Czy członkowie zarządu lub rady nadzorczej spółki muszą posiadać upoważnienia do przetwarzania danych osobowych? Jak często należy przeprowadzać analizę ryzyka? Czy sekretarka szkoły może być Inspektorem Ochrony Danych?
Pytań z zakresu ochrony danych osobowych oraz kar nakładanych przez Prezesa UODO nie brakuje. Z tego powodu przygotowaliśmy ekspercki poradnik, który rozwieje często pojawiające się niejasności. W poniższej publikacji radca prawny dr Dominik Lubasz – ceniony ekspert z zakresu ochrony danych osobowych i współtwórca aplikacji GDPR Risk Tracker – odpowiada na pytania zadane podczas webinaru „Kary Prezesa UODO dotyczące naruszenia bezpieczeństwa przetwarzania i prowadzenia analizy ryzyka.
Zapraszamy do lektury!
- Czy członkowie zarządu/ rady nadzorczej spółki muszą posiadać upoważnienia do przetwarzania danych osobowych? W przypadku, gdy podstawą przetwarzania DO są negocjacje związane z zawarciem umowy, gdy umowa nie zostanie zwarta, jak długo administrator może przetwarzać dane osobowe – np. e-mail, czy należy je niezwłocznie usunąć?Członkowie zarządu lub rady nadzorczej spółek nie muszą posiadać upoważnienia do przetwarzania danych osobowych niezbędnych do wykonywania swoich ustawowych zadań. Spółka prawa handlowego jest administratorem danych osobowych w rozumieniu art. 4 pkt. 7 RODO, jest bowiem podmiotem decydującym o celach i sposobach przetwarzania danych osobowych. W myśl przepisów art. 201 oraz art. 368 Kodeksu spółek handlowych (dalej: KSH) do reprezentacji i prowadzenia spraw spółki (administratora) uprawniony jest zarząd. Członkowie zarządu zatem są uprawnieni do reprezentacji administratora danych osobowych w zakresie prowadzonych spraw w imieniu spółki, według zasad reprezentacji wskazanych w umowie spółki oraz w rejestrze przedsiębiorców Krajowego Rejestru Sądowego, w tym do przetwarzania danych w imieniu spółki.
Członkowie rady nadzorczej z kolei, w świetle przepisów art. 219 § 4 oraz art. 382 § 4 KSH, w celu wykonania swoich obowiązków mogą badać wszystkie dokumenty spółki, żądać od zarządu i pracowników sprawozdań i wyjaśnień oraz dokonywać rewizji stanu majątku spółki. Członkowie rady nadzorczej nie muszą uzyskiwać od spółki jako administratora danych osobowych upoważnienia do przetwarzania danych, bowiem spółka, udostępniając dokumenty celem umożliwienia wykonania uprawnień członków, przetwarza dane osobowe zawarte w tych dokumentach na podstawie art. 6 ust. 1 lit. c) RODO - tj. wypełnia ciążący na administratorze obowiązek prawny wynikający z przytoczonych przepisów KSH. Gdyby przyjąć odmienne stanowisko tj. że członkowie rady nadzorczej w celu wykonania swoich obowiązków musieliby dysponować upoważnieniem do przetwarzania danych, to w sytuacji gdy np. zarząd spółki nie wydałby takiego upoważnienia, w sposób istotny zostałoby ograniczone wykonywanie nadzoru nad działalnością spółki. Mając na uwadze powyższe, członkowie zarządu oraz członkowie rady nadzorczej z mocy prawa mogą przetwarzać dane osobowe niezbędne do wykonywania ustawowych zadań.
W przypadku, gdy dane osobowe zostały pozyskane w wyniku negocjacji umowy, która ostatecznie nie została zawarta, administrator danych osobowych powinien usunąć te dane po zakończeniu negocjacji. W sytuacji bowiem, gdy podstawą przetwarzania danych był art. 6 ust. 1 lit. b) RODO, tj. przetwarzanie było niezbędne do wykonania umowy której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – przestanie ona istnieć, gdy umowa nie zostanie zawarta. Natomiast, jeżeli dane osobowe przetwarzane były na podstawie art. 6 ust. 1 lit. f) RODO, tj. prawnie uzasadnionego interesu realizowanego przez administratora, to okres przetwarzania danych po zakończeniu negocjacji zależeć będzie od sformułowania tego interesu administratora.
