GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Omówienie ustawy o ochronie danych osobowych z 10 maja 2018 roku

Znaki paragrafów nad otwartą książką

Stan prac nad kodeksami postępowania w wybranych państwach UE

Prezydent podpisał ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000). Jej stworzenie wynikało z konieczności zapewnienia skutecznego stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. (RODO), które obowiązuje od dnia 25 maja 2018 roku. Ustawa nie powiela ani nie wdraża rozwiązań RODO, lecz uzupełnia nowe regulacje w zakresie ochrony danych osobowych, aby odpowiadały przepisom i standardom przyjętym na poziomie UE. Głównym celem rozporządzenia jest unifikacja systemu, co w praktyce oznacza, że znaczna część regulacji jest taka sama (identyczna) we wszystkich państwach członkowskich. Przepisy ustawy stanowią jedynie uzupełnienie RODO, w zakresie w jakim ustawodawca unijny dopuścił doprecyzowanie pewnych zagadnień wprowadzonych przez Rozporządzenie, na porządek prawny na poziomie państw członkowskich UE.

Co wprowadza ustawa?

Na początku należy zwrócić uwagę na nowy organ nadzorczy. Funkcję dotychczasowego organu do spraw ochrony danych osobowych – Generalnego Inspektora Ochrony Danych
–  pełnić będzie Prezes Urzędu Ochrony Danych Osobowych. Zgodnie z przepisami przejściowymi nowej ustawy, do czasu upływu kadencji na stanowisku Prezesa UODO pozostaje  Dr Edyta Bielak- Jomaa, sprawująca urząd GIODO pod rządami starych przepisów.

Prezesa UODO, zgodnie z nową ustawą, powołuje i odwołuje Sejm RP za zgodą Senatu RP.
Na to stanowisko może być powołana osoba która:

Kadencja Prezesa UODO trwa 4 lata od dnia złożenia ślubowania. Organ nadzorczy może powołać do trzech zastępców (wymagania dotyczące zastępców
są identyczne, jak w przypadku Prezesa UDODO). Przy Prezesie UODO działa Rada do Spraw Ochrony Danych Osobowych jako organ opiniodawczo-doradczy.

Wystąpienia Prezesa UODO

Prezesowi UODO przysługuje uprawnienie kierowania  do  organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych, jak również możliwość  występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów prawnych w sprawach z zakresu ochrony danych osobowych. Ustawa nakłada obowiązek ustosunkowania się do powyższego w terminie 30 dni.

Pomoc organu kontrolnego

Prezes UODO, zgodnie z art. 53 ust. 1, zobowiązany jest do udostępniania na stronie BIP:

Szczególnie ważne z punktu widzenia administratorów danych są rekomendacje, o których mowa w pkt 4. Jest to  bezcenne źródło informacji jak stosować przepisy.

Jednocześnie Prezes UODO ogłasza w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony
(art. 34 ust. 4 RODO). Pierwszy komunikat w tym zakresie organ nadzorczy wyda w terminie
trzech miesięcy od dnia wejścia w życie nowej ustawy.

Ponadto, nowa ustawa przyznaje organowi nadzorczemu możliwość ogłoszenia w komunikacie wykazu rodzajów operacji przetwarzania danych osobowych niewymagających oceny skutków przetwarzania dla ich ochrony (art. 35 ust. 5 RODO). Ogłoszenia powinny być publikowane
w Monitorze Polskim.

Z kolei administratorom lub podmiotom przetwarzającym krajowy ustawodawca daje możliwość wystąpienia do Prezesa UODO z wnioskiem o przeprowadzenie uprzednich konsultacji.

Kodeksy postępowań

Novum wprowadzonym przez RODO są kodeksy postępowań (tzw. kodeksy dobrych praktyk), które mają pomóc we właściwym jego stosowaniu. Rozporządzenie zachęca zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające
do tworzenia kodeksów postępowań, przy uwzględnieniu specyfiki różnych sektorów przetwarzających dane oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Nowa ustawa nakłada wymóg uprzednich konsultacji kodeksu przed przekazaniem go do zatwierdzenia przez Prezesa UODO. Informację o przeprowadzonych konsultacjach i ich wyniku oraz przygotowany kodeks postępowania przekazuje się organowi nadzorczemu do zatwierdzenia.

