W ostatnim czasie na domenie internetowej Heskiego Rzecznika ds. Ochrony Danych oraz Wolności Informacji (https://datenschutz.hessen.de) pojawiły się odpowiedzi na najczęściej zadawane pytania w zakresie stosowania RODO. 

Heska ustawa o ochronie danych osobowych była pierwszą tego typu ustawą na świecie [Hesja – kraj związkowy w zachodnich Niemczech – przyp. aut]. Ustawa heska została ogłoszona w 1970 roku, tym samym wyprzedziła ona o 7 lat federalną ustawę niemiecką, natomiast na szczeblu państwowym pierwszą ustawę o ochronie danych uchwalono w Szwecji w 1973 roku.

Biorąc powyższe pod uwagę, należy nadmienić, że niemiecki organ ma bogate doświadczenie w zakresie ochrony prywatności i po wejściu w życie RODO wydał serię rozstrzygnięć w formie pytań i odpowiedzi (ang. FAQ – Frequently Asked Questions), w których odpowiada na poszczególne pytania związane ze stosowaniem Rozporządzenia.  Poniższe zestawienie stanowi tylko część rozstrzygnięć znajdujących się w domenie Heskiego Rzecznika ds. Ochrony Danych oraz Wolności Informacji, natomiast pod względem merytorycznym mogą być one szczególnie wartościowe dla przedsiębiorców chcących działać w zgodzie z RODO.  Trzeba jednak pamiętać, że rozstrzygnięcia te nie muszą być tożsame ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych.

Czy wymagana jest umowa powierzenia przetwarzania danych (art. 28 RODO) w przypadku przeniesienia obliczenia płacy na stronę trzecią (również w przypadku zawodów zajmujących się doradztwem podatkowym)?

Co do zasady klasyczne czynności doradztwa podatkowego nie są klasyfikowane jako powierzenie przetwarzania zgodnie z art. 28 RODO. W przypadku doradztwa podatkowego, doradca podatkowy działa na własną odpowiedzialność oraz ma własną przestrzeń decyzyjną i nie przetwarza danych wyłącznie zgodnie z jasnymi wytycznymi Zleceniodawcy.

Jednakże sytuacja wygląda inaczej w przypadku rozliczeń kadrowo-płacowych, względnie realizacji obliczania płac. Usługodawca (często doradca podatkowy), który wykonuje te czynności w imieniu Zleceniodawcy przetwarza dane pracowników zgodnie ze sztywno określonymi regułami, nie posiadając przy tym przestrzeni decyzyjnej. Dlatego prowadzenie obliczania płac należy zakwalifikować jako powierzenie przetwarzania zgodnie z art. 28 RODO.

Jeżeli doradca podatkowy dostarcza przedsiębiorcy zarówno klasyczne doradztwo podatkowe jak również usługę obliczania płacy, to zwykle w odniesieniu do tej ostatniej usługi wymagane jest zawarcie umowy powierzenia przetwarzania danych, podczas gdy w przypadku przetwarzania danych w ramach doradztwa podatkowego nie będzie wymagana taka umowa.

Obowiązuje zasada, że w przypadku świadczenia mieszanych usług, każda usługa jest oceniana oddzielnie.

Czy dopuszczalne jest zbieranie zgody, jeżeli istnieje podstawa ustawowa do przetwarzania danych?

W przypadku istnienia podstawy ustawowej jednoznacznie legitymizującej przetwarzanie danych, zgoda nie jest ani konieczna, ani nie zapewnia ona większego stopnia bezpieczeństwa oraz przejrzystości administratorowi ani osobom, których dane dotyczą.

Jednakże nie pozostawiające wątpliwości określenie ustawowej podstawy do przetwarzania danych lub wyznaczenie jej jasnych granic może być często trudne. W takich przypadkach, przede wszystkim z powodów bezpieczeństwa oraz przejrzystości, zarówno z punktu widzenia administratora jak i osoby, której dane dotyczą nie zaszkodzi, jeżeli ze względów ostrożności zebrana zostanie zgoda.

Powinno jednak z tego wynikać, że jeżeli domniemana podstawa ustawowa nie była właściwa lub gdy przetwarzanie wykroczyło poza upoważnienie ustawowe, zgoda ma zastosowanie w takich przypadkach.

Czy podmiot oferujący stronę internetową, na której nie umieszczono formularza kontaktowego oraz nie umieszczane są żadne pliki Cookies (tzw. wizytówki internetowe) musi poinformować użytkowników zgodnie z art. 13 RODO?

Tak, również wtedy informacja na mocy art. 13 RODO musi zostać przekazana.

Strona internetowa jest hostowana przez dostawcę. Przechowuje on pliki ogólnie zwane „logami’, które protokołują dostęp do stron internetowych. Również adresy IP użytkowników będą przy tym zbierane oraz przechowywane. Ponieważ zgodnie z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej adresy IP użytkowników mogą stanowić dane osobowe, użytkownik musi być odpowiednio poinformowany o takim zbieraniu danych zgodnie z art. 13 RODO. Również w przypadku „wizytówek internetowych” trzeba przytoczyć informacje dotyczące ochrony danych.

Czy w przypadku korzystania ze zbiorów danych, które zostały zebrane przed 25 maja 2018 roku muszę po 25 maja 2018 r. poinformować osoby, których dane dotyczą zgodnie z art. 13 RODO?

Art. 13 reguluje informację dla osób, których dane dotyczą w momencie zbierania danych. Dostępne dane istnieją, moment ich zebrania już minął. Obecnie obowiązująca ustawa nie ustanawia (wobec nich) obowiązku informacyjnego. Tak więc, jeżeli dane zostały (w swoim czasie) zebrane zgodnie z prawem, nie trzeba przedstawiać osobom, których dane dotyczą nowych informacji. Ma to zastosowanie zarówno do sektora publicznego jak i prywatnego.

Sytuacja wygląda inaczej w przypadku przetwarzania tych danych w innym celu (dalsze przetwarzanie), wtedy obowiązuje art. 13 ustęp 3 RODO. Informacja może być konieczna.

Jakie są zasady przy monitoringu terenu prywatnego?

Monitoring terenu prywatnego musi być tak zainstalowany, żeby kamery nie obejmowały ani graniczącej przestrzeni publicznej (np. ulic, chodników) ani sąsiadujących terenów prywatnych czy wspólnych wejść na te tereny. Uprawnienie do monitoringu właściciela domu lub działki kończy się więc zasadniczo na granicy posesji.

Krótkie informacje:

Newsletter – zdaniem Heskiego Rzecznika ds. Ochrony Danych oraz Wolności Informacji wysyłka newsletterów powinna odbywać się po uprzednim odebraniu zgody od osoby, do której newsletter ma zostać wysłany.

Obowiązek informacyjny przy monitoringu – informacja musi być przekazana zanim osoba wejdzie na teren nim objęty.

Przemysław Sierzputowski