RODO – do niedawna dla większości tajemniczy skrót oznaczający „coś związanego z danymi osobowymi”. Do przygotowania tego tematu zainspirowała mnie rozmowa z pewnym architektem, który na moje pytanie, czy już wie, jakie nowe obowiązki będą na nim ciążyć w związku z przyjęciem unijnego prawa odpowiedział: „a nie, nie. To mnie nie interesuje, bo ja prowadzę działalność sam i nie przetwarzam żadnych danych”.
Dlatego postanowiłam wyjaśnić kilka kwestii, które dla każdego architekta (nawet jeśli prowadzi jednoosobową działalność gospodarczą lub działalność w formie spółki) są bardzo ważne. RODO obowiązuje wszystkie podmioty przetwarzające dane. Faktycznie unijne rozporządzenie wprowadza kilka wyjątków np. nie będziemy go stosować do działalności stricte osobistej i domowej czyli niezwiązanej z działalnością handlową i usługową – ale to wydaje się oczywiste. Natomiast żaden architekt nie może powiedzieć, że nie przetwarza danych osobowych (chyba że nie prowadzi żadnej działalności) – każdy podpisuje umowy, prowadzi dokumentację, która zawiera szereg danych, przygotowuje dokumenty w postępowaniu administracyjnym, do czego niezbędne są takie dane, prowadzi korespondencję mailową zawierającą dane osobowe, gromadzi dane osób, z którymi współpracuje (np. zaświadczenia o posiadaniu uprawnień poszczególnych branżystów). Wielu architektów zatrudnia również pracowników, których dane osobowe przetwarza. Ale – jak zwykle – zacznijmy od początku.
RODO to skrót oznaczający Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dostępne tu). Zaczniemy je stosować od 25 maja. Będzie ono stanowić główną podstawę prawną dotyczącą przetwarzania danych osobowych (stosowane bezpośrednio, bo taki jest charakter prawny unijnych rozporządzeń). Sam akt nie stanowi zachęcającej lektury dla „nieprawników” (choć trzeba przyznać, że architekci świetnie radzą sobie z rozumieniem aktów prawnych). Rozporządzenie ma łącznie 88 stron i napisane jest prostym językiem. 88 stron to niewiele w porównaniu z tym, do czego przyzwyczajani są architekci w ostatnim czasie (przypomnijmy, że sam projekt kodeksu urbanistyczno-budowlanego liczył w pierwszej wersji 206 stron).
Aktualnie w Senacie trwają prace nad nową ustawą o ochronie danych osobowych (projekt dostępny tu). Procedowany jest również projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych.
Dla większości osób jasne jest czym są dane osobowe, jednak warto zerknąć, jak rozumie się to pojęcie w RODO. Danymi zgodnie z definicją zawartą w rozporządzaniu są „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej” (art. 4 pkt 1 RODO).
Skoro RODO dotyczy ochrony danych w związku z ich przetwarzaniem, to następne nasuwa się pytanie: czym jest przetwarzanie danych? To pojęcie szczególnie istotne ponieważ uświadamia, że czynności, które wg. unijnego prawa są przetwarzaniem wykonuje każdy architekt w codziennej pracy. Przetwarzanie to operacja lub operacje wykonywane na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany tj: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Zapewne każdy architekt czytając ten tekst zastanawia się teraz: „dobrze, ale co właściwie muszę zrobić, żeby przetwarzać dane zgodnie z tym rozporządzeniem?”. Otóż RODO nie daje nam jasnej odpowiedzi – wskazuje, jakie są zasady przetwarzania, co stanowi naruszenie danych, jakimi środkami można posłużyć się żeby dane zabezpieczać, jakie obowiązki ma administrator oraz podmiot przetwarzający (poniżej wyjaśnię różnicę pomiędzy tymi podmiotami), ale nie daje nam gotowych rozwiązań czy szablonów.
