innych organów administracji publicznej, ale również do podmiotów spoza tego sektora. Ustawodawca krajowy bardzo szeroko określił przy tym krąg adresatów omawianych wystąpień. Mogą być bowiem one kierowane do:

– osób fizycznych,

– osób prawnych,

– jednostek organizacyjnych niebędących osobami prawnymi,

– innych podmiotów.

Innymi słowy, krajowy organ nadzoru jest uprawniony do adresowania wystąpień do każdej osoby lub jednostki, co do której uzna, że jest to konieczne. Z drugiej wszakże strony ustawa nie precyzuje treści wystąpienia. Komentowany artykuł ogranicza się jedynie do lakonicznego zaznaczenia, iż musi ono zmierzać do zapewnienia skutecznej ochrony danych osobowych. Co z uwagi na kompetencję oraz cele ustanowienia organu nadzorczego jest pewnym truizmem. Bez wątpienia ich zakres będzie powiązany wprost z zadaniami i uprawnieniami prezesa UODO, o których mowa w art. 57–58 RODO, aktach prawa unijnego wskazanych w komentarzu do art. 34 niniejszej ustawy oraz w samej komentowanej ustawie.

• Znaczenie i rola wystąpień. Wystąpienia stanowią rodzaj soft law, czyli miękkich środków nacisku na adresata w celu zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa powszechnie obowiązującymi. W treści wystąpienia prezes UODO będzie mógł wskazywać na zasadność podjęcia określonych działań, wdrożenia dodatkowych środków ochrony bądź wszczęcia odpowiednich postępowań.
• Obowiązki podmiotu, do którego kierowane jest wystąpienie. Osoba bądź jednostka, która otrzyma wystąpienie prezesa UODO, zobowiązana będzie do ustosunkowania się do niego w ustawowym terminie 30 dni. Sam sposób reakcji na pismo wystosowane przez krajowy organ nadzoru pozostawiono decyzji adresata wystąpienia. Oznacza to zatem, że będzie on mógł w swojej odpowiedzi nie tylko polemizować z treścią wystąpienia, ale także wskazywać na argumenty i środki dowodowe mające na celu wykazanie, iż przetwarza on dane osobowe w sposób zgodny z wiążącymi go przepisami prawa oraz że żadne zmiany w tym zakresie nie są niezbędne.

Jedyne czym adresat wystąpienia jest związany, to:

– konieczność udzielenia odpowiedzi na wystąpienie, nawet jeżeli nie zgadza się z jego tezami i zaleceniami;

– termin wysłania odpowiedzi, który oznaczono na 30 dni od daty otrzymania wystąpienia.

• Uprawnienie występowania z wnioskami. Analogicznie do uprawnienia w zakresie kierowania wystąpień, prezesowi UODO przyznano możliwość występowania z wnioskiem w celu wydania lub zmiany aktów prawnych z zakresu ochrony danych osobowych. Wobec braku rozróżnienia przyjąć należy, że kompetencja ta odnosi się zarówno do aktów prawnych rangi ustawowej, jak również rozporządzeń wykonawczych. Nie muszą to być przy tym jedynie takie akty prawne, które regulują wyłącznie materię ochrony danych osobowych. Muszą one jedynie obejmować sprawy dotyczące ochrony danych osobowych.

Jest to o tyle ważne, że przepisy o ochronie danych osobowych znaleźć można w wielu ustawach – zarówno rangi kodeksowej (np. kodeks pracy) – jak i w ustawodawstwie branżowym (np. prawo oświatowe), a nawet w ustawach dotyczących samorządu terytorialnego. Wystarczy wskazać, że sama komentowana ustawa wprowadza zmiany aż do 48 ustaw. Nadal natomiast nie została uchwalona ustawa zawierająca przepisy wprowadzające ustawę o ochronie danych osobowych. Ten ostatni akt prawny może natomiast znowelizować kilkadziesiąt kolejnych ustaw o charakterze jeszcze bardziej szczegółowym.

Ta z pozoru mało istotna kompetencja prezesa UODO może mieć zatem wpływ na brzmienie kilkuset aktów prawnych regulujących przeróżne zagadnienia niemal ze wszystkich dziedzin. Rzecz jasna nadrzędnym celem tego typu wniosków jest poprawa poziomu bezpieczeństwa i ochrony danych osobowych.

wzór

Odpowiedź na wystąpienie

Warszawa, 1 grudnia 2018 r.

Prezes

Urzędu Ochrony Danych Osobowych

Adresat wystąpienia:

ABC spółka z o.o. z siedzibą w Łodzi

znak: UOD-W/100/2018/MK

ODPOWIEDŹ NA WYSTĄPIENIE PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH Z 8 LISTOPADA 2018 R.

Działając w imieniu ABC spółka z o.o. w Łodzi, jako prezes jej jednoosobowego zarządu, na podstawie art. 52 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych, w odpowiedzi na wystąpienie prezesa Urzędu Ochrony Danych Osobowych [Prezes UODO] skierowane do spółki, wskazuję, co następuje.

W swoim wystąpieniu prezes UODO zwrócił się do spółki o potwierdzenie, że zastosowane przez nią środki techniczne i organizacyjne są dostateczne z uwagi na zidentyfikowane przez spółkę ryzyko dla bezpieczeństwa ochrony danych osobowych. Rodzaj prowadzonej przez spółkę działalności oraz przetwarzanie danych osobowych nie tylko na dużą skalę, ale również w środowisku aplikacji internetowych wymaga podejmowania szczególnych środków bezpieczeństwa i ochrony tychże danych osobowych.

Wskazuję, że spółka – z uwagi na przetwarzanie danych osobowych na dużą skalę – przeprowadziła ocenę skutków regulacji. Nadmienić należy, że względem spółki nie wystąpiły przesłanki obligujące ją do przeprowadzenia takiej oceny, o których mowa w przepisie art. 35 ust. 3 RODO. W wyniku jej przeprowadzenia zidentyfikowano ryzyko związane z przetwarzaniem danych osobowych, a także określono i wdrożono liczne środki techniczne, organizacyjne, prawne i fizyczne mające je maksymalnie ograniczać. Pełna ich lista stanowi załącznik nr 1 do niniejszego pisma.

Ich skuteczność potwierdzać może fakt, że dotychczas spółka nie odnotowała żadnego incydentu naruszenia danych osobowych, a także nie wpłynęły do niej jakiekolwiek żądania osób, których dane osobowe są przetwarzane.

Chociaż w ocenie spółki nie było to konieczne, wychodząc naprzeciw oczekiwaniom prezesa UODO, spółka wdrożyła dodatkowe środki bezpieczeństwa, ich lista stanowi załącznik nr 2 do odpowiedzi na wystąpienie. Liczę, że usunie to ewentualne wątpliwości prezesa UODO w zakresie zapewnienia przez spółkę właściwego poziomu ochrony danych osobowych.

Z uwagi na to, że wystąpienie spółka odebrała 15 listopada 2018 roku, termin na udzielenie odpowiedzi – o którym mowa w art. 52 ust. 3 ustawy – został zachowany.

Jan Kowalski

Prezes Zarządu ABC sp. z o.o.

