produkty

Intelektualna.pl

Powrót

Artykuł
22 12.2016
Artykuł
22.12.2016

Rozporządzenie ogólne o ochronie danych – o czym trzeba wiedzieć. Cz. II.

przez Małgorzata Kurowska

 1. Prawa osób, których dane dotyczą

W pierwszym wpisie dotyczącym RODO wyjaśniliśmy, na czym polegać będą uprawnienia podmiotów danych w zakresie tzw. prawa do zapomnienia, prawa wniesienia sprzeciwu w zakresie profilowania, a także w odniesieniu do zakresu informacji, jakie administrator zobowiązany jest przekazać przy zbieraniu danych osobowych. Warto wskazać jednak także na takie uprawnienia, jako prawo do ograniczenia przetwarzania oraz prawo do przenoszenia danych.

 1. Prawo do ograniczenia przetwarzania

Art. 18 RODO dotyczy uprawnienia żądania od administratora danych przez podmiot danych ograniczenie przetwarzania jego danych osobowych. Skutkiem takiego ograniczenia, jest wyłączenie prawa administratora do przetwarzania danych, z wyjątkiem:

 1. przechowywania danych osobowych;
 2. przetwarzania danych za zgodą podmiot danych;
 3. przetwarzania danych w celu ustalenia, dochodzenia lub obrony roszczeń;
 4. przetwarzania danych w celu ochrony praw innego podmiotu;
 5. przetwarzania danych z ważnych względów interesu publicznego UE lub państwa członkowskiego.

Podstawą żądania ograniczenia może być kwestionowanie przez podmiot danych zgodności z prawem przetwarzania danych lub ich prawidłowości, a także odpadnięcie celu przetwarzania jak również zgłoszenie sprzeciwu w oparciu o art. 21 RODO (sprzeciw wobec przetwarzania opartego na usprawiedliwionym celu administratora lub nadrzędnym interesie publicznym).

O omawianym uprawnieniu podmiotu danych administrator obowiązkowo informuje osobę, której dane dotyczą w ramach obowiązku informacyjnego, określonego w art. 13 ust. 2 pkt b). RODO.

 1. Prawo do przenoszenia danych

Zgodnie z art. 20 ust. 1 RODO, w przypadku, gdy przetwarzanie danych odbywa się w sposób zautomatyzowany, na podstawie zgody osoby, lub w celu wykonywania umowy, podmiot danych ma prawo zażądać otrzymania tych danych w ustrukturyzowanej formie (w możliwym do odczytu maszynowego formacie) w celu ich przekazania innemu administratorowi danych. W zakres uprawnienia do przenoszenia danych wchodzi ponadto prawo do żądania, by to dotychczasowy administrator przesłał dane bezpośrednio innemu administratorowi. Warunkiem formułowania takiego żądana a jest jedynie, by takie przesłanie było technicznie możliwe.

Jak wskazano w preambule do Rozporządzenia (motyw 68), uprawnienie to ma na celu zwiększenie kontroli podmiotu danych nad dotyczącymi go danymi. Wydaje się przedmiotowe postanowienie może być istotne zwłaszcza w przypadku chęci zmiany usługodawcy dostarczającego usługi poczty elektronicznej lub administratora portalu społecznościowego.

 1. Zbieranie zgód

Co interesujące, RODO w sposób bardzo ograniczony odnosi się do zagadnień intertemporalnych i nie precyzuje, jak powinni zachowywać się administratorzy w okresie pomiędzy wejściem w życie Rozporządzenia (24/05/2016) a dniem rozpoczęcia jego stosowania (25/05/2018).

Wskazać należy, że zgodnie z art. 94 ust. 1 RODO, dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych zostaje uchylona z dniem 25 maja 2018 r. – co powoduje – w założeniu płynne – przejście pomiędzy porządkiem nią przewidzianym, a nową sytuacją prawną tworzoną za pomocą RODO.

