ABI EXPERT
Wydanie: październik – grudzień 2018
Chociaż od początku obowiązywania rodo minęło już prawie pół roku, to nadal pojawiają się wątpliwości co do jego interpretacji, nawet w prostych zdawałoby się przypadkach. Większość niewłaściwych interpretacji nie ma poważniejszych konsekwencji, jednakże czasami skutki nadinterpretacji są daleko idące, czy to w sferze zawodowej, czy prywatnej.
Wspomniane skutki z całą pewnością pociągają za sobą dodatkowe obciążenia dla przedsiębiorstw. Poniżej przedstawiono najciekawsze przypadki z ostatnich dni.
Obowiązek informacyjny
Instytucją występującą w Rodo, która bardzo często powoduje wątpliwości, jest obowiązek informacyjny. Rozpowszechnił się pogląd, że musi być on zawsze realizowany niezwłocznie po pozyskaniu danych oraz w całości i nie ma od tego żadnych odstępstw. W tym miejscu należy wspomnieć o kilku bardzo ważnych aspektach. Przede wszystkim obowiązek musi być realizowany od razu tylko w przypadku zbierania danych od osoby, której dane dotyczą. W sytuacji, w której dane osobowe pozyskujemy z innego źródła, obowiązek ten należy spełnić w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Zatem w większości przypadków, jeżeli dane osobowe nie są pozyskiwane bezpośrednio od osoby, obowiązek informacyjny można spełnić przy pierwszym kontakcie z osobą.
Warto również wskazać, że niezależnie od źródła, z którego pozyskujemy dane osobowe, informacje o przetwarzaniu możemy podać etapowo, stosując tzw. warstwowy obowiązek informacyjny. Zgodnie z wytycznymi Grupy Roboczej art. 29 w sprawie przejrzystości zgodnie z Rozporządzeniem 679/2016/UE (WP 260): „36. (…) grupa robocza art. 29 zaleca, aby pierwsza warstwa/procedura zawierała szczegóły dotyczące celów przetwarzania, tożsamość administratora oraz opis praw osoby, której dane dotyczą. Dodatkowo (…) pierwsza warstwa/procedura powinna również zawierać informacje o przetwarzaniu, które ma największy wpływ na osobę, której dane dotyczą oraz przetwarzaniu, które mogłoby ją zaskoczyć”. Tak więc w praktyce istnieje możliwość znacznego skrócenia treści informacji, której dalsza część może być przekazana, zależnie od okoliczności, np. w treści wiadomości elektronicznej czy pod konkretnym adresem internetowym.
Podstawy prawne przetwarzania
Innym często spotykanym problemem jest nadużywanie zgody osoby, której dane dotyczą, jako podstawy prawnej przetwarzania danych. Mimo że wszystkie podstawy określone w art. 6 ust. 1 rodo są równoważne, to jednak istnieje tendencja uzyskiwania zgody osoby wszędzie tam, gdzie jest to wykonalne.
W dużym stopniu jest to zrozumiałe. Posiadanie bowiem prawidłowo zebranej zgody zasadniczo usuwa wszelkie wątpliwości, co do legalności przetwarzania (podstawy prawnej), a mając na uwadze ryzyka, jakie Rodo wprowadziło do obrotu prawnego wielu administratorów danych chce czuć się bezpiecznie i minimalizować ryzyka prawne. W niektórych sytuacjach może to również powodować problemy w przyszłości.
Proporcjonalność
Innym bardzo ciekawym przykładem absurdu przez duże „A” jest stanowisko Prezesa UODO, zgodnie z którym: „Do oznaczania stron postępowania nie powinno się wykorzystywać numeru PESEL” (https:// uodo.gov.pl/pl/138/561 [dostęp: 6.11.208]). W stanowisku tym Prezes Urzędu przypomina co prawda, że: „dla prawidłowości postępowania prowadzonego przez właściwy organ administracji publicznej niezbędne jest zindywidualizowanie wszystkich stron postępowania poprzez wskazanie ich danych osobowych”, ale podkreśla, że: „w tym celu wystarczające jest wskazanie imienia, nazwiska i adresu zamieszkania”. Należy jednak zauważyć, że imię, nazwisko oraz adres zamieszkania nie zawsze wystarczają do jednoznacznej identyfikacji strony. Wystarczy, że ojciec i syn lub matka i córka noszą to samo imię. Ponadto na stronie Prezesa Urzędu napisano, że wyjątkiem jest postępowanie egzekucyjne w administracji.
Istnieją również inne wyjątki. Zgodnie z art. 54 ust. 1 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach zdrowotnych finansowanych ze środków publicznych (tekst jedn. DzU z 2018 r., poz. 1510 ze zm.): „dokumentem potwierdzającym prawo do świadczeń opieki zdrowotnej świadczeniobiorcy, o którym mowa w art. 2 ust. 1 pkt 2, jest decyzja wójta (burmistrza, prezydenta) gminy właściwej ze względu na miejsce zamieszkania świadczeniobiorcy, potwierdzająca to prawo. 2. Decyzja, o której mowa w ust. 1, powinna zawierać numer PESEL świadczeniobiorcy”. Pomijając już kwestię, że nie wskazano na wszystkie wyjątki, sam fakt zajmowania się taką sprawą jest niezrozumiały. Treść decyzji administracyjnych nie jest ogłaszana publicznie, a dostęp do niej mają wyłącznie strony postępowania.
[…]
Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
r. pr. Tomasz Osiej
Przemysław Sierzputowski
Jeśli jesteś zainteresowany naszą ofertą lub realizacją swojego projektu, napisz do nas wiadomość!
Omni Modo Sp. z o.o.