W RODO wskazano, że administrator ma wdrożyć właściwe środki techniczne i organizacyjne uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Jakie to środki – każdy musi zdecydować sam. Oczywiście niektóre rozwiązania są tu obligatoryjne (np. obowiązek informowania osoby, której dane są przetwarzane, czy obowiązek zgłaszania naruszeń danych itd). Właśnie dlatego należy wiedzieć, co z danymi robić można, a czego już nie, żeby móc znaleźć najlepsze rozwiązania dla swojej działalności. Dlaczego w RODO nie zawarto bardziej konkretnych rozwiązań, jakie może stosować przedsiębiorca, aby ustrzec się naruszenia rozporządzenia? Jak wyjaśnia GIODO nowe prawo oparte jest na tzw. zasadzie ryzyka (ang. risk based approach). W skrócie można powiedzieć, że ochrona danych ma opierać się na zabezpieczeniu konkretnych wartości czyli praw i wolności, których dane dotyczą, a nie na wskazaniu, jak to zrobić. Wiadomo jednak, że wybrana przez nas metoda ochrony uwzględniać ma charakter, zakres, kontekst oraz cel przetwarzania danych. Mamy tu więc swobodę działania – jeśli wiemy, że ryzyko naruszenia ochrony danych jest niewielkie to i zastosowane przez nas metody nie muszą być tak rozbudowane i odwrotnie (A. Kaczmarek, M. Młotkiewicz, A. Łapińska, A. Miłocha, M. Mazur, Poradnik RODO. Podejście oparte na ryzyku, część 1, Generalny Inspektor Ochrony Danych Osobowych, Warszawa 2017, s. 4).
W RODO rozróżniono dwa rodzaje podmiotów odpowiedzialnych z tytułu ochrony danych, którymi są: „administrator” oraz „podmiot przetwarzający”. Oba pojęcia zostały zdefiniowane w rozporządzeniu, więc nie powinno być żadnego problemu z ich rozróżnieniem. Administrator to m.in. osoba fizyczna lub prawna (np. przedsiębiorca), która ustala cel i sposób przetwarzania danych (np. pracodawca). Z kolei podmiotem przetwarzającym jest podmiot, który przetwarza dane w imieniu administratora. Co do zasady (ale nie zawsze) architekt prowadzący działalność będzie więc administratorem (to on decyduje, w jakim celu i w jaki sposób przetwarzać dane swoich klientów czy pracowników).
Zasady przetwarzania danych, wskazane zostały w art. 5 RODO. Wyróżniono tu 7 podstawowych zasad: „zgodności z prawem, rzetelności i przejrzystości”; „ograniczenia celu”; „minimalizacji danych”; „prawidłowości”; „ograniczenia przechowywania”; „integralności i poufności” oraz „rozliczalności”. Każdą z nich warto omówić, ponieważ każdą musi stosować administrator. Pierwsza zasada – zgodności z prawem, rzetelności i przejrzystości – opiera się na obowiązku dochowania przez administratora zgodności z prawem, ale i rzetelności. Administrator musi przetwarzać dane w sposób przejrzysty dla osoby, której one dotyczą (urzeczywistnieniem tej zasady będzie chociażby obowiązek informacyjny). Zgodnie z zasadą ograniczonego celu możemy zbierać dane tylko w „konkretnych, wyraźnych i prawnie uzasadnionych celach”. Słowem każde zbieranie danych, które nie jest uzasadnione konkretnym (a nie abstrakcyjnym) celem, jest niezgodne z rozporządzeniem. Pamiętać tu należy, że to administrator musi udowodnić, że ten cel istnieje. Dane przez nas zbierane muszą być adekwatne, stosowne oraz ograniczone i niezbędne do celów, w jakich są zbierane. Zasada prawidłowości danych odnosi się do obowiązku ich uaktualniania, usuwania lub prostowania, wtedy gdy wymaga tego sytuacja – obowiązek ten należy wykonać niezwłocznie. Co więcej, dane możemy przechowywać tak długo, jak uzasadnia to cel. Zasada integralności i poufności odnosi się do obowiązku zapewnienia bezpieczeństwa danych tj. zabezpieczenia przed niedozwolonym, jak również niezgodnym z prawem przetwarzaniem, a także utratą, zniszczeniem oraz uszkodzeniem. Jeszcze raz podkreślmy – to administrator musi być w stanie dowieść, że przestrzega powyższych reguł (zasada rozliczalności).
W rozporządzeniu wskazano, jakie przetwarzanie jest zgodne z prawem. Aby zachować tę cechę, musi ono spełniać przynajmniej jeden z warunków wskazanych w RODO, którymi są:
„a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.”
