Aktualności

W dniu 27 kwietnia 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady UE w sprawie ochrony danych osobowych (pełna w podsumowaniu artykułu, dalej jako RODO). W związku z tym, Polska jako członek UE zobligowana została do dostosowania swoich przepisów z tego zakresu do regulacji europejskiej. Wobec tego, zmiany w zakresie przetwarzania danych osobowych zostają wprowadzone wraz z dniem 25 maja 2018 r. Warto zatem przedstawić kilka praktycznych aspektów wprowadzenia nowelizacji, istotnych z punktu widzenia małych i średnich przedsiębiorstw. Należy jednak zastrzec, że zostaną one przedstawione w sposób syntetyczny, uwzględniający jedynie podstawowe zagadnienia.

 

Przez wzgląd na skalę wprowadzonych zmian, zostaną one omówione w kilku artykułach.

 

 

1. Definicje

 

W pierwszej kolejności niezbędne jest zdefiniowanie, czym są dane osobowe i ich przetwarzanie.

 

Dane osobowe to wszelkie informacje o konkretnej lub możliwej do zidentyfikowania osobie fizycznej, np. imię, nazwisko, PESEL, adres zamieszkania, wzrost, waga itp. Tym samym, ochrona danych osobowych nie dotyczy informacji o przedsiębiorcach, spółkach, organach administracji itp. Jeżeli zatem dany podmiot świadczy daną usługę na rzecz podmiotu niebędącego osobą fizyczną, to ustawa w tym zakresie nie będzie obowiązywała.

 

Natomiast przetwarzanie danych osobowych oznacza dokonywanie jakichkolwiek operacji na nich, np. gromadzenie, pobieranie, przeglądanie, wykorzystywanie, przekazywanie, modyfikowanie itp. Jest to szeroko zakrojone ujęcie, zatem przyjąć należy, że ustawa dotyczy każdej czynności, w której pojawiają się dane osobowe, takich jak: prowadzenie rozmów kwalifikacyjnych, tworzenie bazy klientów indywidualnych czy zestawienia danych kadrowych, np. wykaz wykorzystanych dni urlopu. Przetwarzanie danych osobowych jest możliwe tylko w ustawowo określonych przypadkach, przykładowo:

- osoba wyraziła na to zgodę (np. proces rekrutacyjny),

- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest dana osoba (np. umowa o pracę),

- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów.

 

Ważnym terminem do zdefiniowania jest również administrator danych osobowych. Zgodnie z RODO, jest to osoba fizyczna lub prawna (np. spółka handlowa), jednostka organizacyjna lub organ administracji, która decyduje o celach i środkach przetwarzania danych osobowych. W przypadku mniejszych przedsiębiorstw będzie to prezes spółki lub osoba wykonująca działalność gospodarczą (potocznie - szef firmy).

 

Należy również dodać, że zmiany w ochronie danych osobowych są przeprowadzane w dość nietypowy sposób. Nowelizacja ustawy w istocie zawiera głównie regulacje dotyczące funkcjonowania organu odpowiedzialnego za ochronę danych osobowych, postępowanie kontrolne i ewentualne sankcje za naruszenia ustawy. Natomiast główne przepisy, wprowadzające definicje, zasady przetwarzania danych osobowych itp. zostały określone w rozporządzeniu europejskim (RODO). Niezbędne jest zatem korzystanie z obu tych aktów prawnych jednocześnie.

 

 

2. Zmiana organu odpowiedzialnego za ochronę danych osobowych.

 

W porządku prawnym obowiązującym przed nowelizacją, organem powołanym w celu sprawowania nadzoru nad bezpieczeństwem danych był Generalny Inspektor Ochrony Danych Osobowych. Z racji tego, że nie posiadał on w praktyce żadnych środków prawnych dyscyplinujących podmioty odpowiedzialne za przetwarzanie danych osobowych (mógł jedynie wezwać do usunięcia naruszeń ustawy), nazywany był niekiedy „bezzębnym organem”. Wraz z zmianą przepisów został powołany nowy organ - Prezes Urzędu Ochrony Danych Osobowych. Dysponuje on znacznie bardziej doniosłymi uprawnieniniami. Po pierwsze, wprowadzono nowe zasady przeprowadzania postępowania kontrolnego, mającego na celu weryfikację prawidłowości przetwarzania danych. Będą one zbliżone do uprawnień organów skarbowych, tj. wyznaczony inspektor ma prawo wejścia do lokalu, przeglądania dokumentacji, żądania udzielenia pisemnych wyjaśnień, korzystania z pomocy Policji itp. Po drugie natomiast, w przypadku wykrycia nieprawidłowości Urząd jest uprawniony do nakładania finansowych kar administracyjnych – w wysokościach określonych w RODO, tj. do 20.000.000 € lub 4% obrotu przedsiębiorstwa. Warto dodać, że w przypadku, gdy nie doszło do istotnych naruszeń przepisów, Prezes będzie może poprzestać na upomnieniu.