Adwokat. Ochroną danych osobowych i prawem nowych technologii zajmuje się od kilku lat. Doświadczenie zawodowe zdobywał w firmach z branży IT oraz zajmujących się konsultingiem i doradztwem prawym w tym zakresie. Posiada również doświadczenie w obsłudze korporacyjnej w zakresie compliance ze szczególnym uwzględnieniem zagadnień ochrony danych osobowych oraz ładu korporacyjnego.
Prawnik, absolwentka Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Jana Pawła II w Lublinie. Wiedzę pogłębiała m.in. podczas studiów podyplomowych Wykonywania funkcji Inspektora Ochrony Danych (INP PAN w Warszawie).
Od lat zajmuje się sprawami z zakresu prawa nowych technologii w szczególności prawem ochrony danych osobowych. Doświadczenie zawodowe zdobywała m.in. w Urzędzie Ochrony Danych Osobowych oraz Parlamencie Europejskim.
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży produkcyjnej oraz podmiotów publicznych. Ponadto, wspomaga IOD w pełnieniu funkcji. W obszarze jej szczególnych zainteresowań leży tematyka ochrony danych przy przetwarzaniu transgranicznym oraz transferu danych do państwa trzecich.
Radca prawny wpisany na listę radców prawnych prowadzoną przez Radę Okręgowej Izby Radców Prawnych w Kielcach, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Wiedzę pogłębiał podczas studiów podyplomowych Prawo Nowoczesnych Technologii (INP PAN w Warszawie) oraz Nowoczesne Usługi Biznesowe (UTH w Radomiu). Ukończył programy Summer Law School on Intellectual Property Law oraz Summer Law School on Business Law organizowane przez University of Minho w Bradze.
Specjalizuje się w prawie e-commerce, ochronie konsumentów oraz prawie ochrony danych osobowych. Doświadczenie zdobywał współtworząc i kierując działem prawnym wiodącego polskiego portalu internetowego z branży turystycznej oraz podczas pracy w kancelarii wyspecjalizowanej w prawie nowych technologii. Autor publikacji naukowych i popularnonaukowych z zakresu ochrony danych osobowych w tym „Komentarza do Ustawy z dnia 10 maja 2018 o ochronie danych osobowych” (współautorstwo i redakcja). Wykładowca Wyższej Szkoły Bankowej w Warszawie.
Adwokatka, absolwentka prawa Wydziale Prawa i Administracji i Ekonomii Uniwersytetu im. A. Mickiewicza w Poznaniu, a także Akademii L. Koźmińskiego w Warszawie na kierunku „Prawo Nowoczesnych Technologii”.
Specjalizuje się w zakresie ochrony danych osobowych, prawie nowych technologii, e-Commerce, a także prawie ubezpieczeń i prawie karnym. Pełniła także funkcję IODO w sektorze finansowym i ubezpieczeniowym. Od czasów studenckich angażuje się w wolontariat prawniczy (inicjatywy pro bono).
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży motoryzacyjnej i kosmetycznej oraz podmiotów publicznych. Posiada bogate doświadczenie w prowadzeniu całościowych audytów oraz wdrożeń z RODO, a także bieżącym doradztwie w zakresie przetwarzania danych osobowych.
Absolwent SWPS Uniwersytetu Humanistycznospołecznego w Warszawie na kierunku Prawo, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji (ISO 27001), student wydziału Informatyki w Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. W swojej pracy zawodowej specjalizuje się w zagadnieniach związanych z bezpieczeństwem informacji, cybersecurity oraz ochroną danych osobowych. Doświadczenie zawodowe zdobywał m.in. w spółce z branży IT, w której zbudował od podstaw dział bezpieczeństwa informacji. Przez lata współprowadził również spółkę z branży handlu zagranicznego, aktywnie wspierając Zarząd zarówno w aspektach biznesowych jak i prawnych. W okresie studiów aktywnie wspierał działalność uczelni jako członek studenckiej poradni prawnej. Od 2019 roku współpracuje z Omni Modo w zakresie audytów bezpieczeństwa informacji, audytów ochrony danych osobowych oraz opracowywania i wdrażania procedur bezpieczeństwa.
Absolwent Akademii Leona Koźmińskiego na kierunku „Zarządzanie procesowe”. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001. Specjalizuje się w zagadnieniach dotyczących bezpieczeństwa informacji, wymogów techniczno-organizacyjnych wynikających z przepisów RODO w zakresie bezpieczeństwa oraz przetwarzania danych osobowych, analizy ryzyka, zarządzania procesami i projektami. Doświadczenie zawodowe zdobywał w międzynarodowej instytucji finansowej. Od 2016 roku związany z Omni Modo. Posiada długoletnie doświadczenie w zakresie zarządzania, realizacji projektów (w tym zapewniających zgodność z obowiązującymi przepisami prawa). Przeprowadza audyty, szkolenia, opracowuje i wdraża dokumentację niezbędną do osiągnięcia celów realizowanych procesów, zgodności z wymogami organizacji, wdrażanych systemów zarządzania, jak również przepisów prawa.
Radca prawny, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie.
Zajmuje się sprawami z zakresu prawa ochrony danych osobowych, szeroko pojętego prawa cywilnego, w szczególności prawa zobowiązań, prawa gospodarczego oraz prawa pracy. Doświadczenie zawodowe zdobywał w renomowanych kancelariach radców prawnych, a także w kancelarii notarialnej.
W Omni Modo, do jego obowiązków należy bieżące doradztwo na rzecz klientów, wsparcie IOD, przeprowadzanie audytów zgodności z RODO oraz szkoleń. Odpowiada m.in. za obsługę klientów z branży energetycznej .