Załączniki:

1. Lista środków bezpieczeństwa stosowanych przez spółkę,

2. Lista dodatkowych środków bezpieczeństwa wprowadzonych przez spółkę.

• Termin na udzielenie odpowiedzi na wniosek. Organ posiadający inicjatywę ustawodawczą (np. Prezydent RP, Rada Ministrów) bądź prawodawczą (np. właściwy minister w zakresie działów administracji rządowej mu podległych) nie jest wszakże zobligowany do wszczęcia procesu legislacyjnego. Podobnie jak w przypadku wystąpień zobowiązany został jedynie do udzielenia prezesowi UODO odpowiedzi w terminie 30 dni od daty otrzymania wniosku.
• Waga wniosków. Na zakończenie zwrócić należy uwagę na jeszcze dwie kwestie związane z wystąpieniami kierowanymi przez prezesa UODO do wybranych przez niego osób i jednostek. Mianowicie ustawodawca zobligował ich adresatów jedynie do udzielenia odpowiedzi w terminie 30 dni. Jeżeli zatem dana jednostka, zgadzając się ze stanowiskiem organu nadzoru, zamierza wdrożyć dodatkowe środki, to o ile konieczność ich natychmiastowego zastosowania nie wymaga z okoliczności danej sprawy, o tyle w odpowiedzi na wystąpienie jego adresat może wskazać późniejszy termin ich wprowadzenia. Wspomniana konieczność natychmiastowego zastosowania się do wytycznych może np. zaistnieć, gdy jego adresat wniosku po przeprowadzeniu stosownej analizy dojdzie do wniosku, że obecnie istniejący stan rzeczy może rodzić wysokie ryzyko naruszenia praw i wolności osób fizycznych.
• Konsekwencje niezastosowania się. W zależności od treści wytycznych oraz zawartych w nich zaleceń niezastosowanie się do nich może mieć negatywne konsekwencje w przyszłości. Prezes UODO uprawniony jest bowiem do przeprowadzania kontroli u administratorów danych osobowych oraz podmiotów przetwarzających.

Nie można wykluczyć, że stanowisko adresata wystąpienia, zawarte w odpowiedzi kierowanej do prezesa UODO, w szczególności zaś zawarty w nim opis niezgodnego z prawem przetwarzania danych osobowych, mógłby skutkować wszczęciem kontroli u podmiotu, do którego uprzednio skierowane było wystąpienie.

Przesyłanie danych osobowych poza Unię Europejską

Przekazywane danych osobowych do państw trzecich lub organizacji międzynarodowych jest możliwe w przypadku zaistnienia co najmniej jednej ze wskazanych niżej sytuacji:

1. Gdy następuje na podstawie decyzji stwierdzającej odpowiedni stopień ochrony wydanej przez Komisję Europejską – organ ten uprawniony jest do stwierdzenia, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Komisja Europejska uprawniona jest także do zawierania z państwami trzecimi porozumień w przedmiocie zapewnienia odpowiedniego poziomu ochrony danych osobowych objętych ROD,O na terytorium danego państwa trzeciego;

2. Z zastrzeżeniem stosowania odpowiednich zabezpieczeń, do których zalicza się m.in.:

a) stosowanie przez podmioty wiążących reguł korporacyjnych,

b) wprowadzenie do umowy z podmiotem z państwa trzeciego klauzul umownych zatwierdzonych przez Komisję Europejską,

c) stosowanie przez podmiot z państwa trzeciego zatwierdzonego kodeksu postępowania,

d) uzyskanie przez podmiot z państwa trzeciego certyfikatu.

3. W szczególnych sytuacjach wskazanych przez RODO, do których rozporządzenie zalicza przypadki, gdy:

a) osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, wyraźnie wyraziła na nie zgodę;

b) przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;

c) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;

d) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;

e) przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

f) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub

g) przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes.

4. Jeżeli nie występuje żaden ze wskazanych szczególnych przypadków, przekazanie danych osobowych jest możliwe, gdy łącznie spełnione są następujące warunki:

– przekazanie nie jest powtarzalne,

– dotyczy tylko ograniczonej liczby osób, których dane dotyczą,

– jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora,

– administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. Ocena ta wymaga udokumentowania,

– administrator poinformuje organ nadzorczy o przekazaniu.

Niezwykle istotne jest, że jedynie pierwsza z sytuacji ma znaczenie ogólne, tj. odnosi się do podmiotów z określonego terytorium bądź sektora. Wszystkie pozostałe przypadku dotyczą konkretnych podmiotów z państw trzecich. Jeżeli zatem firma z siedzibą w Polsce zamierzałaby przekazać dane osobowe objęte zakresem podmiotowym RODO swojemu kontrahentowi np. z Azji, to będzie musiała być w stanie wykazać, że względem tego konkretnego podmiotu ziścił się jeden z warunków wskazanych w punktach 2–4. Wyjątek stanowić będzie sytuacja, gdy przekazywanie danych osobowych możliwe będzie w oparciu o działania Komisji Europejskiej, o których mowa w punkcie 1. ©℗

Art. 53. [Dokumenty publikowane przez Prezesa UODO]

1. Prezes Urzędu udostępnia na swojej stronie podmiotowej w Biuletynie Informacji Publicznej:

1) standardowe klauzule umowne, o których mowa w art. 28 ust. 8 rozporządzenia 2016/679;

2) zatwierdzone kodeksy postępowania, o których mowa w art. 40 rozporządzenia 2016/679, a także zmiany tych kodeksów;

3) przyjęte standardowe klauzule ochrony danych, o których mowa w art. 46 ust. 2 lit. d rozporządzenia 2016/679;

4) rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

2. Rekomendacje, o których mowa w ust. 1 pkt 4, sporządzane są z uwzględnieniem specyfiki danego rodzaju działalności i podlegają okresowej aktualizacji.

3. Projekt rekomendacji, o których mowa w ust. 1 pkt 4, Prezes Urzędu konsultuje z zainteresowanymi podmiotami, których zakresu działania dotyczy dany projekt.

komentarz

• Publikacja w BIP. Przepisy komentowanego artykułu stanowią zbiorczą podstawę prawną do publikowania przez prezesa UODO na właściwej dla niego stronie internetowej BIP dokumentów i informacji związanych z wykonywaniem przez niego niektórych zadań przypisanych krajowym organom nadzorczym. W tym kontekście polska ustawa wskazuje na cztery z nich, którymi są:

– standardowe klauzule umowne zalecane do stosowania w umowach powierzenia danych osobowych do przetwarzania zawieranych pomiędzy administratorem danych osobowych oraz podmiotem przetwarzającym, a także w umowach dalszego powierzenia, które zawierane są między podmiotem przetwarzającym a innym podmiotem przetwarzającym (dalszym przetwarzającym). Podstawowe wytyczne w odniesieniu do wymaganej treści tego typu umów zostały zawarte w przepisach art. 28 ust. 3 i 4 RODO;

– zatwierdzone kodeksy postępowania, o których była mowa w komentarzu do art. 27 niniejszej ustawy;

– standardowe klauzule ochronne, o których mowa w ust. 1 lit. c) komentowanego artykułu, są wzorcami postanowień umownych, jakie mogą być implementowane do umów zawieranych z podmiotem mającym siedzibę poza Unią Europejską bądź z inną organizacją międzynarodową, stanowiąc odpowiednie zabezpieczenie w rozumieniu art. 46 ust. 1 RODO. W tym miejscu wyjaśnić należy, że przekazywanie danych osobowych poza Unię Europejską możliwe jest tylko w ściśle określonych przypadkach oraz po spełnieniu stosownych warunków. Jedną z takich sytuacji jest właśnie wykazanie istnienia odpowiednich zabezpieczeń. Administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Odpowiednie zabezpieczenia można natomiast zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą m.in. standardowych klauzul ochronnych wprowadzanych do umów z takimi podmiotami;

– rekomendacje pozwalające wypełnić ciążące na administratorach danych osobowych oraz podmiotach przetwarzających obowiązki z zakresu bezpieczeństwa danych osobowych, w szczególności wskazanych w przepisach art. 32 RODO. Jak wynika z dalszych ustępów komentowanego artykułu, rekomendacje te mogą mieć charakter branżowy – mają być dostosowane do specyfiki danego rodzaju działalności, a także mają podlegać okresowym aktualizacjom. Nadto przy ich tworzeniu prezes UODO powinien przeprowadzić konsultacje z danym środowiskiem. Przyjąć należy, że powinny w nich uczestniczyć co najmniej samorządy zawodowe bądź inne dobrowolne zrzeszenia podmiotów prowadzonych działalność w danej branży.

Art. 54. [Komunikaty ogłaszane przez Prezesa UODO]

1. Prezes Urzędu:

1) ogłasza w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, o którym mowa w art. 35 ust. 4 rozporządzenia 2016/679;

2) może ogłosić w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych niewymagających oceny skutków przetwarzania dla ich ochrony, o którym mowa w art. 35 ust. 5 rozporządzenia 2016/679.