Koniecznie trzeba choć kilka słów napisać o pierwszym z warunków, czyli wyrażeniu zgody. Zgoda taka może zostać wyrażona w jakiejkolwiek formie (motyw 32 preambuły rozporządzenia). Nie można jednak dać się zwieść liberalności tego zapisu ponieważ – w razie wątpliwości – to administrator musi udowodnić, że zgodę wyrażono. Bardziej szczegółowo uregulowano kwestię zgody wyrażonej w pisemnym oświadczeniu. Musi ona odznaczać się pewnym cechami, aby została uznana za ważną. Przede wszystkim, jeśli w oświadczeniu mowa jest również o innych kwestiach (poza wyrażeniem zgody), to musimy być w stanie bez problemu te części oświadczenia odróżnić. Zgoda taka musi być napisana prostym i jasnym językiem. I sprawa najważniejsza. Wyrażający zgodę zawsze może ją cofnąć, a uczynienie tego musi być równie proste, jak jej wyrażenie. Zgoda musi zostać wyrażona dobrowolnie. Jakie sytuacje mogą zostać uznane za niedobrowolne wyrażenie zgody? Przede wszystkim to, że od jej wyrażenia uzależniono zawarcie umowy (chyba, że jest to niezbędne żeby taką umowę wykonać).
Sprawą bardzo ważną jest to, że RODO dzieli dane osobowe na dwie kategorie: zwykłe dane (często imię i nazwisko, PESEL itd.) oraz dane szczególnych kategorii (dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby). Na pozór może się wydawać, że architekt z danymi szczególnej kategorii styczności nie ma, a jednak to nie do końca prawda. Jeśli architekt zatrudnia pracowników to może posiadać szereg takich informacji (chociażby w dokumentacji kadrowej mogą znaleźć się informacje dotyczące stanu zdrowia). Oczywiście nie będzie to specyfiką zawodu architekta, ale każdego przedsiębiorcy zatrudniającego pracowników. Przetwarzanie danych szczególniej kategorii może mieć miejsce również w sytuacji, kiedy architekt projektuje dom dla osoby z niepełnosprawnością. Co bardzo ważne – danych szczególnych co do zasady nie można przetwarzać. Wyjątki wskazane zostały w samym RODO (np. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach).
Obowiązek informacyjny to jeden z elementów RODO, który budzi największe emocje. Zgodnie z rozporządzeniem administrator oraz podmiot przetwarzający powinni informować osobę, której dane dotyczą o szeregu informacji, w tym swojej tożsamości oraz danych kontaktowych, celu przetwarzania, danych kontaktowych inspektora ochrony danych (jeśli jest), o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją czy o okresie, w jakim dane będą przetwarzane. Katalog ten jest dłuższy. Podczas pozyskiwania danych administrator podaje osobie, której dane dotyczą również:
„a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.”
Obowiązek informacyjny dotyczy również sytuacji, pozyskiwania danych w sposób inny niż od osoby, której one dotyczą (art. 14 RODO). W takim przypadku administrator zobowiązany jest przekazać te informacje „w rozsądnym terminie po pozyskaniu danych”, ale nie dłużej niż w ciągu miesiąca. Natomiast, jeśli dane mają być wykorzystywane w komunikacji z osobą, której dotyczą, informacje te należy podać najpóźniej przy pierwszej takiej komunikacji. I co bardzo istotne – jeśli administrator ma zamiar ujawnić dane innemu odbiorcy, informacje te podaje się „najpóźniej przy ich pierwszym ujawnieniu”.
Na chwilę obecną każdy adresat RODO musi stosować art. 13 i 14 w całości, choć Ministerstwo Cyfryzacji oraz Ministerstwo Przedsiębiorczości miały pomysł, żeby wyłączyć spod tego obowiązku małe i średnie przedsiębiorstwa. Dziś jednak nic o tym nie wiemy, choć na stronie Ministerstwa Cyfryzacji zamieszczono oświadczenie w tej sprawie (https://www.gov.pl/cyfryzacja/stosowanie-przepisow-rodo-do-mp-oswiadczenie-wspolne-mc-i-mpit). Podkreślmy jeszcze raz – nie ma żadnej podstawy prawnej, która zwalniałby kogokolwiek ze stosowania art. 13.
