Reforma ochrony danych osobowych to pytania, problemy, wątpliwości. Odpowiadamy na najczęstsze z nich.
Problem 1. Jak ustalić, które naruszenie ochrony danych należy zgłosić?

W RODO został wprowadzony nowy dla większości polskich przedsiębiorców i instytucji obowiązek zgłaszania do organu nadzorczego naruszeń ochrony danych osobowych, np. wycieku. Nie trzeba tego robić tylko wówczas, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Rzecz w tym, że przedsiębiorca nie zawsze może być tego pewien, np. czy dane zdarzenie spowodowało wyciek danych. A na zgłoszenie naruszenia do UODO ma zaledwie 72 godziny. Czy można zatem zwrócić się do organu nadzorczego o pomoc w ocenie, czy dane zdarzenie jest naruszeniem ochrony danych osobowych w rozumieniu RODO?

WYJAŚNIENIE
Przedsiębiorcy sami będą musieli dokonać oceny, jaki charakter ma dane naruszenie. Urząd uważa, że nie ma uprawnień, by konsultować takie kwestie z administratorem danych. To przedsiębiorca musi ocenić, czy ma obowiązek zgłoszenia danego zdarzenia.
Na administratorach podejmujących decyzję ciąży zatem ogromna odpowiedzialność. Zwłaszcza że za niezgłoszenie informacji o wycieku danych w sytuacji, gdy okaże się ono konieczne, prezes UODO może nałożyć sankcje, w tym karę finansową.
OCENA EKSPERTA
dr Edyta Bielak-Jomaa generalny inspektor ochrony danych osobowych: Artykuł 4 pkt 12 RODO stanowi, że naruszenie ochrony danych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Pomocne w ocenie naruszeń mogą być także wyjaśnienia zawarte w Wytycznych Grupy Roboczej art. 29 w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/670 przyjętych 3 października 2017 r. Zatem administrator, dokonując oceny danego zdarzenia, będzie mógł się nimi posiłkować. GIODO nie jest zaś uprawniony, by konsultować zaistniałe incydenty z administratorem. RODO określa, że zgłoszenie naruszenia ma nastąpić niezwłocznie, jednak nie później niż w ciągu 72 godzin od wykrycia. Ten termin jest wystarczająco długi, by w większości przypadków przeanalizować, czy faktycznie doszło do naruszenia, a jeśli tak, to jakie są lub mogą być jego skutki i jakie należy podjąć działania zaradcze. Wyjątkowo administrator może zgłosić naruszenie po upływie 72 godzin. Jednak wówczas musi przesłać również wyjaśnienie przyczyn opóźnienia. Należy pamiętać, że działania związane z naruszeniem ochrony danych powinny być podejmowane szybko. Chodzi o to, by w jak najkrótszym czasie wdrożyć rozwiązania zabezpieczające, by możliwie szybko ograniczyć skutki np. wycieku danych, zabezpieczyć inne dane oraz podjąć odpowiednie działania naprawcze, a także wówczas, gdy to konieczne, poinformować o zaistniałej sytuacji osoby, których dane dotyczą.
Problem 2. Co z certyfikatami RODO w przetargach?

RODO i polska ustawa o ochronie danych osobowych wprowadzają możliwość uzyskania przez przedsiębiorcę specjalnego certyfikatu poświadczającego, że zastosowane procedury przetwarzania danych spełniają wymogi określone w unijnym rozporządzeniu o ochronie danych osobowych (RODO). Nie będzie to dokument obowiązkowy, jego uzyskanie będzie całkowicie dobrowolne. Powstaje pytanie: czy w konkursach o udzielenie zamówienia publicznego mogą być wymagane? Czy ci, którzy uzyskają je wcześniej, mogą mieć przewagę w przetargach?

WYJAŚNIENIE
Eksperci są podzieleni. Niektórzy twierdzą, że certyfikat nie powinien mieć wpływu na sytuację podmiotu startującego w przetargu, ale są i tacy, którzy uważają, że brak tego dokumentu może być nawet podstawą wykluczenia z procedury. Ostatecznie Urząd Zamówień Publicznych przedstawił nam interpretację, że obecnie obowiązujące przepisy pozwalają wykluczyć z przetargu firmę, która nie będzie miała certyfikatu, przy czym będzie to możliwe tylko w tych sytuacjach, gdy przedmiot zamówienia wiąże się z przetwarzaniem danych osobowych. I do tej interpretacji przychyla się również resort cyfryzacji. Problem w tym, że pozyskanie certyfikatu może stanowić potencjalny kłopot dla wielu firm, bowiem zdobycie go – przynajmniej w pierwszym miesiącach obowiązywania RODO – nie będzie proste.
Certyfikaty będą mogli wydawać prezes UODO i prywatne podmioty akredytowane przez Polskie Centrum Akredytacji. Niestety na certyfikat od UODO trzeba będzie poczekać co najmniej trzy miesiące – tyle czasu będzie miał bowiem urząd na rozpatrzenie kompletnego wniosku. Z kolei akredytacja podmiotów prywatnych uprawnionych do certyfikacji wciąż nie ruszyła. W efekcie ten, komu uda się szybko otrzymać certyfikat, może uzyskać dużą przewagę nad konkurencją startującą w zamówieniach publicznych. Zatem sprawa może wywołać wiele zamieszania, zwłaszcza w pierwszym etapie, gdy ci, którzy złożyli oferty, a nie zdążyli uzyskać certyfikatu z przyczyn od siebie niezależnych, będą składać odwołania. Wiele zależy od tego, jak szybko certyfikaty wydawać będzie UODO oraz jak wiele podmiotów akredytowanych będzie świadczyć tę usługę i za jaką stawkę.
OCENA EKSPERTA
dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych: Wspólnie z Urzędem Zamówień Publicznych przeanalizowaliśmy tematykę certyfikacji w kontekście zamówień publicznych. W ocenie UZP, z którą nie chcielibyśmy polemizować, treść art. 22 i art. 91 ust. 1 ustawy – Prawo zamówień publicznych prowadzi do wniosku, że certyfikat będzie mógł być warunkiem udziału w postępowaniu – o ile istnieje związek między tym kryterium a przedmiotem zamówienia. Związek taki występuje, gdy przedmiot zamówienia wiąże się z przetwarzaniem danych osobowych, np. dotyczy tworzenia systemów informatycznych służących przetwarzaniu danych osobowych. Nie będzie np. występował, gdy przedmiotem zamówienia jest stworzenie mebli. W przypadku braku takiego związku stawianie wymogu posiadania certyfikatu w ocenie UZP byłoby nadmierne i ograniczające konkurencję.
Problem 3. Czy sołtysi podlegają RODO?