2. Komunikaty, o których mowa w ust. 1, ogłasza się w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.

komentarz

• Analiza ryzyka. Każdy z administratorów danych osobowych jest zobowiązany do uwzględnienia ochrony danych osobowych w fazie projektowania oraz do wprowadzenia domyślnego poziomu ich ochrony (zob. art. 25 RODO). Środki te mają za zadanie zapewniać odpowiedni stopień bezpieczeństwa danych osobowych zarówno przy określaniu sposobów przetwarzania (tj. w fazie projektowania), jak i w czasie samego przetwarzania. Wynika to z faktu, że RODO nie wskazuje konkretnych środków bezpieczeństwa, do których stosowania zobligowani są administratorzy danych osobowych oraz podmioty przetwarzające. Ich dobór jest zatem sprawą indywidualną każdego z tychże podmiotów. Przy ocenie ryzyka podmioty te powinny kierować się następującymi przesłankami: stanem wiedzy technicznej, kosztem wdrażania oraz charakterem, zakresem, kontekstem i celem przetwarzania oraz ryzykiem naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającego z przetwarzania.

RODO bazuje zatem na tzw. zasadzie podejścia opartego na ryzyku (risk based approach). Jest to kilkuetapowe postępowanie mające na celu z jednej strony zidentyfikowanie możliwych do wystąpienia ryzyk w procesie przetwarzania danych osobowych, prawdopodobieństwa ich zaistnienia, potencjalnych skutków ich wystąpienia dla osób, których dane są przetwarzane, a także określenie środków eliminujących bądź minimalizujących owe ryzyka. Szczegółowy opis zasady podejścia opartego na ryzyku, a także sposobu jej stosowania odnaleźć można w dwuczęściowym bezpłatnym poradniku opracowanym przez generalnego inspektora ochrony danych osobowych, który jest dostępny w serwisie internetowym prezesa UODO pod następującymi nazwami:

– „Poradnik RODO Podejście oparte na ryzyku Część 1. Jak rozumieć podejście oparte na ryzyku?”

– „Poradnik RODO Podejście oparte na ryzyku Część 2. Jak stosować podejście oparte na ryzyku?”

• Ocena skutków przetwarzania danych osobowych. W niektórych przypadkach dokonanie analizy ryzyka będzie niewystarczające. Mianowicie, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania jest zobligowany do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ocena ta stanowi bardziej rozbudowaną i złożoną formę analizy ryzyka oraz wdrożenia odpowiednich środków bezpieczeństwa.
• Powstanie obowiązku konsultacji. Niezwykle istotne jest przy tym, że jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego zminimalizowania, to przed rozpoczęciem przetwarzania administrator ma obowiązek przeprowadzenia konsultacji z prezesem UODO. Ich przedmiotem jest z jednej strony weryfikacja prawidłowości określonego przez administratora danych osobowych ryzyka, z drugiej natomiast adekwatności do tegoż ryzyka proponowanych przezeń środków bezpieczeństwa. Krajowy organ nadzorczy może – jeżeli uzna to za konieczne – wydawać administratorowi danych osobowych stosowne zalecenia albo skorzystać względem niego z innych swoich uprawnień, o których była mowa w komentarzu do art. 34 niniejszej ustawy.
• Sytuacje, kiedy konieczna jest ocena. RODO nie wskazuje pełnego wykazu sytuacji, w których przeprowadzenie oceny skutków przetwarzania jest konieczne. W rozporządzeniu zawarto jedynie wyliczenie przykładowe. Zgodnie z nim ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku:

– systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

– przetwarzania na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa lub

– systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

W celu dostosowania tegoż wykazu do uwarunkowań poszczególnych państw członkowskich RODO wyposażyło krajowe organy nadzorcze w kompetencje do ustanawia i podawania do publicznej wiadomości wykazów rodzajów operacji przetwarzania:

– podlegających wymogowi dokonania oceny skutków dla ochrony danych,

– niepodlegających wymogowi dokonania oceny skutków dla ochrony danych.

W przypadku ich opublikowania organ nadzorczy przekazuje owe wykazy do wiadomości Europejskiej Rady Ochrony Danych. Komentowany artykuł doprecyzowuje te kompetencje prezesa UODO na gruncie prawa krajowego, a także wskazuje miejsce publikacji wykazów.

W tym miejscu wskazać należy, że na dzień zamknięcia niniejszej publikacji na stronie internetowej prezesa UODO opublikowana została propozycja wykazu rodzajów operacji podlegających wymogowi dokonania oceny skutków dla ochrony danych. Zgodnie z zamieszczonym na tejże stronie komunikatem został on przekazany do zaopiniowania Europejskiej Radzie Ochrony Danych w trybie art. 64 ust. 1 lit. a RODO. Po ich zaopiniowaniu obowiązujący wykaz prezes UODO opublikuje w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”, a także zapewne na swojej stronie internetowej. Obecny projekt nie ma zatem mocy wiążącej, stanowi jednak istotne źródło wiedzy na temat stanowiska krajowego organu nadzorczego w zakresie kręgu podmiotów, które powinny zostać objęte obowiązkiem przeprowadzenia oceny skutków przetwarzania dla ochrony danych osobowych.

Należy również wskazać na wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie może powodować wysokie ryzyko do celów rozporządzenia 2016/679, oznaczone numerem: 17/PLWP 248 rev.01. Dostępne są one zarówno na stronie internetowej prezesa UODO, jak i Komisji Europejskiej. Wytyczne są również w języku polskim.

Co to jest faza projektowania

Z fazą projektowania będziemy mieli do czynienia np. wtedy, gdy przedsiębiorca zamierza wprowadzić na rynek nowe narzędzie (np. aplikację na smartfony) za pomocą którego przetwarzane będą dane osobowe. W takim przypadku powinien on jeszcze przed wprowadzeniem aplikacji dokonać analizy ryzyka dla ochrony danych osobowych oraz powziąć środki bezpieczeństwa (np. odpowiednie zabezpieczenie aplikacji, serwerów, itp.) mające na celu minimalizację zidentyfikowanego ryzyka. ©℗

W jakich przypadkach wymagane jest przeprowadzenie oceny skutków dla ochrony danych

• Profilowanie użytkowników portali społecznościowych i innych aplikacji w celach wysyłania niezamówionej informacji handlowej (spamu).

• Używanie systemów profilowania klientów pod kątem zidentyfikowania preferencji zakupowych, automatyczne ustalanie cen promocyjnych w oparciu o profil.

• Korzystanie z systemów monitorowania czasu pracy oraz wykorzystywanie przez nie narzędzi (poczty elektronicznej, internetu).

• Portale i inne systemy informatyczne oferowane osobom fizycznym do przetwarzania informacji obejmujących działania o charakterze czysto osobistym lub domowym (jak np. usługi przetwarzania w chmurze do zarządzania dokumentami osobistymi, usługi poczty elektronicznej, kalendarze, e-czytniki wyposażone w funkcje robienia notatek oraz różne aplikacje typu „life-logging”, które mogą zawierać informacje o bardzo osobistym charakterze), których ujawnienie lub przetwarzanie do celów innych niż czynności o charakterze domowym może być uznane za bardzo ingerujące w prywatność. ©℗

Art. 55. [System teleinformatyczny przeznaczony do zgłaszania naruszeń]

Prezes Urzędu może prowadzić system teleinformatyczny umożliwiający administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 rozporządzenia 2016/679.

komentarz

• Obowiązek zawiadamiania o naruszeniach. RODO przenosi na administratorów danych osobowych ciężar doboru właściwych metod i środków zapewnienia odpowiedniego poziomu bezpieczeństwa ochrony danych osobowych, a przy tym jednocześnie wprowadza mechanizmy ochronne, które mają zabezpieczać osoby, których dane dotyczą, przed sytuacjami zagrożenia ich danych.

Jednym z nich jest obowiązek zawiadamiania o naruszeniach ochrony danych osobowych (czyli o tzw. incydentach). Obowiązek ten ma dwie postacie. Po pierwsze, konieczne jest zgłoszenie wykrytego naruszenia krajowemu organowi nadzorczemu. Po drugie, przepisy nakazują dodatkowo zawiadamianie o naruszeniu osoby, której dane dotyczą.