Zgodnie z art. 41 RODO podmiot, który dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie przedmiotu kodeksu może starać się o akredytację udzielaną przez Prezesa UODO. Po jej uzyskaniu podmiot akredytowany może pełnić funkcję monitorującą przestrzegania kodeksu. Organ nadzorczy prowadzi wykaz podmiotów akredytowanych
na stronie BIP.

Postępowanie przed Prezesem UODO

Prezes UODO w sprawach nieuregulowanych w ustawie podobnie jak dotychczas, prowadzi postępowanie zgodnie z przepisami ustawy z dnia 14 czerwca 1960 roku. Kodeks postępowania administracyjnego (t. j. Dz. U. z 2018 r., 1257). Nowością jest przyjęcie jednoinstancyjności postępowania przed organem nadzorczym, które pod rządami starej ustawy było dwuinstancyjne.
Oznacza to, że po wydaniu przez Prezesa UODO decyzji bądź postanowienia w sprawie, strona ma możliwość odwołania się od rozstrzygnięcia bezpośrednio do sądu administracyjnego.

Organ nadzorczy ma prawo przeprowadzić kontrolę w siedzibie podmiotu. Co ciekawe, Prezes UODO może zwrócić się o pomoc do komendanta Policji, jeśli jest to niezbędne do wykonywania czynności kontrolnych.

Certyfikacje

Kolejną nowością w aktualnie obowiązującym stanie prawnym jest certyfikacja.
Zgodnie z ustawą, podmiotom ubiegającym się o uprawnienia do nadawania certyfikacji, akredytacji udziela Polskie Centrum Akredytacji. Akredytacji można udzielić maksymalnie na okres 5 lat. Natomiast certyfikacji na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek dokonuje Prezes UODO bądź podmiot certyfikujący (który uprzednio uzyskał akredytację Polskiego Centrum Akredytacji). Wniosek o certyfikację powinien być rozpatrzony w czasie nie dłuższym niż trzy miesiące od jego złożenia. Na stronie BIP Urzędu Ochrony Danych Osobowych (UODO) opublikowane będą kryteria certyfikacji oraz wysokość opłaty związanych z jej udzieleniem. Jednocześnie Prezes UODO prowadzić będzie publiczny wykaz podmiotów, które uzyskały certyfikację oraz podmiotów, którym certyfikację cofnięto. Ponadto, ustawodawca przyznał organowi nadzorczemu możliwość przeprowadzania czynności sprawdzających skierowanych zarówno wobec podmiotu starającego się o przyznanie certyfikacji, jak i podmiotu, który już taką certyfikację uzyskał w celu oceny spełniania przez ten podmiot kryteriów certyfikacji.

Inspektor Ochrony Danych (IOD) – obowiązek powołania

Rozporządzenie określa w art. 37,  którzy administratorzy i podmioty przetwarzające dane
są zobowiązane do powołania Inspektora Ochrony Danych. Nowa ustawa doprecyzowuje jedynie, że do organów i podmiotów publicznych (wskazanych w art. 37 ust. 1 lit. a RODO) obowiązanych do wyznaczenia IOD należy zaliczyć jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski. Podmiot, który wyznaczył Inspektora Ochrony Danych ma obowiązek udostępnienia imienia, nazwiska, adresu e-mail bądź numeru telefonu IOD na swojej stronie internetowej lub (w przypadkach, gdy podmiot nie ma własnej strony internetowej) w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Inspektor Ochrony Danych – terminy i zasady zgłoszenia do organu

Podmiot, który wyznaczył Inspektora Ochrony Danych ma obowiązek zawiadomić o tym fakcie Prezesa UODO w terminie 14 dni od dnia wyznaczenia poprzez wskazanie imienia, nazwiska oraz adresu e-mail bądź numeru telefonu IOD. Ten sam termin obowiązuje
w przypadku zgłoszenia każdej zmiany danych oraz faktu odwołania IOD z pełnionej funkcji.
Co ciekawe, ustawa wprowadza wymóg sporządzenia powyższych zawiadomień w formie elektronicznej i opatrzenie ich kwalifikowanym podpisem elektronicznym bądź podpisem potwierdzonym profilem zaufanym ePUAP.