Pozostałe regulacje w tym zakresie, również niezbyt obszerne, znalazły się w motywie 171 preambuły RODO. Wskazano w nim przede wszystkim, że po wejściu w życie RODO, administratorzy powinni w ciągu dwóch lat (a zatem, jak należy rozumieć, do 24 maja 2018 r.) dostosować wykonywane procesy przetwarzania danych osobowych do nowych przepisów. W konsekwencji, z dniem 25 maja 2018 r. obowiązkiem administratorów będzie stosowanie w sposób bezpośredni do przepisów RODO.

W odniesieniu do przetwarzania mającego za podstawę zgodę podmiotu danych (a zatem przetwarzania opartego, w polskim porządku prawnym, o art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych – uodo), nie jest konieczne uzyskiwanie takiej zgody na nowo po 25 maja 2018 r. – pod warunkiem wszakże, że pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego Rozporządzenia.

W konsekwencji należy uznać, że takie przetwarzanie jest możliwe jeśli wyrażona zgoda może być zakwalifikowana jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt 11 RODO) oraz spełnia warunki określone w art. 7 – 9 RODO. W szczególności, zapytanie o zgodę powinno być sformułowane jasnym i prostym językiem i wyodrębnione od pozostałych treści zawartych w określonym komunikacie. Jeżeli warunki te nie zostały spełnione, administrator będzie zatem zmuszony do ponownego uzyskania zgody – w sposób zgodny z przepisami Rozporządzenia – lub do zaprzestania przetwarzania danych[1].

 1. Przetwarzanie danych na zlecenie

Art. 28 RODO reguluje zagadnienie powierzenia przetwarzania danych osobowych innemu podmiotowi. W szczególności, powierzenie może mieć miejsce jedynie na podstawie umowy (lub analogicznego instrumentu prawnego) oraz zawierać elementy enumeratywnie wymienione w RODO.

Warto mieć na uwadze, że RODO w sposób wyraźny nakazuje zawieranie takich umów jedynie z podmiotami, dającymi gwarancję należytego spełnienia wszelkich wymogów RODO i ochrony praw podmiotów danych – co w porównaniu z dość skąpą regulacją tego zagadnienia w uodo wydaje się dość istotną zmianą.

Na podkreślenie zasługuje także fakt, że podmiot przetwarzający dane na zlecenie obciążony został w RODO daleko idącą odpowiedzialnością: zgodnie z art. 28 ust. 9 RODO, w przypadku przekroczenia przez procesora granic jego upoważnienia do przetwarzania danych, określonych w umowie z administratorem, ponosi on odpowiedzialność jak administrator danych. De facto zatem odpowiedzialność procesora za przestrzeganie przepisów RODO uzyskuje charakter bezpośredni.

 1. Dalsze powierzenie przetwarzania danych

Art. 28 RODO odnosi się także do kwestii podpowierzenia – na co warto zwrócić uwagę także z tego względu, że ta instytucja w ogóle nie została uregulowana w uodo i jest obecnie stosowna w oparciu o pewne przyjęte praktyki, jednak bez konkretnej podstawy prawnej.

Zgodnie z art. 28 ust. 2 RODO dalsze powierzenie przetwarzania danych osobowych przez procesora jest dopuszczalne jedynie pod warunkiem uprzedniej zgody administratora na takie podpowierzenie, wyrażonej w formie pisemnej. Zgoda ta powinna mieć charakter szczegółowy (a zatem, jak należy rozumieć, powinna wskazywać konkretny podmiot, któremu zostaną powierzone dane, a także zakres tego powierzenia) – lub być ogólna. W przypadku ogólnej zgody, unijny ustawodawca przewiduje jednak obowiązek informowania administratora przez procesora o każdym podmiocie przetwarzającym dane na zlecenie procesora i to w taki sposób, by administrator miał możliwość sprzeciwienia się takiemu podpowierzeniu. W efekcie zatem administrator powinien posiadać pełną wiedzę na temat tego, jakiemu podmiotowi i w jakim zakresie, zostały powierzone dane, które przetwarza.

 1. Obowiązek informowania o naruszeniach

Istotnym obowiązkiem administratorów, wprowadzonych RODO w jego art. 33, jest obowiązek zgłaszania naruszeń ochrony danych osobowych właściwemu organowi nadzorczemu. O takim naruszeniu administrator powinien informować bez zbędnej zwłoki – nie później jednak niż w terminie 72 godzin.