Przetwarzanie danych na podstawie interesu administratora może rozciągać się bowiem na etap po kontraktowaniu w przypadku, gdy administratorowi przysługuje roszczenie za nieprawidłowe prowadzenie negocjacji przez kontrahenta. Należy jednak podkreślić, iż nie ma to charakteru automatycznego, dlatego też podstawę przetwarzania danych na tej przesłance trzeba analizować w konkretnym stanie faktycznym. Jeżeli administrator poniósł szkodę w związku z nie zawarciem umowy, to może przetwarzać te dane przez czas odpowiadający długości terminu przedawnienia roszczeń związanych z prowadzeniem negocjacji na podstawie art. 72 § 2 w zw. z art. 4421 § 1 Kodeksu cywilnego. Zgodnie z tymi przepisami strona, która rozpoczęła lub prowadziła negocjacje z naruszeniem dobrych obyczajów, w szczególności bez zamiaru zawarcia umowy, jest obowiązana do naprawienia szkody, jaką druga strona poniosła przez to, że liczyła na zawarcie umowy. Roszczenie o naprawienie szkody wyrządzonej czynem niedozwolonym ulega przedawnieniu z upływem 3 lat od dnia, w którym poszkodowany dowiedział się albo przy zachowaniu należytej staranności mógł się dowiedzieć o szkodzie i o osobie obowiązanej do jej naprawienia. Jednakże termin ten nie może być dłuższy niż 10 lat od dnia, w którym nastąpiło zdarzenie wywołujące szkodę.
Aby móc przetwarzać dane osobowe kontrahenta po negocjacjach niezakończonych zawarciem umowy, administrator może także odebrać zgodę na przetwarzanie jego danych dla celów przyszłego kontraktowania. Wtedy podstawą przetwarzania danych będzie art. 6 ust. 1 lit. a) RODO.
- Po stronie Administratora o dużym zasięgu terytorialnym (mnogość placówek terenowych) oraz złożonej strukturze – Grupa Kapitałowa. Podjęcie decyzji o wprowadzeniu rozwiązań zabezpieczających do ich wdrożenia, wymaga długookresowych działań – czasem rok. Jak do tego tematu będzie podchodzić UODO, jeżeli okaże się że doszło do naruszenia?
Po otrzymaniu zgłoszenia o naruszeniu ochrony danych, Prezes UODO przeprowadzi postępowanie wyjaśniające i na podstawie zgromadzonego materiału dowodowego zdecyduje czy nałożyć administracyjną karę pieniężną. Przy dokonywaniu oceny co do zasadności i wysokości kary, Prezes UODO bierze pod uwagę kilkanaście różnych czynników, m.in. charakter, wagę i czas trwania naruszenia, umyślny lub nieumyślny charakter naruszenia, stopień odpowiedzialności administratora, stopień współpracy z Prezesem UODO oraz kategorie danych osobowych, których dotyczyło naruszenie. Istotnym czynnikiem będzie także to czy administrator podjął działania w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą oraz sposób, w jaki Prezes UODO dowiedział się o naruszeniu.
Administrator jest zobowiązany zapewnić i wykazać, że przetwarzanie danych w jego organizacji odbywa się zgodnie z RODO. Inercja wdrożeniowa nie będzie stanowić przesłanki do zwolnienia administratora z odpowiedzialności za naruszenia przepisów RODO, w sytuacji, gdy administrator świadomy niewprowadzenia odpowiednich zabezpieczeń, mimo to prowadzi procesy przetwarzania danych. Ewentualnie może to wpłynąć na ocenę umyślności charakteru naruszenia. Zgodnie z Wytycznymi Grupy Roboczej art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (17/PL, WP 253): „Zasadniczo „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora/podmiot przetwarzający obowiązku staranności wymaganego prawem”. W powyższym opracowaniu jako przykłady zaniedbań wskazano błąd ludzki, nieprzeczytanie i nieprzestrzeganie istniejących zasad czy niedokonanie aktualizacji technicznych w odpowiednim czasie. Podkreślono przy tym, że organizacja ponosi odpowiedzialność za przyjmowanie struktur i zasobów adekwatnych do charakteru i złożoności swej działalności, zaś podstawą procedur związanych z przetwarzaniem danych powinno być podejście oparte na analizie ryzyka. - Czy sekretarka szkoły może być Inspektorem Ochrony Danych?