Komentowany przepis, ustalający sposób zawiadamiania, o naruszeniach, odnosi się w tym zakresie jedynie do obowiązku wobec prezesa UODO, pozostawiając administratorowi danych osobowych dobór sposobu poinformowania osoby, której dane dotyczą. Administrator jest przy tym związany granicami wskazanymi w przepisach art. 34 RODO (zob. niżej).

• Podmiot zobowiązany. Wyjaśnić należy, kto i w jakich sytuacjach ma obowiązek dokonania zgłoszenia incydentu. Z komentowanego artykułu wynika, że odnosi się on jedynie do administratorów danych osobowych, pomijając przy tym podmioty przetwarzające. Jest to zabieg celowy. Podmioty przetwarzające bowiem po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłaszają je wyłącznie administratorowi danych osobowych. Co ważne, dotyczy to każdego z naruszeń, niezależnie od jego stopnia oraz konsekwencji dla osób, których dane dotyczą.
• Ocena konieczności zgłoszenia incydentu. Konieczność zgłoszenia incydentu prezesowi UODO nie powstanie, jeżeli jest mało prawdopodobne, by stwierdzone naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Ocenę tej przesłanki przeprowadza samodzielnie administrator danych osobowych.

Jeżeli uzna, że wyjątek ten zachodzi w danej sytuacji, to poprzestaje na wpisaniu incydentu do prowadzonego rejestru naruszeń.

• Wymogi wobec ewidencji naruszeń. Ewidencja taka powinna zawierać:

– opis okoliczności naruszenia ochrony danych osobowych,

– skutki naruszenia, w tym w szczególności dla osoby, której dane dotyczą,

– podjęte przez administratora danych osobowych działania zaradcze.

Zamieszczone w rejestrze naruszeń informacje muszą być na tyle szczegółowe, aby pozwalały na wykazanie przez podmiot prowadzący ów rejestr przestrzegania zasad zgłaszania incydentów. W przedmiotowej ewidencji należy wpisywać wszelkie naruszenia ochrony danych osobowych, niezależnie od dalszych kroków podjętych względem nich przez administratora danych osobowych.

• Znaczenie ewidencji. W czasie kontroli prowadzonej przez prezesa UODO będzie on bowiem uprawniony do weryfikacji sposobu postępowania przez kontrolowanego w omawianym zakresie. Jeżeli kontrolowany nie zgłosił uprzednio pewnych incydentów prezesowi UODO, zobowiązany będzie do wykazania, że zasadne było uznanie, iż było mało prawdopodobne, by naruszenia te skutkowały ryzykiem naruszenia praw lub wolności osób fizycznych. Jedną z metod wykazywania takich okoliczności będą wpisy w rejestrze naruszeń.
• Procedura postępowania przy naruszeniach. Aby ograniczyć ryzyko błędnego postępowania w przypadku wykrycia incydentu, możliwe jest ustanowienie przez administratora danych osobowych specjalnej procedury, opisującej sposób zachowania jego pracowników w przypadku uzyskania informacji o naruszeniu ochrony danych osobowych. Wprowadza się również raporty z naruszeń zawierające bardzo szczegółowe informacje o danym naruszeniu. Ich treść wykorzystywana jest następnie do uzupełnienia rejestru naruszeń oraz zgłoszenia naruszenia prezesowi UODO. Przykładowy raport z incydentu naruszenia ochrony danych osobowych może zawierać następujące elementy:

– szczegółowy opis miejsca i daty zaistnienia incydentu zawierający: datę, godzinę, wskazanie pomieszczenia, budynku lub innej przestrzeni, w której do niego doszło, bądź systemu informatycznego lub aplikacji komputerowej;

– dane osoby informującej o incydencie;

– rodzaj naruszenia, np. nieuprawniony dostęp do systemu lub danych, kradzież danych osobowych, zniszczenie danych osobowych, nieautoryzowana modyfikacja danych osobowych, nieuprawnione udostępnienie danych osobowych, uszkodzenie nośników na których dane osobowe zostały zapisane, wykrycie złośliwego oprogramowania na komputerze, atak z sieci internet itp.

– szczegółowy opis naruszenia zawierający (w miarę posiadanych informacji): opis jego przebiegu, wskazanie zgromadzonych dowodów;

– dane osób mających wiedzę o incydencie;

– opis skutków incydentu dla administratora danych osobowych, w tym dla struktury jego zbiorów danych osobowych, infrastruktury informatycznej, nośników danych itp.;

– opis skutków naruszenia dla osoby, której dane dotyczą, w szczególności określenie stopnia zagrożenia jej praw i wolności;

– opis działań zaradczych, jakie należy niezwłocznie podjąć.

Bazując na treści przepisów art. 33 oraz art. 34 RODO, wyróżnić można następujące stopnie zagrożenia praw i wolności osób, których dane dotyczą:

– stopień niski, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;

– stopień średni, gdy incydent może powodować ryzyko naruszania praw lub wolności osób fizycznych;

– stopień wysoki, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Sposób określania stopnia naruszenia może zostać uregulowany we wspomnianej procedurze postępowania wprowadzonej przez administratora danych osobowych. Celowe jest przy tym bazowanie na opisywanej już wcześniej zasadzie podejścia opartego na ryzyku (risk based approach). Sposób jej stosowania został opisany w dokumentach przywołanych w komentarzu do art. 54 niniejszej ustawy.

Procedurę postępowania w przypadku wykrycia naruszeń, wraz z podziałem na ich rodzaj, przedstawiamy w tabeli. [tabela]

Tabela. Procedury postępowania w przypadku wykrycia naruszeń ©℗

Stopień naruszenia
niski	średni	wysoki
Obowiązki administratora danych osobowych	Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
Brak dodatkowych obowiązków	Zgłoszenie naruszenia prezesowi UODO	Zgłoszenie incydentu prezesowi UODO oraz osobie, której dane dotyczą, poza wyjątkami wskazanymi pod tabelą
Obowiązki podmiotu przetwarzającego	Każdorazowe zgłoszenie incydentu administratorowi danych osobowych

• Obowiązek zawiadamiania. Zawiadomienie osoby, której dane dotyczą, nie jest wymagane w następujących przypadkach:

– administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

– administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

– wdrożenie środków eliminujących te ryzyka wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

wzór 1

Rejestr naruszeń ©℗

Data i miejsce naruszenia	Osoba zgłaszająca	Opis okoliczności naruszenia	Klasyfikacja naruszenia	Skutki naruszenia	Zgłoszenie naruszenia	Zawiadomienie o naruszeniu	Podjęte działania
01.08.2018	Jan Nowak	Podczas skanowania komputera wykryto na nim złośliwe oprogramowanie	Niskie	Nie stwierdzono, na komputerze znajdowały się dane osobowe zanonimizowane	Nie	Nie	Kontrola wszystkich komputerów i nośników danych w biurze
05.08.2018	Adam Kowalski	Wykryto atak na sieć komputerową firmy	Wysokie	Możliwy wyciek danych osobowych zawierających szczegółowe informacje o klientach	Tak	Tak	Weryfikacja istniejących oraz wprowadzenie dodatkowych zabezpieczeń informatycznych

• Termin zgłoszenia naruszenia. Niezwykle istotny jest termin zgłoszenia incydentu prezesowi UODO, o czym komentowany artykuł nie wspomina, wprost odsyłając do przepisów RODO. Zgodnie z przepisami ww. rozporządzenia administrator danych osobowych powinien dokonać zgłoszenia w terminie 72 godzin od stwierdzenia naruszenia. Jeżeli termin ten zostanie uchybiony, do zgłoszenia należy dołączyć dodatkowo wyjaśnienie przyczyn opóźnienia. Jeżeli natomiast w tym samym terminie nie da się udzielić pełnych informacji, administrator danych osobowych możne je przesyłać prezesowi UODO sukcesywnie bez zbędnej zwłok.
• Elektroniczne zgłaszanie naruszeń. Komentowany artykuł daje krajowemu organowi nadzorczemu możliwość wprowadzenia systemu elektronicznego zgłaszania naruszeń. Prezes UODO z możliwości takiej skorzystał. Jak wynika z informacji zamieszczonej w witrynie organu nadzoru:

– zgłoszenia naruszenia dokonuje się elektronicznie za pomocą odpowiedniego formularza dostępnego na stronie internetowej prezesa UODO, które po wypełnieniu należy załączyć do pisma ogólnego dostępnego na platformie biznes.gov.pl

– bądź formularz ten należy wysłać przez ePUAP na adres elektronicznej skrzynki podawczej: /GIODO/SkrytkaESP; możliwe jest również wysłanie formularza w postaci załącznika na adres elektronicznej skrzynki podawczej:/GIODO/SkrytkaESP.