 

Jednak zgodnie z zapewnieniami osób zatrudnionych w organach ochrony danych osobowych, w pierwszych latach obowiązywania nowelizacji kontroli mogą się spodziewać jedynie duże podmioty, odpowiedzialne np. za outsourcing pracowniczy lub jednostki administracji publicznej. Ponadto, w tym okresie organ ma ponoć korzystać z upomnień i wezwania do usunięcia stanu naruszenia. Tym samym, przynajmniej początkowo mali i średni przedsiębiorcy nie powinni obawiać się zmian ustawy, jednak warto mieć na uwadze, że stanowisko to jest oparte jedynie na ustnych deklaracjach pracowników, a nie na oficjalnym dokumencie państwowym.

 

 

3. Inspektor ochrony danych

 

Inspektor ochrony danych to nowy podmiot, zastępuje dotychczasowego administratora bezpieczeństwa informacji. Podobnie jak on, inspektor powoływany jest przez administratora danych osobowych w celu zapewnienia właściwego poziomu ochrony przetwarzanych danych. Powinien on cechować się szeroką wiedzą specjalistyczną, zarówno w zakresie prawnym, organizacyjnym, jak i z zakresu technologii IT. Warto podkreślić, że w podmiotach prywatnoprawnych (np. spółkach) jego obecność jest nieobowiązkowa.

 

Współpraca pomiędzy administratorem a inspektorem może przybrać formę umowy o pracę lub umowy cywilno-prawnej. Wskazać jednak należy, że inspektor przy wykonywaniu swoich obowiązków powinien być niezależny od poleceń służbowych i nie powinien on otrzymywać wiążących instrukcji co do powierzonych mu zadań. Inspektor powinien podlegać bezpośrednio najwyższemu kierownictwu w danym podmiocie.

 

 

4. Obowiązek notyfikacji

 

Nowy obowiązek związany z przetwarzaniem danych osobowych wprowadza art. 33 RODO. Zgodnie z nim administrator danych jest zobowiązany do zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych każdego przypadku naruszenia ochrony danych osobowych, np. ich wycieku do podmiotu nieuprawnionego. Powinien dokonać tego bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin od zaobserwowania naruszenia. Ponadto administrator powinien również poinformować o takim przypadku osobę, której dane dotyczą. RODO określa niezbędne elementy takiego zgłoszenia, powinno ono zawierać m.in. opis naruszenia ochrony danych osobowych, możliwe konsekwencje naruszenia oraz podjęte środki zaradcze.

 

Rozporządzenie wprowadza wyjątek od obowiązku notyfikacji – zgłoszenie nie musi być dokonane, jeżeli „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.”. Póki co brak publikacji na temat, jak należy intepretować te okoliczność, choć można podejrzewać, że dotyczą one tych przypadków, gdy naruszenie nie doprowadzi do poważnych skutków, np. nieuprawniony pracownik omyłkowo otrzymał maila z danymi, po czym natychmiastowo go usunął.

 

Jeżeli obowiązek notyfikacji nie zostanie zachowany, Prezes Urzędu będzie mógł nałożyć karę finansową do 10.000.000 € lub udzielić upomnienia. Póki co ciężko przewidzieć, jak będzie wyglądało praktyczne zastosowanie tych przepisów, jednak odradzić należy bagatelizowanie przypadków naruszenia ochrony danych osobowych.

 

Bartosz Szrama, aplikant radcowski

Łódź, dnia 17 maja 2018 roku

Podstawa prawna:

1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2016.922),
2. Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
3. Projekt ustawy zmieniającej ustawę o ochronie danych osobowych z dnia 12 września 2017 r.
4. Projekt ustawy wprowadzającej ustawę o ochronie danych osobowych z dnia 12 września 2017 r.