Sołtysi – działający jako jednostki pomocnicze gmin – zbierają wiele danych osobowych mieszkańców. Według ekspertów to, czy podlegają RODO, zależy od ich kompetencji, upoważnień i samodzielności. W ocenie GIODO nie można przesądzić, czy sołtys jest, czy nie jest samodzielnym administratorem danych osobowych, bo istotny jest cel, w jakim będzie zbierał i przetwarzał te informacje.

WYJAŚNIENIE
GIODO nie wyklucza, że w pewnych przypadkach sołectwo może być administratorem. Podzieleni są eksperci. Dr Mirosław Gumularz, radca prawny, uważa, że sołtys jest samodzielnym IOD, bo ma interes w przetwarzaniu danych, a unijne przepisy (art. 6 lit. c i e) wskazują, że jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze lub do wykonania zadania realizowanego w interesie publicznym. W ocenie adwokata Pawła Litwińskiego z ustawy o samorządzie gminnym wynika z kolei, że do załatwiania indywidualnych spraw z zakresu administracji publicznej rada gminy może upoważnić również organ wykonawczy jednostki pomocniczej, czyli sołtysa. W takiej interpretacji sołtys podlega pod przepisy RODO. Innego zdania jest radca prawny Adam Lewiński, zastępca GIODO w latach 2006–2016. Uważa on, że sołtys działa z ramienia urzędu gminy i to ona jest administratorem danych.
dr Maciej Kawecki dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych: Sołtys może być administratorem danych osobowych, bo ma swoje własne zadania, cele i jest organem samorządowym. Powinien – w jakimś zakresie – mieć inspektora ochrony danych osobowych. Ale UE wyciągnęła do nas pomocną dłoń i jest możliwość powołania jednego inspektora dla kilku gmin czy powiatów. Zakładam, że na terenie jednej gminy możliwe jest, by kilku sołtysów powołało wspólnego IOD, np. w ramach centrum usług wspólnych
STANOWISKO URZĘDU
GIODO z 23 kwietnia 2018 r.
Biorąc pod uwagę definicję administratora zawartą w art. 4 pkt 7 RODO, dla ustalenia, czy dany podmiot można uznać za administratora, istotna będzie jego samodzielność w podejmowaniu decyzji o celach i sposobach przetwarzania danych.
W szeroko rozumianym sektorze publicznym podmiot będący administratorem danych może być wskazany w konkretnym przepisie prawa, jednak najczęściej ta rola wynika z charakteru, kompetencji lub/i zakresu zadań publicznych, jakie przepisy te mu przypisują. Wskazuje na to Grupa Robocza art. 29 w opinii 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”. Jednocześnie w dokumencie tym podkreśla się, że konkretne stosowanie pojęcia administratora staje się obecnie coraz bardziej złożone ze względu na zróżnicowanie form prawnych oraz organizacyjnych różnych podmiotów, które faktycznie decydują o celach i środkach przetwarzania.
Jeśli chodzi o sołectwo, to pamiętać należy, że jest ono jedynie jednostką pomocniczą gminy. Zgodnie z art. 35 ustawy o samorządzie gminnym rada gminy w odrębnym statucie określa organizację i zakres działania jednostki pomocniczej.
Problem 4. Zgoda nie może być wymuszona. Ale czy można oferować za nią rabaty?

Zgoda na przetwarzanie danych osobowych, aby była ważna, musi spełniać określone przez RODO wymogi, m.in. powinna być dobrowolna. Dotyczy to także zgody na przetwarzanie danych osobowych w celach marketingowych. Wiele firm podpisując umowy z klientami, zachęca ich do udzielenia dodatkowej zgody na przetwarzanie danych w celach marketingowych, oferując im dodatkowy rabat w wysokości np. 5–10 zł miesięcznie. Czy tego typu działania mogą zostać uznane za niezgodne z RODO, a wyrażona w ten sposób zgoda – za wymuszoną?