Art. 56. [Kompetencje Prezesa UODO względem wiążących reguł korporacyjnych]

Prezes Urzędu, w drodze decyzji:

1) zatwierdza wiążące reguły korporacyjne, o których mowa w art. 47 rozporządzenia 2016/679;

2) udziela zezwolenia, o którym mowa w art. 46 ust. 3 rozporządzenia 2016/679.

komentarz

• Wiążące reguły korporacyjne. Przepisy komentowanego artykułu odwołują się do kolejnych kompetencji krajowego organu nadzorczego, wynikających wprost z RODO. Pierwsza z nich odnosi się do wiążących reguł korporacyjnych. Rozporządzenie definiuje je jako polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą. Innymi słowy, dotyczy to przypadków, gdy w skład grupy – niekoniecznie kapitałowej – wchodzą przedsiębiorcy lub przedsiębiorstwa, z których co najmniej jedno usytuowane jest na terenie Unii Europejskiej oraz co najmniej jedno poza tym obszarem.

Celem wiążących reguł korporacyjnych jest z jednej strony zapewnienie bezpieczeństwa ochrony danych osobowych na poziomie wymaganym przez RODO, z drugiej zaś ułatwienie przekazywania danych osobowych do państw trzecich w ramach dużych struktur gospodarczych. Dla przypomnienia: odpowiednie zabezpieczenia umożliwiające przesyłanie danych osobowych poza obszar Unii Europejskiej bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego można zapewnić m.in. za pomocą wiążących reguł korporacyjnych.

• Wymogi wobec reguł. Aby wiążące reguły korporacyjne mogły zostać zatwierdzone przez krajowy organ nadzorczy, muszą spełniać wiele warunków, wśród których należy wskazać na następujące kryteria:

– są one prawnie wiążące oraz mają zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane;

– wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych;

– w ich treści określone są co najmniej elementy wskazane w przepisach art. 47 ust. 2 RODO (m.in. prawa osób, których dane dotyczą, zadania inspektora ochrony danych, procedury dotyczące skarg czy też mechanizmy współpracy z organem nadzorczym).

• Zatwierdzenie. Chociaż nie wynika to z treści komentowanego artykułu, to w myśl art. 47 ust. 1 RODO zatwierdzenie wiążących reguł korporacyjnych następuje zgodnie z mechanizmem spójności przewidzianym w rozporządzeniu. Mechanizm ten polega na tym, że krajowy organ nadzorczy przed wydaniem swojej decyzji zobligowany jest do uzyskania w danej sprawie opinii Europejskiej Rady Ochrony Danych. W tym celu prezes UODO wysyłać będzie wskazanemu organowi projekt swojej decyzji. Europejska Rada Ochrony Danych będzie zaś miała osiem tygodni na wydanie opinii. W sprawach skomplikowanych okres ten będzie mógł zostać wydłużony o kolejne sześć tygodni. Dopiero po otrzymaniu wskazanej opinii prezes UODO wydawać będzie swoją decyzję w przedmiocie zatwierdzenia wiążących reguł korporacyjnych. Wyjątek stanowi sytuacja, gdy Europejska Rada Ochrony Danych nie dotrzyma terminu na wydanie opinii. W tym przypadku prezes UODO będzie mógł wydać decyzję, nie czekając na opinię organu unijnego.

Co ważne, opinia wydana przez Europejską Radę Ochrony Danych nie jest wprost wiążąca dla krajowych organów nadzorczych. Przy czym powinny one w jak największym stopniu uwzględniać wydaną opinię. Niemniej jednak krajowy organ nadzorczy może się do niej nie zastosować. W takim przypadku ma obowiązek poinformować przewodniczącego Europejskiej Rady Ochrony Danych, że nie zamierza się zastosować do całości lub części opinii, podając odpowiednie uzasadnienie. Wszczyna to procedurę wydania przez ten organ wiążącej decyzji, do której zastosowania krajowy organ nadzorczy będzie zobligowany.

• Przekazywanie danych do państw trzecich. Drugą z prerogatyw prezesa UODO, o której mowa w niniejszym artykule, jest udzielanie zezwoleń na przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej. Zezwolenie takie może zostać wydane w szczególności, gdy podmiot ubiegający się o nie wykaże stosowanie odpowiednich zabezpieczeń w postaci:

– klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej lub

– postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

• Zasady wydawania zezwoleń na przekazywanie danych do państw trzecich. Prezes UODO chcąc wydać zezwolenie, zobowiązany jest do zastosowania – przywoływanego we wcześniejszej części komentarza do art. 56 ustawy – mechanizmu spójności. Ma to zapewnić stosowanie tożsamych zasad wydawania przedmiotowych zezwoleń przez wszystkie krajowe organy nadzorcze.

Ze względu na to, że RODO wymienia jedynie przykładowe sposoby wykazania istnienia odpowiednich zabezpieczeń, wnioskodawca może odwoływać się również do innych procedur, wdrożonych przez niego w celu zapewnienia właściwego poziomu bezpieczeństwa danych osobowych przekazywanych do państwa trzeciego lub organizacji międzynarodowej. Istotne jest przy tym, aby owe inne mechanizmy stosowane przez wnioskodawcę we współpracy z podmiotem spoza Unii Europejskiej gwarantowały przestrzeganie zasad ochrony danych osobowych na poziomie nie niższym, niż czyni to RODO. Może to być osiągnięte np. w drodze gwarancji przestrzegania oraz wdrożenia tychże zasad wydanych przez podmiot trzeci w postaci jednostronnego oświadczenia, którego naruszenie zostało powiązane z odpowiedzialnością odszkodowawczą, karami umownymi lub innymi sankcjami dla tego podmiotu. Wzmocnione może to być poprzez nałożenie obowiązku powołania inspektora ochrony danych lub też poddawania się okresowym audytom zgodności z ustanowionymi zasadami przetwarzania danych osobowych.

Art. 57. [Przeprowadzenie uprzednich konsultacji]

1. Administrator lub podmiot przetwarzający może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o którym mowa w art. 36 rozporządzenia 2016/679.

2. Do wniosku stosuje się odpowiednio przepis art. 63 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.

3. Jeżeli wniosek nie spełnia wymogów określonych w art. 36 ust. 3 rozporządzenia 2016/679 oraz art. 63 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, Prezes Urzędu informuje o nieudzieleniu konsultacji, wskazując przyczyny ich nieudzielenia.

komentarz

• Procedura konsultacji. Jak pamiętamy, każdy z krajowych organów nadzorczych posiada kompetencje do udzielania porad administratorom danych osobowych zgodnie z procedurą uprzednich konsultacji. Instytucja ta jest ściśle powiązana z opisywaną w komentarzu do art. 54 ustawy oceną skutków przetwarzania dla ochrony danych. Mianowicie, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie danych osobowych powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem takiego przetwarzania administrator ma obowiązek skonsultować się z organem nadzorczym. Uprzednich konsultacji nie stosuje się zatem, gdy podmiot nie jest zobligowany do przeprowadzenia oceny skutków dla ochrony danych. Procedura uprzednich konsultacji polega na tym, że administrator danych osobowych przedkłada prezesowi UODO:

– gdy ma to zastosowanie – odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;

– cele i sposoby zamierzonego przetwarzania;

– środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z niniejszym rozporządzeniem;

– gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

– ocenę skutków dla ochrony danych;

– wszelkie inne informacje, których żąda organ nadzorczy (zob. art. 36 ust. 3 RODO).