Zgodnie z załącznikiem nr 3 (tabeli II część F) Rozporządzenia Rady Ministrów z dnia 15 maja 2018 r. w sprawie wynagradzania pracowników samorządowych (Dz.U. z 2018 r., poz. 936) stanowisko Inspektora Ochrony Danych (dalej: IOD) w samorządowej szkole jest stanowiskiem kierowniczym urzędniczym. W myśl zaś art. 11 ust. 1 ustawy z dnia 21 listopada 2008 r. o pracownikach samorządowych (t.j. Dz.U. z 2019 r. poz. 1282) stanowiska urzędnicze, w tym kierownicze obsadzane są w drodze konkursu. Sekretarka szkoły zaś zajmuje stanowisko obsługowe i nie mogłaby wziąć udziału w konkursie, a tym samym nie mogłaby pełnić roli IOD w szkole. Kolejnym powodem, dla którego sekretarka szkoły nie może zostać IOD jest konflikt interesów, który niewątpliwie występowałby przy pełnieniu obu funkcji. Sekretarka szkoły wykonując swoje zadania, do których zalicza się np. obieg dokumentów – przetwarza dane osobowe w rozumieniu art. 4 pkt. 2 RODO.
Do zadań IOD zaś należy m.in. monitorowanie przestrzegania przepisów RODO. W związku z tym, gdyby jedna osoba pełniła funkcję zarówno sekretarki jak i IOD, doszłoby do sytuacji w której monitorowałaby przestrzeganie przepisów RODO przez samą siebie, co stanowiłoby naruszenie art. 38 ust. 6 RODO.
Abstrahując od powyższego, należy mieć na uwadze, iż Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań obowiązujących na tym stanowisku Administrator powinien wspierać inspektora ochrony danych w wypełnianiu przez niego zadań, a także jest zobowiązany zapewnić, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Co ważne administrator musi zadbać o to, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Inspektor nie może być także odwoływany ani karany przez administratora za wypełnianie swoich zadań. Inspektor bezpośrednio podlega najwyższemu kierownictwu administratora. Biorąc pod uwagę zakres obowiązków osoby na stanowisku sekretarki szkoły należałoby poddać w wątpliwość, czy zostałyby zapewnione odpowiednie gwarancje niezależnego i bezstronnego wypełniania zadań, o których powyżej. - Jak często należy przeprowadzać analizę ryzyka?
Zgodnie z art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. W myśl art. 32 ust. 1 lit. d) RODO, jednym z działań pozwalających zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności podmiotu danych jest regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych. Ta regularność zależeć będzie zarówno od czynników wewnętrznych tj. rozmiar przedsiębiorstwa, jego struktury organizacyjnej czy przedmiotu prowadzonej działalności, a także czynników zewnętrznych tj. postęp technologiczny. . Ponawianie analizy ryzyka powinno być zatem z góry zaplanowane, niezależnie od zmian w organizacji. Odstępy czasu zależą od specyfiki samej organizacji, branży, eskpozycji technologicznej, itp. Analizę ryzyka należy nadto przeprowadzać także za każdym razem, jak istotnie zmienia się charakter lub specyfika danej czynności przetwarzania. Na przykład, gdy zmienia się:
1. zestaw używanych w czynności narzędzi;
2. skala przetwarzanych danych lub istotnie zmienia się liczba osób zaangażowanych w prowadzenie danej czynności;
3. sposób przeprowadzania czynności (zmiany w obiegu dokumentów, reorganizacja stanowisk, itp.)
W myśl art. 32 ust.2 RODO, oceniając czy stopień bezpieczeństwa jest odpowiedni, należy uwzględnić w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Należy mieć na uwadze, że wdrożenie niewystarczających bądź nieadekwatnych środków technicznych i organizacyjnych może skutkować nałożeniem na administratora przez Prezesa UODO administracyjnej kary pieniężnej. Tytułem przykładu, Prezes UODO w dniu 10 września 2019 r. nałożył na spółkę Morele.net administracyjną karę pieniężną za to, że zastosowane przez spółkę zabezpieczenia ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, co doprowadziło do nieuprawnionego dostępu do danych osobowych około 2 mln 200 tys. klientów. Prezes UODO wskazał przy tym, iż dobór właściwego środka zabezpieczającego powinien być poprzedzony analizą ryzyka i być poddawany ciągłym przeglądom.