Co więc zrobić żeby przygotować się do RODO?
- Inwentaryzacja danych (zastanów się, jakie dane przetwarzasz, w jakim celu i w jaki sposób?). Na tej podstawie oceń ryzyko naruszeń praw lub wolności osób fizycznych, których dane przetwarzasz, uwzględniając prawdopodobieństwo ich wystąpienia i wagę naruszenia. GIODO nazywa ten etap „ustalaniem kontekstu”. Składa się na niego ustalenie informacji dotyczących zakresu, charakteru oraz celu przetwarzania danych. Ważne jest również sporządzenie listy ryzyka z uwzględnieniem czynników zewnętrznych oraz wewnętrznych. Te drugie to np. struktura oraz rozmiary organizacji, stosowane w niej strategie, system obiegu informacji, procesy podejmowania decyzji, informacje o środowisku technologicznym itd. (A. Kaczmarek, M. Młotkiewicz, A. Łapińska, A. Miłocha, M. Mazur, Poradnik RODO. Podejście oparte na ryzyku, część 2, Generalny Inspektor Ochrony Danych Osobowych, Warszawa 2017, s. 5).
- Zastanów się, jakie środki techniczne i organizacyjne wprowadzić, aby zminimalizować ryzyko naruszeń. W RODO wskazano przykładowe środki, które zapewnić mogą bezpieczeństwo stosowne do ryzyka: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 RODO).
- Stwórz rejestr czynności przetwarzania. Choć w rozporządzeniu RODO wskazano, że obowiązek przygotowania rejestru nie dotyczy przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 (chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa), to jednak warto go przygotować. Dzięki temu będziemy wiedzieć co, po co i jak przetwarzamy. W rejestrze zamieść następujące informacje:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Jak napisałam wyżej, w procesie ochrony danych występują dwa podmioty zobowiązane – administrator oraz podmiot przetwarzający. Oznacza to, że administrator może korzystać w tym celu z usług innych podmiotów – ale jak wskazano w RODO – mogą być to tylko podmioty, które są w stanie zabezpieczyć wdrożenie odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie było zgodne z rozporządzeniem. Są to sytuacje bardzo częste, np. pracownia architektoniczna korzysta z poczty elektronicznej lub powierza prowadzenie księgowości zewnętrznemu podmiotowi.
Podmiot przetwarzający działać może na podstawie umowy (lub innego instrumentu prawnego) określającej: „przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora” (art. 28 ust. 3 RODO). Umowa powinna stanowić, że podmiot przetwarzający:
„a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora […];
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy art. 32 [wykorzystywanie środków odpowiednich do ryzyka];
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.”
Istotne jest również, że umowa musi zostać zawarta w formie pisemnej (w tym dopuszcza się formę elektroniczną). Warto jeszcze dopowiedzieć, że oprócz umowy przetwarzania istnieje jeszcze tzw. podpowierzenie, o którym mowa w art. 28 ust. 2 RODO. Chodzi tu o sytuację, w której podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego. W takiej sytuacji wymagana jest bezwzględnie uprzednia (szczegółowa lub ogólna) zgoda administratora. Ważne informacje na temat powierzenia przetwarzania danych znajdują się na stronie GIODO oraz w załączonym tam przewodniku: https://giodo.gov.pl/pl/1520281/10043.
Za zakończenie jeszcze dwa obowiązki administratora, które czekają nas w sytuacji, kiedy dojdzie do naruszenia danych. W takim przypadku administrator zobowiązany jest (bez zbędnej zwłoki i nie później niż w ciągu 72 godzin od stwierdzenia naruszenia) zgłosić je PUODO (art. 33 ust. 1 RODO). Z obowiązku takiego jesteśmy zwolnieni w sytuacji, kiedy mało prawdopodobne jest, że naruszenie „skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Jakie informacje powinno zawierać zgłoszenie zawarto w art. 33 ust. 3 RODO:
„a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.”