• Udzielenie zalecenia. Jeżeli prezes UODO stwierdzi, że zamierzone przez administratora (względnie podmiot przetwarzający) przetwarzanie danych osobowych prowadziłoby do naruszenia przepisów RODO – w szczególności gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko – to w terminie do ośmiu tygodni od wpłynięcia wniosku o konsultacje udziela on administratorowi pisemnego zalecenia (a gdy ma to zastosowanie także podmiotowi przetwarzającemu) i może skorzystać z dowolnego ze swoich uprawnień. Okres ten można przedłużyć o sześć tygodni ze względu na złożony charakter zamierzonego przetwarzania.

Omawiana procedura uprzednich konsultacji zmierza zatem do weryfikacji środków zabezpieczenia danych osobowych, jakie są proponowane przez ich administratora (względnie podmiot przetwarzający) pod kątem ich adekwatności. Jeżeli prezes UODO uzna te środki za niewystarczające, wówczas obliguje dany podmiot do uzupełnienia systemu ochrony danych osobowych i dostosowania go do poziomu istniejącego ryzyka. W przeciwnym wypadku organ nadzorczy stwierdza prawidłowość proponowanych zabezpieczeń.

• Treść wniosku o konsultacje. Mimo że procedura uprzednich konsultacji nie jest typowym postępowaniem administracyjnym (nie kończy się wydaniem decyzji administracyjnej), to ustawodawca nakazał stosowanie do niej niektórych przepisów regulujących właśnie postępowanie przed organem administracji publicznej. Mowa tu o przepisach art. 63 k.p.a. Artykuł ten dotyczy sposobu wnoszenia oraz treści podania kierowanego przez wnioskodawcę do właściwego organu. Zawarto w nim podstawowe wymogi formalne stawiane pismom inicjującym postępowanie administracyjne. Na mocy wyraźnego odesłania zawartego w przepisie art. 57 ust. 2 komentowanej ustawy stosuje się je odpowiednio do wniosku o przeprowadzenie uprzednich konsultacji. Do wniosku takiego stosuje się zatem następujące zasady:

– wniosek powinien zawierać co najmniej wskazanie osoby, od której pochodzi, jej adres i żądanie oraz czynić zadość innym wymaganiom ustalonym w przepisach szczególnych, w tym przypadku przepisem szczególnym jest art. 36 ust. 3 RODO, w którym zamieszczono listę informacji i dokumentów, jakie wnioskodawca powinien przedłożyć krajowemu organowi nadzorczemu;

– prezes UODO jest obowiązany potwierdzić wniesienie podania, jeżeli wnoszący tego zażąda;

– jeżeli wniosek podpisuje pełnomocnik, należy załączyć oryginał bądź urzędowo poświadczony odpis pełnomocnictwa oraz dowód zapłaty należnej opłaty skarbowej w wysokości 17 zł.

• Formularz wniosku. Prezes UODO udostępnił na swojej stronie internetowej elektroniczny formularz wniosku o uprzednie konsultacje. Wniosek składa się elektronicznie za pomocą ww. formularza, który po wypełnieniu należy załączyć do pisma ogólnego, dostępnego na platformie biznes.gov.pl.

Inaczej niż w przypadku wniosków (podań) inicjujących postępowanie administracyjne, do wniosku o przeprowadzenie uprzednich konsultacji nie znajduje zastosowania tryb uzupełnienia braków formalnych, który przewidziany został w przepisach art. 64 k.p.a. Zamiennie, ustawodawca w ust. 3 komentowanego artykułu wskazał, że w przypadku złożenia wniosku uchybiającego wymogom formalnym określonym w art. 36 ust. 3 RODO lub art. 63 k.p.a. prezes UODO poprzestanie na poinformowaniu wnioskodawcy o nieudzieleniu konsultacji, wskazując przyczyny ich nieudzielenia.

• Ponowny wniosek. Nie uniemożliwia to wnioskodawcy, któremu krajowy organ nadzorczy odmówił przeprowadzenia uprzednich konsultacji, wystąpienia z ponownym wnioskiem o ich dokonanie. Wniosek taki może być ponawiany. Jednakże warunkiem jego pozytywnego rozpatrzenia każdorazowo będzie spełnienie przezeń wymogów formalnych, zastrzeżonych we wskazanych powyżej przepisach RODO oraz ustawy krajowej.
• Sankcje. W tym miejscu należy zwrócić uwagę na bardzo ważną dla administratora danych osobowych lub podmiotu przetwarzającego kwestię związaną z odmową przeprowadzenia uprzednich konsultacji. Przypomnieć należy, że art. 36 ust. 1 RODO zastrzega, iż jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

Oznacza, że administrator danych osobowych nie może rozpocząć przetwarzania tych danych objętych oceną skutków dla ochrony danych przed przeprowadzeniem uprzednich konsultacji. Naruszenie tego obowiązku podlegać może karze pieniężnej. Zgodnie bowiem z art. 83 ust. 4 lit. a RODO naruszenia obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25–39 oraz 42 i 43 RODO (mechanizm uprzednich konsultacji uregulowany został w przepisach art. 36 RODO), podlegają administracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Rzecz jasna rozpoczęcie przetwarzania danych osobowych bez przeprowadzenia uprzednich konsultacji, o ile są one wymagane, nie będzie skutkowało automatycznym nałożeniem na administratora danych osobowych kary pieniężnej w maksymalnej wysokości. Mechanizm nakładania kar nie jest bowiem systemem zero-jedynkowym, a krajowy organ nadzorczy zanim zdecyduje się na nałożenie kary pieniężnej, ma obowiązek dokładnego przeanalizowania okoliczności danej sprawy, a także licznych przesłanek wskazanych chociażby w art. 83 ust. 2 RODO. Niemniej jednak ryzyko jej nałożenia, chociażby w mniejszej wysokości, będzie istniało. Bez wątpienia bowiem podmiot decydujący się na takie przetwarzanie naruszy art. 36 ust. 1 RODO.

Szczegółowe zasady nakładania przez prezesa UODO administracyjnych kar pieniężnych zostaną omówione w komentarzach do przepisów art. 101–108 niniejszej ustawy.

Art. 58. [Żądanie wszczęcia postępowania]

Jeżeli Prezes Urzędu, na podstawie posiadanych informacji, uzna, że doszło do naruszenia przepisów dotyczących przetwarzania danych osobowych, może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom, które dopuściły się naruszeń, i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

komentarz

• Uprawnienie Prezesa UODO. RODO nie wskazuje wprost na kompetencje krajowego organu nadzorczego wymienione w komentowanym artykule. Niemniej jednak zastrzeżono w nim, że każde państwo członkowskie może przewidzieć w swoich przepisach, że jego organowi nadzorczemu przysługują poza uprawnieniami określonymi w art. 58 ust. 1–3 RODO także inne uprawnienia.
• Zmiany w stosunku do poprzedniego stanu prawnego. Zbliżone uprawnienie do omawianego przewidywał art. 17 ust. 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Warto jednakże odnotować, że kompetencja taka przyznana była ówcześnie nie generalnemu inspektorowi ochrony danych osobowych, lecz inspektorowi przeprowadzającemu kontrolę. Przy czym GIODO mógł domagać się wszczęcia takiego postępowania na podstawie ustaleń kontroli. Komentowany artykuł obecnie obowiązującej ustawy z jednej stronie przyznaje omawiane prawo wyłącznie prezesowi UODO, z drugiej wszakże daje mu większą swobodę w korzystaniu z niego. Podstawą wystosowania takiego żądania nie muszą już być bowiem ustalenia kontroli, a wystarczy posiadanie przez prezesa UODO informacji, na podstawie których uzna on, że doszło do naruszenia przepisów dotyczących przetwarzania danych osobowych.