Za nieprzeprowadzanie regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych, a tym samym niezapewnienie bezpieczeństwa przetwarzanych danych osobowych, karę pieniężną dostała także spółka Virgin Mobile Polska. Organ nadzorczy zarzucił Spółce podejmowanie działań zabezpieczających dane dopiero w sytuacji, gdy pojawiało się podejrzenie zaistnienia podatności oraz przeprowadzenie testu weryfikacji zabezpieczeń aplikacji dopiero po wystąpieniu incydentu naruszenia bezpieczeństwa danych osobowych. Prezes UODO stwierdził także, że Spółka zbyt rzadko poddawała przeglądom i uaktualniała stosowane środku techniczne i organizacyjne. Wykonywanie testów wyłącznie w przypadku pojawienia się zmian organizacyjnych lub prawnych nie wyczerpywało bowiem wymogu regularności. Organ nadzorczy wskazał przy tym, iż testy powinny być wykonywane niezależnie od zachodzących zmian w działalności Spółki. Zmiany, do których odwoływała się Spółka, powinny być natomiast czynnikiem powodującym konieczność przeprowadzenia ponownej analizy ryzyka i ich wpływu na bezpieczeństwo przetwarzanych danych, której wynik należy uwzględnić przy stosowaniu środka bezpieczeństwa, jakim jest regularne testowanie.
Zdaniem Prezesa UODO, kompleksową ocenę skuteczności wdrożonych rozwiązań technicznych i organizacyjnych powinna pociągać za sobą chociażby zmiana operatora, która miała miejsce w okresie obowiązywania RODO. Dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Organ nadzorczy podkreślił, iż administrator ma obowiązek weryfikować zarówno dobór, jak też poziom skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana z uwzględnieniem adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Podsumowując, aby móc powiedzieć o spełnienie wymogu wynikającego z art. 32 ust. 1 lit. d) RODO, testowanie, mierzenie i ocenianie musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebieguprocesów przetwarzania danych. - Co to de facto jest „udokumentowane polecenie administratora” wydawane procesorowi?
Zgodnie z art. 28 ust. 3 pkt a) RODO, umowa powierzenia przetwarzania danych stanowi m.in. że podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Prawodawca unijny, nie wskazał co należy rozumieć pod pojęciem udokumentowanych poleceń ani nie przesądził jaką formę powinny one mieć. Jednak mając na uwadze, że przepis art. 28 ust. 3 lit. a) w zw. z art. 28 ust. 9 RODO wymaga jedynie, by sama umowa miała formę pisemną (w tym formę elektroniczną), i by w ramach tej umowy został ustanowiony generalny obowiązek działania na udokumentowanie polecenie administratora, wydaje się słuszne przyjęcie, że same wytyczne mogą być kształtowane w późniejszym czasie w formie ustalonej przez strony stosunku powierzenia. Polecenie to może stanowić element umowy powierzenia lub odrębny dokument. Warunkiem koniecznym jest to, by forma przekazania polecenia umożliwiała jego udokumentowanie. Ma to bowiem istotne znaczenie dla spełnienia wymogu rozliczalności zarówno przez administratora, jak i podmiot przetwarzający.
Powyższe stanowisko potwierdza decyzja PUODO z dnia 11 lutego 2021 r. Na mocy przedmiotowej decyzji organ nadzorczy nałożył na Krajową Szkołę Sądownictwa i Prokuratury administracyjną karę pieniężną w wysokości 100 000 zł, m.in. za naruszenie art. 28 ust. 3 RODO poprzez powierzenie przetwarzania danych osobowych bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, a także bez określenia w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz bez doprecyzowania rodzaju danych osobowych przez wskazanie ich kategorii. Zdaniem PUODO, umowa powierzenia powinna zawierać przynajmniej ogólne sformułowanie zobowiązujące podmiot przetwarzający do działania wyłącznie na udokumentowane polecenie administratora.