WYJAŚNIENIE
Okazuje się, że organ nadzorczy nie widzi w nic złego w tego typu postępowaniu. Jego zdaniem oferowanie rabatu w zamian za zgodę na przetwarzanie danych marketingowych nie musi wcale oznaczać naruszenia przepisów rozporządzenia RODO. Ale uwaga! Jej brak nie może się wiązać z istotnymi, negatywnymi dla klienta skutkami, np. obniżeniem jakości usługi.
STANOWISKO URZĘDU
GIODO z 22 marca 2018 r.
W takich sytuacjach nie należy się doszukiwać naruszeń prawa. Warunkiem jest jednak, aby zgoda była wyrażona dobrowolnie, a klient był świadomy, na co dokładnie się godzi oraz był poinformowany, kto będzie rozporządzał jego danymi. Jeżeli administrator jest w stanie wykazać, że usługa obejmuje możliwość wycofania zgody bez negatywnych konsekwencji dla klienta, np. bez obniżenia jakości wykonania usługi na szkodę użytkownika, może to służyć do wykazania, że zgoda była dobrowolna. Należałoby przyjąć, że wycofanie zgody nie może powodować np. konieczności zwrócenia przyznanego, wykorzystanego już upustu, lecz może wiązać się z tym, że od tego momentu klient będzie obsługiwany na warunkach standardowych, a nie promocyjnych. Utraty udzielonego rabatu od chwili wycofania zgody nie można traktować jako negatywnej konsekwencji takiego postępowania.
WAŻNE
Wycofanie zgody przez klienta nie może być podstawą do odebrania wcześniej przyznanego rabatu
OCENA EKSPERTA
dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński, związany z Instytutem Allerhanda: Motyw 43 RODO mówi, że aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. W szczególności gdy administrator jest organem publicznym, ale nie tylko. Jak podkreśla europejski inspektor ochrony danych, z brakiem równowagi możemy bowiem mieć do czynienia nie tylko w sytuacji podległości czy wtedy, gdy administrator sprawuje władztwo publiczne, lecz także np. wówczas, gdy taka nierównowaga wynika z braku rozsądnej alternatywy dla danego świadczenia i tym samym wyrażenie zgody jest jedynym sposobem uzyskania dobra czy świadczenia posiadającego znaczenie dla osoby, której dane dotyczą. Jeśli jednak na rynku istnieje wielu dostawców tego samego dobra, którzy nie wymagają od klienta zgody na przetwarzanie danych osobowych w celach marketingowych, to należy przyjąć, że ma on dobrowolność wyboru usługi u innego dostawcy.
Problem 5. Czy sekretarka i informatyk mogą być inspektorem?

Zgodnie z nową ustawą administrator i podmiot przetwarzający dane osobowe są obowiązani do wyznaczenia inspektora ochrony danych. To osoba, która ma być punktem kontaktowym zarówno dla organu nadzorczego, jak i dla wszystkich osób, których dane dotyczą. Czy może to być sekretarka, której dołożymy zadań, albo informatyk, który do tej pory także zajmował się zabezpieczaniem danych? Na jakich zasadach zatrudnić inspektora?