Co ważne, osoba pełniąca w dniu 24 maja 2018 roku funkcję administratora bezpieczeństwa informacji, staje się z mocy ustawy Inspektorem Ochrony Danych i pełni swoją funkcję do dnia 1 września 2018 roku chyba, że przed tym dniem administrator zawiadomi Prezesa UODO
o wyznaczeniu innej osoby na to stanowisko. W celu przedłużenia pełnienia funkcji Inspektora Ochrony Danych po 1 września 2018 roku, administrator musi przed tym dniem zawiadomić Prezesa Urzędu o wyznaczeniu tej osoby jako IOD. Co ważne, jeśli administrator nie jest zobligowany do wyznaczenia IOD osoba, która stała się z mocy powołanych wyżej przepisów IOD, niejako automatycznie, może zostać odwołana z tej funkcji bez powiadamiania PUODO.

O ile, zgodnie z nowymi przepisami, administrator lub podmiot przetwarzający jest zobligowany do wyznaczenia IOD, a przed wejściem w życie nowej ustawy nie powołał administratora bezpieczeństwa informacji, jest on zobligowany do poinformowania Prezesa UODO o jego wyznaczeniu do 31 lipca 2018 r.

Odpowiedzialność cywilna

RODO w art. 79 wprowadziło prawo każdego podmiotu danych (osoby fizycznej), którego dane dotyczą do skutecznego środka ochrony prawnej przed sądem w sytuacji uznania,
że  przysługujące jej na mocy Rozporządzenia prawa zostały naruszone. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (art. 82 RODO).

Nowa ustawa doprecyzowuje, że do roszczeń z tytułu naruszenia przepisów RODO należy stosować przepisy Kodeksu cywilnego, a właściwym organem do rozpatrywania roszczeń
z tego tytułu jest sąd okręgowy. Odpowiednio do postępowań w tym zakresie stosuje się Kodeks postępowania cywilnego.

Administracyjne kary pieniężne

Unijny ustawodawca dał Prezesowi UODO prawo do nakładania kar pieniężnych  (art. 83 RODO). Polska ustawa ograniczyła wysokość kar w odniesieniu do jednostek sektora finansów publicznych, instytutów badawczych oraz Narodowego Banku Polskiego do 100 tys. zł (z wyjątkiem państwowych i samorządowych instytucji kultury, dla których maksymalna kara może wynieść 10 tys. zł.). Administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Na uzasadniony wniosek podmiotu ukaranego Prezes UODO może odroczyć termin uiszczenia kary pieniężnej bądź rozłożyć ją na raty jednak tylko ze względu na ważny interes wnioskodawcy.

Ponadto zgodnie z art. 74, wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

Przepisy karne

Katalog przepisów karnych zawarty w nowej ustawie jest znacząco węższy od tego zawartego w dotychczas obowiązującej ustawie o ochronie danych osobowych. Ustawodawca penalizuje przetwarzanie danych osobowych  w sytuacji gdy jest to niedopuszczalne oraz gdy dane przetwarza osoba do tego nieuprawniona. Postępowanie takie zagrożone jest karą grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli  czyn taki dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, osoba taka podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Drugim przypadkiem penalizacji jest udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. W tym wypadku grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Najważniejsze zmiany wprowadzone do innych ustaw

Nową ustawą o ochronie danych osobowych wprowadzono także zmiany w innych przepisach. Na szczególną uwagę zasługują zmiany w zakresie legalności monitoringu.

Zmiany w powyższym zakresie dotyczą głównie Kodeksu pracy. Do tego aktu wprowadzono regulację zgodnie, z którą pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring),  jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia lub kontroli produkcji, jak również zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę (patrz art. 222 §1 Kp). Monitoringiem nie można objąć pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób (art. 222 §2 Kp).

Pracodawca może przetwarzać nagrania obrazu wyłącznie w celach, dla których zostały zebrane i  przechowywać nagrania maksymalnie przez 3 miesiące. Jest on zobowiązany także do poinformowania swoich pracowników o monitoringu nie później niż 2 tygodnie przed jego uruchomieniem oraz do oznaczenia pomieszczeń i terenów monitorowanych najpóźniej dzień przed jego uruchomieniem.