- Czy zawarcie samej umowy powierzenia przetwarzania danych i powierzenie procesorowi tych danych do przetwarzania nie stanowi pisemnego polecenia administratora? Jak powinno takie pisemne polecenie wyglądać? Konkretny zapis w umowie czy jako dodatkowy dokument – jednorazowy czy wydawany okresowo?
j.w.
Zgodnie z art. 28 ust. 3 pkt a) RODO, umowa powierzenia przetwarzania danych stanowi m.in., że podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Prawodawca unijny, nie wskazał co należy rozumieć pod pojęciem udokumentowanych poleceń ani nie przesądził jaką formę powinny one mieć. Jednak mając na uwadze, że przepis art. 28 ust. 3 lit. a) w zw. z art. 28 ust. 9 RODO wymaga jedynie, by sama umowa miała formę pisemną (w tym formę elektroniczną), i by w ramach tej umowy został ustanowiony generalny obowiązek działania na udokumentowanie polecenie administratora, wydaje się słuszne przyjęcie, że same wytyczne mogą być kształtowane w późniejszym czasie w formie ustalonej przez strony stosunku powierzenia. Polecenie to może stanowić element umowy powierzenia lub odrębny dokument. Warunkiem koniecznym jest to, by forma przekazania polecenia umożliwiała jego udokumentowanie. Ma to bowiem istotne znaczenie dla spełnienia wymogu rozliczalności zarówno przez administratora, jak i podmiot przetwarzający.
Powyższe stanowisko potwierdza decyzja PUODO z dnia 11 lutego 2021 r. Na mocy przedmiotowej decyzji organ nadzorczy nałożył na Krajową Szkołę Sądownictwa i Prokuratury administracyjną karę pieniężną w wysokości 100 000 zł, m.in. za naruszenie art. 28 ust. 3 RODO poprzez powierzenie przetwarzania danych osobowych bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, a także bez określenia w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz bez doprecyzowania rodzaju danych osobowych przez wskazanie ich kategorii. Zdaniem PUODO, umowa powierzenia powinna zawierać przynajmniej ogólne sformułowanie zobowiązujące podmiot przetwarzający do działania wyłącznie na udokumentowane polecenie administratora. - Jak do konieczności współpracy z PUODO, która może skutkować karą czy nawet same kary za brak współpracy dla ADO traktować w świetle prawa do milczenia, o którym ostatnio wypowiedział się TSUE?
W myśl art. 31 RODO, administrator i podmiot przetwarzający oraz – gdy ma to zastosowanie – ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Z kolei w motywie 86 preambuły RODO wskazano, iż w przypadku konieczności poinformowania podmiotu danych o wystąpieniu naruszenia ochrony danych osobowych, informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Innym przykładem współpracy pomiędzy administratorem danych a organem nadzorczym jest art. 33 ust. 1 RODO, zgodnie z którym w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W myśl art. 83 ust. 2 lit. f) RODO, stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków jest jednym z głównych czynników jakie Prezes UODO bierze pod uwagę decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość. Naruszenie przepisów dot. współpracy z organem nadzorczym, może skutkować nałożeniem administracyjnej kary pieniężnej, o czym przekonała się m.in. TUiR WARTA S.A. Decyzją z dnia 9 grudnia 2020 r. za naruszenie przepisów art. 33 ust.1 oraz art. 34 ust. 1 RODO, Prezes UODO nałożył na nią karę, uznając przy tym za niezadowalającą współpracę z nim ze strony Spółki. Należy przy tym podkreślić, że sam brak współpracy (bez innych naruszeń przepisów RODO) stanowił w wielu przypadkach samoistną podstawę nałożenia kary pieniężnej. O tym jak ważna jest prawidłowa współpraca z organem nadzorczym dowiedziała się m.in. spółka Anwara Sp. z o.o., na którą Prezes UODO nałożył administracyjną karę pieniężną za sam brak współpracy, tj. na podstawie art. 31 w zw. z art. 58 ust. 1 lit a) RODO. Spółka bowiem nie odpowiadała na pisma organu nadzorczego wzywające do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy, nie podejmując przy tym żadnych czynności zmierzających do wyjaśnienia zaistniałej po jej stronie bezczynności ani usprawiedliwienia braku współpracy w Prezesem UODO.