WYJAŚNIENIE
RODO teoretycznie nie wyklucza tego, by inspektorem był pracownik firmy, np. sekretarka czy informatyk. I do tej pory w wielu firmach osoby te zajmowały się danymi osobowymi. Jednak czy we właściwy sposób? Jeśli teraz podczas kontroli okaże się, że nie – jednostce grożą kary.
Wymóg posiadania IOD nie oznacza od razu zatrudnienia nowej osoby, ale zastanowienia się, kto tę funkcję będzie pełnić. Inspektor musi bowiem mieć fachową wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych, w tym RODO. Zalecana jest wiedza biznesowa i sektorowa dotycząca działalności administratora. Powinien znać systemy informatyczne i zabezpieczenia chroniące przed wyciekiem danych, a w podmiotach publicznych – procedury administracyjne. Do 25 maja administrator bezpieczeństwa informacji musiał jedynie wiedzieć wszystko o ochronie danych osobowych w kontekście przepisów krajowej ustawy o danych. Teraz jego kwalifikacje muszą być szersze, dlatego w nowej ustawie jest określone, że osoba, która dotychczas zajmowała się w jednostce danymi osobowymi (tzw. ABI, czyli administrator bezpieczeństwa informacji), automatycznie staje się IOD jednak najdalej do 1 września 2018 r. Po tym terminie pracodawca musi dokonać powołania na nowo. Może więc zweryfikować, czy jest to osoba kompetentna do pełnienia funkcji zgodnie z wymogami RODO. Jeśli w firmie inspektora nie było – trzeba go wyznaczyć do 31 lipca tego roku.
Do 100 tys. zł – Tyle grozi za naruszenie obowiązków administratora w jednostce sektora finansów publicznych
Kolejna kwestia to niezależność inspektora. Ta sama osoba nie może być jednocześnie przetwarzającym dane i kontrolującym ten proces. Jego niezależność powinna być zagwarantowana w wewnętrznych regulaminach firmy, powinien on też podlegać bezpośrednio najwyższemu kierownictwu i być włączany we wszystkie procesy, w których przetwarzane są dane osobowe.
dr Maciej Kawecki dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych: IOD nie musi to być osoba zatrudniona na etat, może to być podmiot zewnętrzny albo pracownik administracyjny pełniący tę funkcje w części etatu. Ważne, by nie było konfliktu interesów. Nie można łączyć funkcji inspektora z funkcję kierowniczą. Inspektor nie może kontrolować samego siebie
STANOWISKO URZĘDU
GIODO z 10 lutego 2017 r.
Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu outsourcingu, na podstawie umowy o świadczenie usług. Mimo że również obecnie funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną, ustawa o ochronie danych osobowych nie zawiera przepisu wprost odnoszącego się do tego zagadnienia.
Podkreślenia wymaga jednak, że osoba wykonująca funkcję DPO (IOD) na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych.
Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów danych osobowych wskazuje, że funkcja DPO może być również pełniona na podstawie umowy o świadczenie usług zawartej nie tylko z osobą fizyczną, ale też innym podmiotem. W pracy zespołowej można bowiem połączyć indywidualne atuty i umiejętności poszczególnych osób tak, aby zapewnić wydajniejszą obsługę administratora danych. W takim przypadku konieczne jest jednak, aby każdy członek podmiotu sprawującego funkcję DPO spełniał wszystkie istotne wymogi wskazane w Sekcji 4 RODO oraz miał zapewnioną, wynikającą z tych przepisów ochronę. W celu zapewnienia przejrzystości prawnej i dobrej organizacji zalecany jest ponadto wyraźny podział zadań oraz wyznaczenie jednej osoby jako wiodącej osoby kontaktowej i osoby odpowiedzialnej za każdego klienta. Kwestie te powinny być jasno określone w umowie o świadczenie usług.
OCENA EKSPERTA
dr Marlena Sakowska-Baryła radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp. p. oraz redaktor naczelna „ABI Expert”: Wdrożenie RODO to bardziej projekt organizacyjny niż informatyczny. Kompletnie chybionym pomysłem jest podzielenie etatu np. informatykowi w taki sposób, aby przez cztery godziny wykonywał on obowiązki informatyka, a przez kolejne cztery inspektora. IOD wciąż będzie osoba, która tak naprawdę musiałaby kontrolować, oceniać i zgłaszać naruszenia powstałe w wyniku własnej pracy.
Problem 6. Co z odpowiedzialnością administratora po ataku hakerów?

Nie ma chyba tygodnia, aby nie pojawiła się wiadomość o atakach hakerów na systemy informatyczne przedsiębiorców, mających na celu kradzież danych osobowych czy wymuszenie okupu. Teraz ataków może być więcej, bo szantażyści mają kolejnego asa w rękawie – RODO, które podnosi drastycznie kary finansowe. Co więcej, zaatakowana firma może mieć problemy ze spełnieniem zobowiązań wobec kontrahentów. Czy przedsiębiorca też jest odpowiedzialny za wyciek danych, jeśli jego przyczyną jest atak hakerski, a nie niefrasobliwość pracowników? Jak postąpić, gdy szantażyści zażądają okupu? Płacić, licząc, że informacja nie dotrze do prezesa UODO, czy zgłaszać naruszenie? Czy firma ponosi odpowiedzialność z tytułu niewywiązania się z umów z kontrahentami, jeżeli przyczynił się do tego atak hakerski?

WYJAŚNIENIE
Z punktu widzenia RODO nie ma znaczenia, czy przedsiębiorca, który w myśl RODO jest administratorem danych osobowych, miał realną możliwość zapobieżenia wyciekowi danych, czy też jego powodem była nieroztropność pracownika (np. oddziału firmy z innego miasta). To administrator w myśl unijnego rozporządzenia ma zapewnić odpowiednią ochronę danych osobowych przetwarzanych w danym podmiocie. Eksperci przypominają jednak, że nie każdy wyciek musi skończyć się nałożeniem kary finansowej przez organ nadzoru – ważne jest to, jak firma była przygotowana pod kątem bezpieczeństwa (czy miała racjonalne systemy zabezpieczeń, czy pracownicy zostali przeszkoleni pod kątem dbania o bezpieczeństwo danych) oraz jakie działania podjęła w celu minimalizacji zagrożenia. Ponadto istnieją sposoby obrony przed karami umownymi za niewywiązanie się z umowy z kontrahentami. Należy jednak zadbać o odpowiednie klauzule w kontrakcie.
OCENY EKSPERTÓW
Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności: Rozporządzenie RODO to nie tylko przerzucanie papierów i zakup certyfikatów marki „kot w worku”. Przede wszystkim trzeba podjąć realne działania praktyczne. Cyberatak nie zwalnia firmy z odpowiedzialności za wyciek danych. W krajach zachodnich kary za takie naruszenia nie są niczym niezwykłym. Przecież to nie jest tak, że cyberataki biorą się znikąd. Zwykle są następstwami świadomych decyzji w odniesieniu do bezpieczeństwa i prywatności. Organy kontrolne krajów UE będą jednak rozpatrywały każdy przypadek osobno. Pod uwagę branych będzie wiele czynników, m.in: zakres wycieku, jego powód, skala, ale także rozmiar firmy czy instytucji oraz zastosowane środki ochronne. Sprawdzane będzie, czy sporządzono analizę ryzyka i zadbano o jej praktyczne wdrożenie (np. wybór rozwiązań technicznych, konfiguracji, projektu). Pod uwagę wzięty będzie też charakter cyberataku. Fakt wykrycia naruszenia danych oraz jego zgłoszenie do UODO jest obowiązkiem administratora. Organ kontrolny będzie brał pod uwagę takie okoliczności w charakterze okoliczności łagodzących. Tuszowanie naruszeń jest nie tylko etycznie złe, ale nie stanowi też strategii optymalnej. W tym celu przecież istnieje wysoki pułap kar.
Tomasz Zalewski, radca prawny, partner zarządzający w kancelarii Wierzbowski Eversheds Sutherland: Przedsiębiorcy może być trudno uwolnić się od odpowiedzialności za spowodowane cyberatakiem niewykonanie umowy z kontrahentami. Chyba że odpowiedzialność za takie wydarzenie zostanie umownie ograniczona, co jest dopuszczalne wyłącznie w obrocie B2B. Ograniczenie umowne może zostać wprowadzone albo poprzez uznanie ataku hakerskiego jako jednej z okoliczności siły wyższej, albo poprzez wyłączenie (lub ograniczenie, np. kwotowe) wprost odpowiedzialności kontraktowej z tytułu szkody spowodowanej takim atakiem. Wprowadzenie takich klauzul wymaga oczywiście zgody obu stron kontraktu. Warto zatem zatroszczyć się jednak o to, aby znalazły się w umowach.
Problem 7. Czy samozatrudniony działa w strukturze administratora? A może jest procesorem?