Obowiązek takiego zgłoszenia jest wyłączony jedynie w przypadku, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Ocena ta będzie wprawdzie należeć do administratora, jednak zaniechanie zgłoszenia, jeśli organ uzna, że takie zgłoszenie było w danym przypadku wymagane, może skutkować nałożeniem surowej kary finansowej na podstawie art. 83 ust. 4 pkt a) RODO (zob. niżej).

Niezależnie od zgłoszenia naruszenia organowi, administrator powinien poinformować o nim także podmiot danych, jeżeli zaistniałe naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności takiej osoby (art. 34 ust. 1 RODO). W odniesieniu do tego zawiadomienia RODO przewiduje jednak przypadki, w których obowiązek jego dokonania jest wyłączony – w szczególności gdy administrator wdroży odpowiednie techniczne i organizacyjne środki zabezpieczające, prowadzące do wyeliminowania wysokiego ryzyka naruszenia praw lub wolności podmiotu danych. Jeżeli natomiast zawiadomienie wymagałoby niewspółmiernie dużego wysiłku, administrator powinien wydać publiczny komunikat, informujący o naruszeniu.

Warto nadmienić w tym miejscu, że zbliżone obowiązki w tym zakresie ciążyły dotychczas na dostawcach publicznie dostępnych usług łączności elektronicznej (w szczególności operatorach telekomunikacyjnych), dla których termin na zgłoszenie naruszeń w zakresie ochrony danych osobowych wynosi 24 godziny[2]. Dotychczasowa praktyka organów odnosząca się do tego obowiązku będzie zatem mogła stanowić być może wskazówkę określającą kształt, jaki przyjmie stosowanie art. 33 RODO.

 1. Sankcje finansowe

W motywie 148 preambuły RODO wskazano, że aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne. W konsekwencji, w art. 83 RODO wskazano na naruszenia RODO podlegające surowym karom pieniężnym. W zależności od rodzaju naruszenia, takie sankcje administracyjne wynosić mają do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego lub o 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Jednocześnie wydaje się, że na gruncie RODO nałożenie kary przez organ nadzorczy nie jest obligatoryjne. Zgodnie z art. 83 ust. 2 RODO, wskazuje się bowiem przesłanki, które organ powinien wziąć pod uwagę, oceniając, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość,  z czego wynika, że nałożenie kary jest dla organu fakultatywne.. Do przesłanek, o których mowa w powyższym przepisie, należy w szczególności charakter i waga naruszenia, środki podjęte przez administratora w celu ograniczenia jego skutków, jak również czy i w jakim zakresie naruszenie zostało zgłoszone do organu.

Warto też nadmienić, że art. 84 RODO nakłada na państwa członkowskie obowiązek wprowadzenia także sankcji innych, niż przewidziane w RODO, przy czym powinny one być skuteczne, proporcjonalne i odstraszające.

Wobec niewielkiej precyzji wskazanych przepisów, a także zważywszy, że dotychczas nie zostały opracowane nawet projekty odpowiednich przepisów krajowych w tym zakresie, o faktycznym kształcie procesu nakładania administracyjnych kar pieniężnych, administratorzy przekonają się zapewne dopiero w przyszłości.

Podsumowanie

W niniejszym artykule, jak również we wpisie z 5 sierpnia br., staraliśmy się zasygnalizować najważniejsze zmiany, jakie w systemie ochrony danych osobowych zostaną wprowadzone RODO. Sposób stosowania nowych przepisów będzie się dopiero kształtował – dlatego w kolejnym wpisie wskażemy na najważniejsze kwestie, budzące wątpliwości interpretacyjne, na które administratorzy danych osobowych powinni zwrócić szczególną uwagę.


[1] Szersze rozważania w zakresie zagadnień intertemporalnych zamieścimy w kolejnym wpisie cyklu.

[2] Por. art. 2 Rozporządzenia Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 roku w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej.

Branża:

Dane osobowe

Powrót

Komentarze (0)eleven − three =