Ustawa nie precyzuje przy tym, o jakie informacje chodzi. Mogą to być zatem zarówno dane pozyskane przez prezesa UODO samodzielnie, np. w toku prowadzonych przez niego postępowań, jak również pochodzące od innych podmiotów. W tym ostatnim przypadku również brak jest ograniczenia. Informacje mogą zostać zatem przekazane czy to przez osobę, której dane dotyczą, czy też inny organ, instytucję bądź inną osobę.

Bez wątpienia powinny być one wiarygodne i weryfikowalne. Na ich podstawie bowiem prezes UODO powinien uznać, że doszło do naruszenia przepisów dotyczących przetwarzania danych osobowych. Jeżeli zaś zebrane dane nie pozwalają na ustalenie, iż faktycznie doszło do naruszenia, organ nadzorczy może skorzystać z innych jego prerogatyw w celu wyjaśnienia sprawy. Jako przykład wskazać należy na uprawnienie wynikające z art. 58 ust. 1 lit. a RODO, zgodnie z którym krajowemu organowi nadzorczemu przysługuje uprawnienie do nakazania administratorowi danych osobowych lub podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji jego zadań. Rzecz jasna, nie sposób również wykluczyć, że w oparciu o otrzymane informacje prezes UODO postanowi o wszczęciu kontroli względem określonego podmiotu, której wyniki posłużą mu do oceny zasadności zastosowania komentowanego artykułu.

• Treść żądania. Jeżeli w ocenie krajowego organu nadzorczego zaistnieje konieczność skorzystania z tegoż uprawnienia, powinien on wystosować stosowne żądanie, określając w nim jednocześnie termin, w jakim powinien zostać poinformowany o wynikach tego postępowania i podjętych działaniach.
• Zakres kompetencji. Prócz postępowania dyscyplinarnego prezes UODO może domagać się wszczęcia każdego innego postępowania, którego celem jest wyciągnięcie konsekwencji od osoby, która w jego ocenie dopuściła się naruszenia przepisów dotyczących przetwarzania danych osobowych. Postępowaniem takim może być zatem nawet postępowanie karne.

Żądanie krajowego organu nadzoru może dotyczyć wszystkich osób zaangażowanych w proces przetwarzania danych osobowych. Bez wątpienia nie będą nimi jedynie administrator danych osobowych, podmiot przetwarzający lub inspektor ochrony danych, ale także ich pracownicy i współpracownicy wykonujący czynności w omawianym zakresie.

Kompetencje prezesa UODO ograniczają się wszakże jedynie do żądania wszczęcia określonego postępowania oraz poinformowania go o jego rezultatach. Organ nadzorczy nie staje się zatem stroną ani uczestnikiem takiej procedury. Nie może także wpływać na jej wynik. Nie jest wykluczone zatem, że podmiot, do którego prezes UODO wystosował swoje żądanie, nie podzieli jego stanowiska. Ewentualnie w toku prowadzonego postępowania ustalone zostaną inne nieznane prezesowi UODO okoliczności sprawy, które będą miały bezpośredni wpływ na sposób zakończenia postępowania. Innymi słowy, podmiot prowadzący postępowanie zainicjowane przez krajowy organ nadzorczy może je zakończyć bez wyciągania jakichkolwiek konsekwencji względem osoby objętej żądaniem prezesa UODO. Temu ostatniemu natomiast nie będą przysługiwały jakiekolwiek środki odwoławcze względem decyzji prowadzącego postępowanie.

Zakończenie postępowania dyscyplinarnego lub innego w sposób niesatysfakcjonujący organu nadzorczego może jednakże powodować, że prezes UODO podejmie dalsze kroki, które będą miały na celu zapewnienie przestrzegania przepisów dotyczących przetwarzania danych osobowych.

Art. 59. [Współpraca z niezależnymi organami nadzorczymi]

1. Prezes Urzędu w sprawach ochrony danych osobowych współpracuje z niezależnymi organami nadzorczymi powołanymi na podstawie art. 91 rozporządzenia 2016/679.

2. Prezes Urzędu może zawrzeć z organami, o których mowa w ust. 1, porozumienie o współpracy i wzajemnym przekazywaniu informacji.

komentarz

• Współpraca z kościołami i związkami wyznaniowymi. Komentowany artykuł, będący polskim łącznikiem z art. 91 RODO, może być na pierwszy rzut oka mylący. Nie wynika bowiem z niego, że w praktyce chodzi w nim o posiadające pewną autonomię zasady ochrony danych osobowych obowiązujące w kościołach i związkach wyznaniowych. Zgodnie z RODO, jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane pod warunkiem, że zostaną dostosowane do ogólnego rozporządzenia o ochronie danych.

Co więcej, RODO przewiduje, że kościoły i związki wyznaniowe, które stosują szczegółowe zasady ochrony danych osób fizycznych, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem, że spełnia warunki określone w RODO dla niezależnych organów nadzorczych. W praktyce oznacza to, że każdy zarejestrowany Kościół i związek wyznaniowy ma dwie możliwości:

– ustanowić własny organ nadzorczy, który będzie spełniał kryteria wskazane w RODO;

– podlegać pod kompetencje prezesa UODO, jako krajowego organu nadzorczego w dziedzinie ochrony danych osobowych. Przypadek ten zaistnieje również, gdy powołany przez dany Kościół bądź związek wyznaniowy organ nadzorczy nie będzie spełniał kryteriów umożliwiających uznanie go za niezależny organ nadzorczy w rozumieniu ogólnego rozporządzenia o ochronie danych.

• Prawo do wyznaczenia własnego organu. Co ważne, powołanie własnego organu ochrony danych osobowych przez Kościół lub związek wyznaniowy możliwe jest tylko wtedy, gdy stosują one szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem. Tym spośród kościołów i związków wyznaniowych, które nie wprowadziły zasad szczególnych, kompetencja taka nie przysługuje. Podlegać one będą zatem pod nadzór krajowego organu nadzoru.

Z obu wymienionych wyżej możliwości, tj. wprowadzenia szczegółowych zasad ochrony danych osobowych oraz powołania niezależnego organu nadzorczego, skorzystał Kościół katolicki. Dekretem ogólnym w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim wydanym 13 marca 2018 r. podczas 378. Zebrania Plenarnego w Warszawie przez Konferencję Episkopatu Polski na podstawie kan. 455 Kodeksu Prawa Kanonicznego w związku z art. 18 Statutu KEP, po uzyskaniu specjalnego zezwolenia Stolicy Apostolskiej 3 czerwca 2017 r. uregulowano szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim w Polsce.

W dekrecie tym uregulowano szczególny sposób stosowania wielu instytucji znanych z RODO, takich jak chociażby: informowanie o przetwarzaniu danych osobowych, prawa osób, których dane dotyczą, powierzenie przetwarzania, rejestrowanie czynności przetwarzania, bezpieczeństwo przetwarzania, zgłaszanie naruszeń itp. Dokument ten ustanawia również urząd kościelny w rozumieniu kodeksu prawa kanonicznego – kościelnego inspektora ochrony danych. KIOD jest niezależnym organem monitorującym i zapewniającym przestrzeganie przepisów o ochronie danych osobowych w ramach i zgodnie z działaniem Kościoła katolickiego i jego struktur. Kościelny inspektor ochrony danych w zakresie wykonywania swoich zadań nadzorczych nie podlega poleceniom innych podmiotów. Osoba na ten urząd wybierana jest przez zebranie plenarne Konferencji Episkopatu Polski na czteroletnią kadencję. Każda osoba, której dane dotyczą, i która uzna, że przetwarzanie danych nie jest zgodne z przepisami omawianego dekretu, będzie mogła złożyć skargę do KIOD, a następnie do właściwej dykasterii stolicy apostolskiej, zgodnie z kodeksem prawa kanonicznego.