Ponadto krajowy ustawodawca wprowadził analogiczne zasady wprowadzania monitoringu służbowej poczty elektronicznej pracownika w sytuacjach gdy jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Przy tym monitoring nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Podobne zasady dotyczą także innych form monitoringu (m.in. gps). W pewnym uogólnieniu można powiedzieć, że w tym wypadku istotny jest cel jakiemu służy monitoring. W pierwszym przypadku (obraz) chodzi o bezpieczeństwo szeroko rozumiane, w drugim o nadzór nad narzędziami jakich używa pracownik celem weryfikacji  efektywności ich użycia.

Jednocześnie ustawodawca uregulował także kwestię monitoringu stosowanego przez gminy i powiaty. Celem  zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej mogą one stosować środki techniczne umożliwiające rejestrację obrazu (monitoring) w obszarze przestrzeni publicznej. Odbywać to się może za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie gminy lub jednostek organizacyjnych gminy/powiatu,  a także na terenie wokół takich nieruchomości i obiektów budowlanych. Warunkiem niezbędnym jest konieczność  zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej. Monitoringu nie można uruchamiać w pomieszczeniach sanitarnych, szatniach, stołówkach, palarniach i obiektach socjalnych. Nagrania należy usunąć maksymalnie po trzech miesiącach od nagrania. Należy także zamieścić na nieruchomościach monitorowanych informację o nim.

Podobne wymogi wprowadzono także w ustawie o zasadach zarządzania mieniem państwowym oraz ustawie o samorządzie wojewódzkim. Jako warunek legalizujący stosowanie monitoringu, krajowy ustawodawca wskazał konieczność zapewnienia bezpieczeństwa zarządzanym mieniem państwowym, a w przypadku województwa także dodatkowo obowiązek zachowania szczególnej staranności przy wykonywaniu zarządu zgodnie z przeznaczeniem tego mienia i jego ochrona.

Omawianą ustawą wprowadzono również nowe przepisy w Prawie oświatowym, zgodnie
z którymi dyrektor szkoły lub placówki w uzgodnieniu z organem prowadzącym szkołę
lub placówkę oraz po przeprowadzeniu konsultacji z radą pedagogiczną, radą rodziców
i samorządem uczniowskim, może wprowadzić monitoring nad pomieszczeniami szkoły lub placówki lub terenem wokół szkoły lub placówki o ile wykaże, że jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia.

Ważne przy tym jest to, że – jak wskazał  krajowy ustawodawca –  monitoring nie powinien stanowić środka nadzoru nad jakością wykonywania pracy przez pracowników szkoły lub placówki.

Ponadto, co do zasady monitoring nie może obejmować pomieszczeń, w których odbywają
się zajęcia dydaktyczne, wychowawcze i opiekuńcze, pomieszczeń, w których uczniom jest udzielana pomoc psychologiczno-pedagogiczna oraz tych przeznaczonych do odpoczynku i rekreacji pracowników, sanitarno-higienicznych, gabinetu profilaktyki zdrowotnej, szatni i przebieralni. Wyjątkowo można monitorować ww. pomieszczenia, gdy jest to niezbędne ze względu na istniejące zagrożenie dla realizacji celu zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia i nie naruszy to godności oraz innych dóbr osobistych uczniów, pracowników i innych osób. Jako przykład ustawodawca wskazuje zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.

Nagrania zawierające dane osobowe uczniów, pracowników i innych osób, których tożsamość  można zidentyfikować, przetwarzane będą wyłącznie do celów, dla których zostały zebrane i usunąć najpóźniej trzy miesiące od dnia nagrania.

Dyrektor szkoły lub placówki jest zobowiązany poinformować uczniów i pracowników
o wprowadzeniu monitoringu najpóźniej 14 dni przed jego uruchomieniem. Pomieszczenia
i teren monitorowany muszą  być oznaczone w sposób czytelny i widoczny najpóźniej dzień przed uruchomieniem. Odnośnie nowozatrudnionych ustawodawca wprowadził wymóg poinformowania ich na piśmie o monitoringu przed rozpoczęciem wykonywania obowiązków.