Wielu przedsiębiorców korzysta z usług samozatrudnionych, którzy wykonują zadania w ramach umowy o świadczenie usług. W praktyce niejednokrotnie wykonują swoje zadania jak etatowi pracownicy. Nierzadko przebywają stale na terenie firmy, mają swoje stanowisko pracy i zgadzają się na pewne zasady panujące w zakładzie. Jednak formalnie rzecz biorąc, prowadzą własną działalność gospodarczą i na koniec każdego miesiąca wystawiają fakturę za swoje usługi. Takie osoby mają nierzadko dostęp do danych osobowych przetwarzanych w firmie. Mowa tu np. o informatykach. Czy takie osoby w myśl RODO stoją na równi z pracownikami administratora, którzy przetwarzają dane w ramach jego działalności? A może powinni zawrzeć umowę powierzenia danych i stają się wówczas procesorami danych osobowych?

WYJAŚNIENIE
Zdaniem ekspertów mamy do czynienia z tą drugą sytuacją. Osoba prowadząca jednoosobową działalność gospodarczą stanowi bowiem odrębny podmiot. Z formalnego punktu widzenia dochodzi do przekazywania danych osobowych poza strukturę organizacyjną firmy, a więc z jednego podmiotu do drugiego. Samozatrudniony powinien zatem być uznany za podmiot przetwarzający (procesora). W takim przypadku konieczne staje się zawarcie z nim umowy powierzenia danych osobowych.
OCENA EKSPERTA
Witold Masionek, prawnik z zespołu RODO kancelarii KOLS: Osobę prowadzącą jednoosobową działalność gospodarczą łączy z administratorem danych stosunek współpracy, a nie stosunek podległości służbowej. Współpracownik jest odrębnym podmiotem - przedsiębiorcą, niewchodzącym w skład struktury organizacyjnej administratora danych osobowych.
Każdy przypadek współpracy należy rozważać indywidualnie pod kątem zakresu obowiązków, dostępu do danych osobowych oraz kwestii własności infrastruktury technicznej, z wykorzystaniem której współpracownik przetwarza dane osobowe w ramach wykonywania zleconych przez administratora zadań. Jednakże przy przekazywaniu danych osobowych poza strukturę organizacyjną jednego podmiotu – w tym przypadku administratora - wymagane jest zawieranie umów powierzenia danych osobowych, które legalizują taki transfer danych. W związku z tym ze współpracownikami powinno zawierać się umowy powierzenia przetwarzania danych osobowych i traktować ich jako procesorów. Jako przedsiębiorcy - podmioty profesjonalne - współpracownicy będą odpowiedzialni za naruszenia ochrony danych osobowych bądź na zasadach przewidzianych w przepisach prawa cywilnego, bądź na zasadach przewidzianych w umowie regulującej współpracę.
Inaczej będzie w przypadku osób zatrudnionych na umowę-zlecenie lub umowę o dzieło. Powinno się ich zaś traktować jak osoby włączone do struktur organizacyjnych administratora. Można więc takie osoby upoważnić do przetwarzania danych osobowych na zasadach analogicznych jak obowiązujące etatowych pracowników. Wówczas przetwarzają oni dane osobowe z polecenia administratora. A ten odpowiada bezpośrednio za ich ewentualne błędy. Przy czym może jednak żądać od takich osób pokrycia wynikłej z błędu szkody bądź na zasadach przewidzianych w przepisach prawa cywilnego, bądź na zasadach określonych w umowie.
WAŻNE
Samozatrudniony to odrębny podmiot – działający poza strukturą organizacyjną firmy
Problem 8. Jak odpowiednio zabezpieczyć dane?