W sytuacji, w której naruszenie stwierdził podmiot przetwarzający, zobowiązany jest on bez zbędnej zwłoki zgłosić ten fakt administratorowi. Na tym jednak nasze obowiązki nie muszą się kończyć. Jeśli bowiem naruszenie może powodować „wysokie ryzyko naruszenia praw lub wolności osób fizycznych”, musimy o tym fakcie powiadomić również osobę, której dane dotyczą (art. 34 ust. 1 RODO). W rozporządzeniu wskazano sytuacje, w których administrator jest zwolniony z tego obowiązku:
„a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.”
W określonych przypadkach administrator oraz podmiot przetwarzający mają obowiązek wyznaczyć inspektora ochrony danych. Zgodnie z art. 37 ust. 1 RODO obowiązek ten ma zastosowanie w przypadku, gdy:
„a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”
Skoro znamy już podstawowe obowiązki administratora, czas przybliżyć prawa, jakie ma osoba, której dane dotyczą. Nie będą one dla nikogo zaskoczeniem, ponieważ to ich realizacji służą wymienione wcześniej obowiązki. Osoby takie mają przede wszystkim prawo do przejrzystej informacji oraz komunikacji. Wszystkie informacje, jakie podajemy takiej osobie muszą być zrozumiałe i łatwo dostępne. Osoba taka musi mieć do nich dostęp oraz możliwość ich sprostowania i usuwania (prawo do bycia zapomnianym). Ma ona również prawo do żądania ograniczenia przetwarzania danych, ich przenoszenia, a także prawo do sprzeciwu. Ponadto w RODO uregulowano również m.in. prawo do wniesienia skargi do organu nadzorczego (art. 77), prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu (art. 78) oraz prawo do skutecznego środka ochrony prawnej przeciwko administratorowi lub podmiotowi przetwarzającemu (art 79), prawo do odszkodowania (art. 82).
To odpowiednie miejsce w tekście żeby zwrócić uwagę, że architekt nie jest tylko podmiotem zobowiązanym z tytułu RODO. Oczywiście, jeśli prowadzi on swoją działalność to dotyczą go głównie obowiązki, ale wielu architektów zatrudnionych jest w takich przedsiębiorstwach, urzędach itd. jako pracownicy. Ich dane osobowe są przetwarzane w celach rekrutacji, prowadzenia akt osobowych itd. Są oni więc także uprawnieni – to oni mogą reagować na naruszenia swoich praw w związku z przetwarzaniem danych.
Na koniec – odpowiedzialność administracyjna. Administracyjne kary pieniężne mają być – zgodnie z RODO – skuteczne, proporcjonalne i odstraszające. Wymierzając je, organ nadzorczy ma brać pod uwagę szereg okoliczności, takich jak chociażby: charakter, wagę i czas trwania naruszenia; liczbę poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody; umyślny lub nieumyślny charakter naruszenia; działania podjęte przez administrator itd. Wysokość kar zróżnicowana została w zależności od rodzaju naruszenia. Ponadto nie można zapominać, że osoba poszkodowana z tytułu naruszenia RODO, może dochodzić odszkodowania od administratora lub podmiotu przetwarzającego.
Polecić można wiele przewodników, które ukazały się nakładem odpowiednich resortów, jak również GIODO:
- A. Kaczmarek, M. Młotkiewicz, A. Łapińska, A. Miłocha, M. Mazur, Poradnik RODO. Podejście oparte na ryzyku, część 1 i 2, Generalny Inspektor Ochrony Danych Osobowych, Warszawa 2017. Publikacja dostępna pod linkiem: https://giodo.gov.pl/pl/1520282/10294;
- P. Litwiński, Przewodnik po RODO dla małych i średnich przedsiębiorców, Ministerstwo Przedsiębiorczości i Technologii, Warszawa 2018. Publikacja dostępna pod linkiem: https://www.mpit.gov.pl/media/50521/PrzewodnikMSP_RODO_2018.pdf;
- RODO Informator, Ministerstwo Cyfryzacji. Publikacja dostępna pod linkiem: https://www.gov.pl/cyfryzacja/rodo-informator;
- Czy jesteś gotowy na RODO?, Generalny Inspektor Ochrony Danych Osobowych, Publikacja dostępna pod linkiem: file:///C:/Users/Magdalena%20W%C3%B3%C5%82kowska/Downloads/Czy%20jeste%C5%9B%20gotowy%20na%20RODO_.pdf.
Komentarze Facebook