W wyroku z dnia 2 lutego 2021 r. (C‑481/19, DB vs. Commissione Nazionale per le Societa e la Borsa (Consob) TSUE orzekł, że osoba fizyczna, wobec której toczy się postępowanie administracyjne w sprawie czynu niedozwolonego w postaci wykorzystania informacji poufnych, ma prawo do zachowania milczenia, jeżeli jej odpowiedzi mogłyby prowadzić do pociągnięcia jej do odpowiedzialności za czyn niedozwolony zagrożony sankcjami administracyjnymi mającymi charakter karny lub odpowiedzialności karnej. Niemniej TSUE zastrzegł przy tym, że prawo do milczenia nie może uzasadniać całkowitego braku współpracy z właściwymi organami, na przykład w postaci odmowy stawienia się na przesłuchanie czy też podejmowanie działań mających na celu opóźnienie owego przesłuchania. Podstawowy kontekst prawny tego orzeczenia związany jest wprawdzie z przepisami dotyczącymi nadużyć na rynku, jednakże analiza odnosi się do art. 48 KPP, który kształtuje domniemanie niewinności. Gwarancje domniemania niewinności ujęte zostały proceduralnie m.in. w art. 86 uodo w związku z art. 84 kpa i w ich kontekście należy wykładać obowiązek współpracy z art. 31 RODO ograniczony oczywiście art. 48 KPP. - W jaki sposób dyrektor jednostki sektora finansów publicznych będący reprezentantem administratora powinien udokumentować przetwarzanie danych na polecenie administratora? Czy w takiej sytuacji jest to oczywiste, czy powinien np. upoważnić siebie do przetwarzana?
j.w.
Zgodnie z art. 28 ust. 3 pkt a) RODO, umowa powierzenia przetwarzania danych stanowi m.in., że podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Prawodawca unijny, nie wskazał co należy rozumieć pod pojęciem udokumentowanych poleceń ani nie przesądził jaką formę powinny one mieć. Jednak mając na uwadze, że przepis art. 28 ust. 3 lit. a) w zw. z art. 28 ust. 9 RODO wymaga jedynie, by sama umowa miała formę pisemną (w tym formę elektroniczną), i by w ramach tej umowy został ustanowiony generalny obowiązek działania na udokumentowanie polecenie administratora, wydaje się słuszne przyjęcie, że same wytyczne mogą być kształtowane w późniejszym czasie w formie ustalonej przez strony stosunku powierzenia. Polecenie to może stanowić element umowy powierzenia lub odrębny dokument. Warunkiem koniecznym jest to, by forma przekazania polecenia umożliwiała jego udokumentowanie. Ma to bowiem istotne znaczenie dla spełnienia wymogu rozliczalności zarówno przez administratora, jak i podmiot przetwarzający.
Powyższe stanowisko potwierdza decyzja PUODO z dnia 11 lutego 2021 r. Na mocy przedmiotowej decyzji organ nadzorczy nałożył na Krajową Szkołę Sądownictwa i Prokuratury administracyjną karę pieniężną w wysokości 100 000 zł, m.in. za naruszenie art. 28 ust. 3 RODO poprzez powierzenie przetwarzania danych osobowych bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, a także bez określenia w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz bez doprecyzowania rodzaju danych osobowych przez wskazanie ich kategorii. Zdaniem PUODO, umowa powierzenia powinna zawierać przynajmniej ogólne sformułowanie zobowiązujące podmiot przetwarzający do działania wyłącznie na udokumentowane polecenie administratora. - Urząd gminy prowadzi obsługę finansową podległych jednostek, czy należy zawrzeć umowę powierzenia?
Tak, należy zawrzeć umowę powierzenia przetwarzania danych osobowych. Organ wykonawczy gminy (wójt) działający przez urząd gminy jest procesorem względem tych obsługiwanych jednostek. - Czy z kancelarią, spółką której radcowie pracują dla zleceniodawcy w siedzibie zleceniodawcy i na jego sprzęcie ( tak jak pracownicy ), powinna być zawarta umowa powierzenia czy wystarczy, że każdy z nich ( tak jak pracownicy) jest upoważniony do przetwarzania, musi stosować procedury wewnętrzne zleceniodawcy etc.?