• Rola biskupa diecezjalnego. Na marginesie należy dodać, że kościelny inspektor ochrony danych nie będzie jedynym podmiotem odpowiedzialnym za ochronę danych osobowych w Kościele katolickim w Polsce. Niezależnie bowiem od monitorowania i zapewniania przez KIOD przestrzegania przepisów w zakresie ochrony danych osobowych, to do biskupa diecezjalnego należy – w ramach zwyczajnych działań kontrolnych (np. podczas wizytacji kanonicznych) – także nadzór nad prawidłowym przestrzeganiem przepisów dotyczących pozyskiwania, przechowywania i przetwarzania danych osobowych. W instytutach życia konsekrowanego i stowarzyszeniach życia apostolskiego nadzór ten sprawować będzie natomiast wyższy przełożony.
• Inspektorzy ochrony danych w publicznych kościelnych osobach prawnych. Kościelnego inspektora ochrony danych należy odróżnić od inspektorów ochrony danych wyznaczanych przez poszczególne jednostki. Każda kościelna publiczna osoba prawna może wyznaczyć inspektora ochrony danych. Zaś w przypadku gdy przetwarzanie danych odbywa się na dużą skalę, wyznaczenie inspektora ochrony danych przez kościelną publiczną osobę prawną stanie się obowiązkowe. Pełna treść dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim dostępna jest na stronie internetowej Konferencji Episkopatu Polski (www.episkopat.pl). Rzecz jasna uprawnienie do skorzystania z przepisów art. 91 RODO oraz wyznaczenia niezależnego organu nadzorczego przysługuje również innym kościołom i związkom wyznaniowym, o ile wprowadziły one szczególne zasady ochrony danych osobowych, które pozostają zgodne z RODO.

Kościół lub związek wyznaniowy mogą wprowadzić tego typu zasady, jak również powołać niezależny organ nadzorczy w oparciu o wewnętrzne źródła prawa obowiązujące w danej wspólnocie. W Kościele katolickim w Polsce podstawą prawną do ich wprowadzenia były przepisy kodeksu prawa kanonicznego.

• Wymogi wobec inspektora. W przepisach rozdziału VI RODO wskazane zostały wymogi, jakie powinien spełniać inspektor ochrony danych powołany przez kościół bądź związek wyznaniowy. Należą do nich następujące elementy:
• Niezależność. Członek lub członkowie każdego organu nadzorczego podczas wypełniania swoich zadań i wykonywania swoich uprawnień mają pozostawać wolni od bezpośrednich i pośrednich wpływów zewnętrznych, a także nie zwracać się do nikogo o instrukcje ani ich od nikogo ich nie przyjmować. Nadto powstrzymują się oni od wszelkich czynności sprzecznych ze swoimi obowiązkami i podczas swojej kadencji nie podejmują żadnego zajęcia zarobkowego ani niezarobkowego sprzecznego z tymi obowiązkami.
• Powoływanie w drodze przejrzystych procedur. Przepisy muszą określać sposób powoływania oraz odwoływania organu nadzorczego, a także skutki upływu kadencji, rezygnacji lub przymusowego pozbawienia funkcji, jak również gwarancję, że osoba taka może zostać odwołana ze stanowiska tylko w przypadku, gdy dopuściła się poważnego uchybienia lub przestała spełniać warunki niezbędne do pełnienia obowiązków,
• Gwarancja niezależności. Wymagane jest ustanowienie gwarancji niezależności organu nadzorczego, w tym określenie okresu kadencji członka lub członków każdego z organów nadzorczych, wskazanie, czy członek lub członkowie każdego z organów nadzorczych mogą zostać powołani ponownie, a jeżeli tak – na ile kadencji. Ponadto należy ustanowić zasady regulujące obowiązki członka lub członków oraz personelu każdego z organów nadzorczych, zakaz podejmowania działań, zajęć i czerpania korzyści – w trakcie kadencji oraz po jej zakończeniu – sprzecznych z tymi zobowiązaniami, a także przepisy regulujące ustanie stosunku pracy.
• Odpowiednie kwalifikacje. Każdy członek organu nadzorczego musi posiadać kwalifikacje, doświadczenie i umiejętności – w szczególności w dziedzinie ochrony danych osobowych – potrzebne do wypełniania swoich obowiązków i wykonywania swoich uprawnień. Ich posiadanie powinno być weryfikowane w toku procedury wyboru organu nadzorczego oraz jego pracowników.
• Obowiązkowe zachowanie poufności informacji. Każdy członek organu nadzorczego oraz jego personel podlegają obowiązkowi zachowania tajemnicy służbowej – w trakcie kadencji oraz po jej zakończeniu – w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku wypełniania zadań lub wykonywania swoich uprawnień. Obowiązek zachowania tajemnicy służbowej w trakcie ich kadencji dotyczy w szczególności sytuacji, w których osoby fizyczne zgłaszają naruszenia niniejszego rozporządzenia.
• Precyzyjne regulacje. Wymagane jest skonkretyzowania zadań i uprawnień organu nadzorczego, a także procedury postępowania przed tymże organem – w szczególności wywołanej skargą osoby, której dane dotyczą, jak również środki odwoławcze przysługujące od rozstrzygnięć niezależnego organu nadzorczego.
• Zapewnienie zgodności z RODO. Decydując się na wprowadzenie szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem, w tym ustanowienie niezależnego organu nadzorczego, należy pamiętać o konieczności zapewnienia zgodności tychże regulacji i procedur z RODO. W przypadku ustanowienia ich przed wejściem w życie ogólnego rozporządzenia o ochronie danych będą one mogły być stosowane nadal, tylko pod warunkiem, że zostaną do niego dostosowane. W innym przypadku pierwszeństwo stosowania będą miały przepisy RODO, a nadzór nad danym kościołem lub związkiem wyznaniowym w zakresie ochrony danych osobowych sprawować będzie prezes UODO i to nawet jeżeli w tymże kościele bądź związku wyznaniowym powołany zostałby organ nadzorczy. Tylko bowiem zgodność z przepisami RODO pozwala na stosowanie wewnętrznych zasad przetwarzania danych osobowych przez te instytucje.

Obowiązek ten można wykorzystać również w ten sposób, że odpowiednie procedury, w szczególności zaś w odniesieniu do postępowania przed niezależnym organem nadzorczym, a także jego zadań i uprawnień zostaną ustanowione na wzór analogicznych rozwiązań przewidzianych w RODO oraz w krajowym ustawodawstwie. Kościoły i związki wyznaniowe istniejące w Polsce mogą zatem wzorować się na unormowaniach komentowanej ustawy, w szczególności zaś jej przepisach poświęconych prezesowi UODO.

Na marginesie należy wskazać, że RODO nie narzuca nazwy, jaką określony zostanie niezależny organ nadzorczy powołany przez Kościół albo związek wyznaniowy. Nazwa ta może zostać zatem wybrana przez podmiot ustanawiający ten organ.

Niezależny organ nadzorczy Kościoła albo związku wyznaniowego nie jest podporządkowany prezesowi UODO. Świadczy o tym również treść przepisu ust. 2 komentowanego artykułu. Zgodnie z nią bowiem organy takie będą mogły zawierać ze sobą porozumienia o współpracy i wzajemnym przekazywaniu informacji.

RODO zawiera również regulację na wypadek, gdy w jednym państwie członkowskim ustanowiony został więcej niż jeden organ nadzorczy. W takim bowiem przypadku państwo to ma obowiązek wskazać, który z tych organów nadzorczych ma reprezentować te organy w Europejskiej Radzie Ochrony Danych, a nadto powinno wprowadzić mechanizm zapewniający przestrzeganie przez pozostałe organy nadzorcze przepisów o mechanizmie spójności, o którym mowa w przepisach art. 63 RODO. Mechanizm spójności został szerzej omówiony w komentarzu do art. 56 niniejszej ustawy.

Zapewnieniu jego stosowania mogą służyć również porozumienia zawierane przez prezesa UODO z innymi organami nadzorczymi, o których to mowa w ust. 2 komentowanego artykułu. Ustawodawca nie wskazuje konkretnych elementów takich porozumień, ograniczając się do podania obszarów, których mogą one dotyczyć. Niemniej użyte w tym przepisie pojęcie współpracy jest niezwykle pojemne, pozwala zatem objąć treścią porozumienia wiele bardziej szczegółowych zagadnień. ©℗