RODO odchodzi od praktyki wskazywania konkretnych środków zabezpieczenia danych osobowych. Jakie zatem zabezpieczenia zastosować? Jak prezes UODO będzie oceniał, czy przedsiębiorca zastosował właściwe środki?

WYJAŚNIENIE
Jedną z charakterystycznych - i krytykowanych przez wielu - cech rozporządzenia RODO jest jego neutralność technologiczna. Oznacza to, że RODO odchodzi od praktyki wskazywania konkretnych środków zabezpieczenia danych. Wymienia jedynie przykładowe rozwiązania techniczne i organizacyjne, które mogą służyć zapewnieniu stopnia bezpieczeństwa odpowiadającego ryzyku. Są to m.in. szyfrowanie i pseudonimizacja (takie ich przechowywanie, aby w razie wycieku niemożliwe było zidentyfikowanie, kogo dotyczą; np. zamiast nazwiska można użyć liczby; lista nazwisk z liczbą powinna być wówczas przechowywana osobno). Generalny inspektor ochrony danych osobowych w odpowiedzi na nasze pytanie stwierdził, że administrator musi samodzielnie ocenić, czy wdrożone przez niego środki bezpieczeństwa są proporcjonalne do danych, jakie przetwarza, i jakie niebezpieczeństwo dla praw i wolności jednostki może powodować ich wyciek. W odpowiedzi na kolejne pytanie, jak będzie weryfikował, czy środki są odpowiednie – wyjaśnił, że będzie to każdorazowo przedmiotem indywidualnej oceny, zależnej od wielu czynników.
STANOWISKO URZĘDU
GIODO z 12 stycznia 2018 r.
Mali i średni przedsiębiorcy nie będą łagodniej traktowani w kontekście wykonywania obowiązków RODO. Pod uwagę brane będą przede wszystkim sposób przetwarzania danych czy też skala ewentualnych naruszeń. Ponadto przepisy RODO są sformułowane w sposób na tyle ogólny i elastyczny, że zakres obowiązków, które musi wypełnić dany podmiot, zależy głównie od tego, jakie dane i w jaki sposób przetwarza. To zaś często jest zależne od jego wielkości. Niemniej warto zauważyć, że kary to tylko jeden z instrumentów, który ma do dyspozycji GIODO w celu zapewnienia stosowania nowego prawa. RODO zawiera bowiem całą paletę różnych rozwiązań służących wzmocnieniu instytucji ochrony danych osobowych obywateli, które powinny być umiejętnie zastosowane. Przykładowo należą do nich takie uprawnienia, jak: wydawanie ostrzeżeń administratorowi danych, udzielanie upomnień czy też nakazanie określonego zachowania, takiego jak spełnienie żądania osoby, której dane dotyczą.
W RODO nie znajdziemy podpowiedzi, jakie działania należy podjąć, aby takie ryzyko ocenić, ani żadnej metodyki w tym zakresie. RODO stanowi jednak, że przy ocenie ryzyka i ustanawianiu zabezpieczeń minimalizujących to ryzyko należy uwzględnić stan wiedzy technicznej, koszt wdrażania, a także skutki, jak zidentyfikowane zagrożenia mogą wpływać na naruszenie praw i wolność osób, których dane są przetwarzane.
Uwzględnienie kontekstu przetwarzania danych to niezbędny element podejścia opartego na ryzyku. Tylko pełne informacje o kontekście użycia danej informacji pozwolą na rzetelną ocenę skutków związanych z ich brakiem, przekłamaniem lub nieuprawnionym ujawnieniem. Kontekst to również czynniki, które mogą spowodować utratę, nieuprawnione wykorzystanie lub brak dostępu do przetwarzanych danych.
Dla ułatwienia przyjęcia właściwych rozwiązań w tym zakresie GIODO przygotował dwuczęściowy poradnik, który jest dostępny na stronie internetowej urzędu>>
Problem 9. Przetwarzając dane osobowe w zatrudnieniu, zastosujemy RODO czy surowszy kodeks pracy?

W projekcie ustawy dostosowującej polskie przepisy do RODO (projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679) przewidziano m.in. zmiany w kodeksie pracy (k.p.). Proponuje się w nim m.in. nowe regulacje w podstawach przetwarzania danych osobowych pracowników i kandydatów do pracy. W tym zakresie pojawiła się wątpliwość, czy w stosunku do tych osób należy stosować tylko te podstawy, które zostaną wskazane w k.p., czy również te, które wymienia RODO? W k.p. takie podstawy mają być trzy, natomiast art. 6 RODO wskazuje takich podstaw sześć. I tak, według projektowanych regulacji k.p., po pierwsze: będzie można pozyskać dane wyraźnie wymienione w kodeksie, po drugie: te, które są pracodawcy niezbędne do spełnienia obowiązku nałożonego na niego przez prawo, i po trzecie: te, na których przetwarzanie zgodzi się pracownik (w poprzedniej wersji projektu dodatkową przesłanką była tu konieczność odniesienia przez pracownika korzyści z przetwarzania danych). Natomiast według RODO podstawą przetwarzania będzie też m.in. możliwość powołania się na usprawiedliwiony cel albo na konieczność wykonania umowy. Problem wynika stąd, że zgodnie z RODO państwa członkowskie mogą wprowadzić specjalne regulacje dotyczące przetwarzania danych osobowych w związku z zatrudnieniem. Powstaje więc pytanie, czy w tym zakresie nowe przepisy k.p. wyłączą stosowanie RODO, a tym samym podstawy przetwarzania danych niewymienione w kodeksie?