W opisanym stanie faktycznym nie jest konieczne zawarcie umowy powierzenia przetwarzania danych osobowych. Radcowie prawni świadczący pomoc prawną w siedzibie zleceniodawcy będą ją świadczyć na podstawie upoważnień do przetwarzania danych. - Jak postąpić , gdy procesor odmawia uporczywie zawarcia umowy powierzenia przetwarzania? Chodzi o podmiot utrzymujący stronę internetową i zapewniający konta e-mail.
Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. W sytuacji, gdy podmiot świadczący usługi hostingowe uporczywie odmawia zawarcia umowy powierzenia przetwarzania nie można powiedzieć, by był on gwarantem prawidłowego wykonania przepisów RODO. W konsekwencji zaleca się zmianę dostawcę tej usługi. - Jakie rekomenduje Pan podejście do rejestracji procesów. Chodzi o to jaki poziom szczegółowości uznać za właściwy: np. jeden cel, ale różne podstawy to ten sam proces czy jednak lepiej dać je osobno?
Zasadą jest, że jeden cel powinien stanowić jeden proces. Niemniej, w przypadku większych organizacji i złożonych procesów biznesowych, możliwe jest wyodrębnienie w RCPD kilku czynności przetwarzania danych, które są realizowane w tym samym celu. Czynności przetwarzania w rozumieniu art. 30 ust. 1 RODO to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.
W przypadku rekrutacji pracowników, jeden cel będzie obejmował wiele cząstkowych operacji niewymagających szczegółowego ich opisywania w rejestrze, takich jak: pozyskiwanie informacji o kandydatach z ofert nadesłanych w wyniku ogłoszenia, dokonywanie ich selekcji, uzyskiwanie dodatkowych informacji w ramach przeprowadzania wywiadów z wybranymi osobami, usuniecie danych osób, które nie zostały wskazane do zatrudnienia itp. Przy wyodrębnianiu poszczególnych procesów (zespołów czynności) zasadne jest uwzględnienie rzeczywistego podziału zadań pomiędzy poszczególnymi komórkami organizacyjnymi lub osobami w danej jednostce. W dużych podmiotach, o złożonej strukturze organizacyjnej często wydziela się oddzielny zespół do spraw kadr i oddzielny do spraw płac - opracowanie Prezesa UODO pt. „Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO”. - Czy istnieje możliwość zainstalowania aplikacji GDPR Risk Tracker na własnej infrastrukturze, czy jedynie w formie SaaS?
Istnieje możliwość dedykowanej instalacji po ustaleniu wymagań technicznych i funkcjonalnych po stronie zamawiającego. - Jaka jest różnica pomiędzy poszczególnymi pakietami tego programu?
Różnica polega wyłącznie na większej bądź mniejszej liczbie użytkowników, którzy mogą jednocześnie korzystaćz aplikacji w ramach jednego opłaconego abonamentu. - Czy GDPR Risk Tracker można przyrównać do RCP + analiza ryzyka, czy jest to program stricte do analizy ryzyka?
RCP, analiza ryzyka, DPIA – słowem komplet danych umożliwiających administratorowi wykazanie się rozliczalnością. - Gdzie są przetwarzane i przechowywane informacje i dane wpisywane do GDPR Risk Tracker?
Na serwerach w Polsce i Niemczech. - Czy stosowanie zaprezentowanego narzędzia nie generuje ryzyka złudnego poczucia, że wystarczy "odklikać" wszystko w programie i będziemy mieli zgodność z RODO?
Program istotnie przyspiesza i systematyzuje proces tworzenia rejestru czynności i analizy ryzyka. Ale absolutnie nie oznacza to, że można wszystko bezrefleksyjne „odklikać”. Rzetelne przejście przez wszystkie ekrany da natomiast odpowiedź, czy jesteśmy zgodni czy nie, w zależności od udzielanych odpowiedzi.
Dr Dominik Lubasz jest współautorem programu GDPR Risk Tracker, przeznaczonego dla Administratorów Danych oraz Inspektorów Ochrony Danych. Aplikacja umożliwia przeprowadzenie kompleksowej analizy ryzyka oraz oceny skutków przetwarzania (DPIA).
Więcej informacji o GDPR Risk Tracker >>
Zapraszamy do lektury pozostałych newsów na temat GDPR Risk Tracker: - GDPR Risk Tracker: duże zainteresowanie szkoleniem online i aplikacją
- Dokumentacja ochrony danych osobowych zgodnie z zasadą rozliczalności