WYJAŚNIENIE
Kwestia podstawy prawnej m.in. przetwarzania danych osobowych pracowników jest obecnie wyjaśniana w Ministerstwie Cyfryzacji. Wciąż nie jest pewne, czy znowelizowany kodeks pracy wykluczy stosowanie art. 6 RODO. Z nieoficjalnych informacji, które dotychczas do nas docierały, wynika, że prace nad projektem ustawy dostosowującej do RODO pójdą raczej w takim kierunku, aby niezależnie od podstaw przetwarzania danych z k.p. można było przetwarzać dane, powołując się na podstawy z art. 6 RODO. Na razie możliwa jest jednak interpretacja, że pracodawca będzie mógł pozyskać od pracownika tylko te dane, które zostaną wyraźnie wskazane w kodeksie pracy. I to mimo że w RODO jest przepis, który by mu na to pozwalał. Problem może być więc np. z pozyskiwaniem zdjęć do identyfikatorów pracowniczych czy na potrzeby bazy pracowników w intranecie, a także przy dokonywaniu oceny rocznej zatrudnionych. W ich przypadku nie będzie się można bowiem powołać na konieczność wykonania umowy czy usprawiedliwiony cel pracodawcy, które to podstawy tutaj najbardziej pasują. Trzeba by natomiast powoływać się na zgodę i korzystność takich rozwiązań dla pracownika. Tymczasem, przykładowo, z jednej strony samo uzyskanie zgody pracownika, by móc go oceniać, jest dosyć dyskusyjne (można założyć, że zatrudniony raczej by odmawiał), z drugiej zaś strony taka ocena mogłaby nie być dla niego korzystna – a to również wykluczałoby możliwość jej przeprowadzenia.
OCENA EKSPERTA
Justyna Tyc, radca prawny, associate w kancelarii Domański Zakrzewski Palinka: W mojej opinii uszczegółowienie kwestii przetwarzania danych osobowych w polskich przepisach oznacza, że podstawy prawne przetwarzania wskazane w RODO są wyłączone w odniesieniu do stosunków z pracownikami. Przyjęcie innej interpretacji oznaczałoby, że przepisy kodeksu pracy nie miałyby racji bytu, skoro RODO zawiera wszystkie podstawy przetwarzania i są one stosowane bezpośrednio.
Po wejściu w życie projektowanych zmian w kodeksie pracy pracodawca będzie miał wyłącznie trzy podstawy do przetwarzania danych pracowników. Tym samym powoływanie się np. na usprawiedliwiony interes pracodawcy i konieczność wykonania umowy nie będzie już możliwe.
Problem 10. Czy testy psychometryczne są dopuszczalne?

Ani w RODO, ani w projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, która zawiera m.in. zmiany w kodeksie pracy, nie przewidziano regulacji, które wyraźnie odnosiłyby się do kwestii stosowania testów psychometrycznych w procesie rekrutacji. Czy ich przeprowadzanie będzie możliwe?

WYJAŚNIENIE
Zdaniem ekspertów dopuszczalność stosowania tego narzędzia w procesie rekrutacji będzie zależeć m.in. od rodzaju testu i korzyści dla badanego. Jeśli test będzie zmierzał do badania stanu zdrowia psychicznego kandydata, to najprawdopodobniej zostanie on uznany za niedopuszczalny. Pracodawca musiałby bowiem wykazać, że test jest konieczny, aby wypełnił ciążący na nim obowiązek prawny. Tymczasem jak na razie żaden przepis prawa takiego obowiązku nie przewiduje. Natomiast jeśli test miałby sprawdzać tylko predyspozycje do pracy na danym stanowisku, to będzie on legalny, jeśli kandydat wyrazi na to zgodę (według poprzedniej wersji projektu musiało to być dodatkowo dla niego korzystne).
OCENA EKSPERTA
Justyna Tyc, radca prawny, associate w kancelarii Domański Zakrzewski Palinka: Jeśli test będzie ukierunkowany na zbadanie konkretnej predyspozycji kandydata, która jest niezbędna do wykonywania pracy na określonym stanowisku, bez konieczności badania ogólnie jego stanu psychicznego, taki test będzie dopuszczalny. Przykładowo: firma ogłosiła rekrutację na stanowisko, na którym konieczna jest duża odporność na stres. W celu weryfikacji predyspozycji kandydata pracodawca chciałby przeprowadzić test. Jest on dopuszczalny, jeżeli będzie sprawdzał wyłącznie odporność na stres, ale już nie dodatkowe okoliczności, np. posiadanie cech przywódczych albo to, czy kandydat nie jest przypadkiem cholerykiem.
Problem 11. Certyfikować czy nie? I u kogo?

Urzędy administracji publicznej (jak i przedsiębiorcy), choć nie muszą, to mogą uzyskać certyfikat zgodności systemów przetwarzania danych osobowych z RODO. W razie kontroli i stwierdzenia nieprawidłowości mogłoby to np. zmniejszyć karę. Ustawodawca przewiduje dwa sposoby na uzyskanie tego świadectwa – od prezesa Urzędu Ochrony Danych Osobowych albo od firmy komercyjnej akredytowanej przez Polskie Centrum Akredytacji.

WYJAŚNIENIE
Ministerstwo Cyfryzacji dla administracji publicznej rekomenduje drogę przez Urząd Ochrony Danych Osobowych, bo relacje urząd–urząd wydają się bardziej naturalne i przejrzyste. GIODO (teraz już w zmienionej nazwie, czyli Urząd Ochrony Danych Osobowych) uważa to za zbytnią ostrożność i przekonuje, że nie ma podstaw, by sądzić, że certyfikaty od firm prywatnych będą mniej wartościowe.
OPINIE EKSPERTÓW
dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych: Jednostki samorządu terytorialnego czy nawet szerzej administracja publiczna, na pewno rozważyć powinny skorzystanie z certyfikacji przez prezesa Urzędu Ochrony Danych Osobowych. Zarówno konstytucja, jak i kodeks postępowania administracyjnego stanowią, że organy administracji publicznej działają co do zasady zgodnie z prawem, tym samym czynności sprawdzające podejmowane wobec nich przez prezesa urzędu wydają się czymś naturalniejszym. Przy podejmowaniu decyzji o wyborze mechanizmu certyfikacji administracja publiczna powinna też uwzględnić element finansowy. Projektowane przepisy prawne nie przesądzają maksymalnej opłaty pobieranej w ramach certyfikacji przez sektor prywatny, co oznacza, że może być ona wyższa niż ta, jaką będzie pobierał prezes UODO, który z założenia nie prowadzi działań komercyjnych.
Agnieszka Świątek-Druś rzecznik prasowy generalnego inspektora ochrony danych osobowych: Jeżeli resort uważa, że certyfikacja dokonywana przez prywatne firmy może być dla administracji publicznej np. niebezpieczna bądź powodować konflikt interesów, to może należy to zagrożenie ująć w przepisach, np. wyłączając możliwość certyfikacji administracji przez podmioty inne niż UODO. Jeżeli regulacje dopuszczają możliwość certyfikowania przez podmioty prywatne, to należy zakładać, że po przejściu odpowiedniej selekcji będą one działać rzetelnie. Można sobie przecież wyobrazić, że na nasz rynek wejdą podmioty zagraniczne, które będą chciały świadczyć usługę certyfikacji. Stanowisko resortu może podkopać zaufanie do takich firm, wskazując, że korzystanie z ich oferty grozi np. wyciekiem danych osobowych.
Dziennik Gazeta Prawna
Problem 12. Co z weryfikacją CV?

W projekcie ustawy dostosowującej polskie przepisy do RODO (projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679) przewidziano, że do kodeksu pracy trafi regulacja, zgodnie z którą dane osobowe osób ubiegających się o pracę będzie można przetwarzać m.in. wtedy, gdy pracodawca pozyska dodatkowe dane tylko bezpośrednio od kandydata i za jego zgodą (w poprzedniej wersji projektu była jeszcze jedna przesłanka – przetwarzanie danych musiało być dla kandydata/ pracownika korzystne; w ostatnim etapie prac została ona jednak usunięta). To stawia pod znakiem zapytania weryfikowanie informacji zawartych w dokumentach aplikacyjnych np. z wykorzystaniem portali społecznościowych czy samodzielne pozyskiwanie referencji przez pracodawców.

WYJAŚNIENIE
Zdaniem ekspertów samodzielne weryfikowanie przez pracodawców CV czy życiorysu nie będzie dopuszczalne. Nowe przepisy nie pozwalają bowiem pracodawcy na to, by pozyskiwać dodatkowe dane o kandydatach bez ich udziału i z wykorzystaniem innych źródeł, czyli np. wyszukując dodatkowe informacje w internecie (w ten sposób można by bowiem np. poznać światopogląd aplikującego). Nie będzie też można pozyskać referencji od byłego pracodawcy na własną rękę.
Sporne jest natomiast to, czy i w jakim zakresie będzie można przetwarzać (w tym weryfikować) dane zawarte w referencjach, które przedstawi sam kandydat do pracy. Niektórzy prawnicy uważają, że będzie to niedopuszczalne, inni zaś twierdzą, że będzie to zgodne z przepisami, o ile pracodawca nie pozyska żadnych dalszych informacji (poza tymi, które już są zawarte w przedłożonym dokumencie), a wyłącznie zweryfikuje te już posiadane. Przy czym będzie mógł to robić tylko w zakresie określonym przez osobę ubiegającą się o pracę i za jej wyraźną zgodą.
dr hab. Monika Gładoch prof. UKSW, radca prawny i ekspert Pracodawców RP: W praktyce trudno wskazać, komu te rozwiązania mają służyć. Na pewno nie tym osobom, które dobrze wykonują swoją pracę. Dla nich pochlebne referencje są argumentem umożliwiającym np. wynegocjowanie wyższej stawki u kolejnego pracodawcy. Skorzystają na tym raczej ci, którzy nie najlepiej radzą sobie zawodowo lub chcieliby coś ukryć, np. okoliczności zwolnienia.