Szkolenie RODO od podstaw

Rekomendowaną treść dokumentacji przetwarzania danych osobowych przedstawił UODO na stronie https://uodo.gov.pl/pl/138/273. Uczestnicy szkolenia otrzymają wzorcową politykę ochrony danych osobowych, a w trakcie szkolenia zostaną omówione jej poszczególne elementy.

Przeciętny człowiek rozumie pojęcie „danych osobowych” dosyć wąsko, zazwyczaj ograniczając je do imienia i nazwiska, danych kontaktowych, PESEL-u czy numeru dowodu. Tymczasem jest ono szerokie i obejmuje wszelkie informacje o zidentyfikowanej lub – uwaga – możliwej do zidentyfikowania osobie fizycznej. To właśnie kwestia, czy dana osoba jest możliwa do zidentyfikowania, i dla kogo ma być ona możliwa do zidentyfikowania, abyśmy mieli do czynienia z danymi osobowymi, budzi najwięcej kontrowersji. Na szkoleniu dokładnie wyjaśnimy szeroką i złożoną definicję danych osobowych, w szczególności zależność „zaistnienia” danych osobowych od konkretnego kontekstu. Wyjaśnimy też, że wyroki są wydawane w odniesieniu do konkretnego stanu faktycznego i dlatego nie mogą raz na zawsze przesądzać, że dana informacja jest bądź nie jest daną osobową.

Usunięcie danych musi nastąpić w granicach art. 17 RODO. Nie można usunąć danych klienta, które są niezbędne dla realizacji aktywnej umowy albo niezbędne dla dochodzenia bądź obrony roszczeń. Na szkoleniu wyjaśnimy też, dlaczego prawo do bycia zapomnianym nie jest prawem bezwzględnym i jak należy prawidłowo rozumieć ustanie celu przetwarzania.

Zawsze przed przekazaniem konieczna jest weryfikacja, czy mamy do czynienia z powierzeniem przetwarzania (to wtedy musimy zawrzeć umowę powierzenia), czy z udostępnieniem danych odrębnemu administratorowi. Dlatego tak ważne jest prawidłowe rozpoznanie ról poszczególnych podmiotów w procesie przetwarzania. Na szkoleniu będziemy wyjaśniać, jak odróżnić procesora od odrębnego administratora i dlaczego jest to bardzo ważne.

Co do zasady – tak. Ten obowiązek i sposób jego wykonania wynika z art. 13 i 14 RODO. Są jednak pewne sytuacje, w których obowiązek ten jest wyłączony, tj. dzieje się tak wówczas i w takim zakresie, w jakim osoba ta dysponuje już tymi informacjami (oznacza to, że jeśli np. pojawia się nowy cel przetwarzania, to musimy o tym nowym celu poinformować osobę, której dane dotyczą, nie ma jednak konieczności ponownego przekazywania całej klauzuli informacyjnej, jeśli została ona przekazana już wcześniej – wystarczy jedynie odesłanie do jej treści w pozostałym, niezmieniającym się zakresie). Dodatkowo – w przypadku, gdy dane pozyskiwane są z innego źródła niż od osoby, której dane dotyczą, obowiązek nie musi być spełniany w sytuacjach, o których mowa w art. 14 ust. 5 RODO, tj.:

• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
• pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Każdorazowo jednak przed ewentualną rezygnacją ze spełniania obowiązku informacyjnego należy dokonać analizy konkretnego przypadku, czy mieści się on w którejś z powyższych sytuacji. Dla celów rozliczalności administrator powinien udokumentować taką analizę, by w razie potrzeby móc wykazać i uzasadnić przed organem nadzorczym przyjęte przez siebie stanowisko. Do rezygnacji ze spełniania obowiązku informacyjnego należy podchodzić bardzo ostrożnie, gdyż i na tym tle zapadła decyzja o ukaraniu administratora (decyzja UODO ZSPR.421.3.2018).

Transfer danych do USA jest dużo łatwiejszy od czasu, kiedy Komisja Europejska wydała względem tego kraju tzw. decyzję o adekwatności. Oznacza to, że do wszystkich firm wpisanych na listę https://www.dataprivacyframework.gov/list można transferować dane, przy czym należy zwrócić uwagę, czy zamierzamy transferować „HR-data” czy „Non-HR-data”, ponieważ w przypadku niektórych firm możemy na tej podstawie transferować jedynie „Non-HR-data”. Jeśli danej firmy z USA w ogóle nie ma liście, transfer danych do takiej firmy będzie wymagał najczęściej zawarcia tzw. standardowych klauzul umownych, tj. dodatkowej umowy transferowej o z góry narzuconej treści.

Nie. Przed przekazaniem danych jakiemukolwiek podmiotowi zewnętrznemu (uwaga: samo udzielenie dostępu do danych to również ich przekazanie) należy ustalić rolę tego podmiotu – czy będzie on odrębnym, samodzielnym administratorem danych osobowych (sam ustala cele i sposoby przetwarzania), czy też wykonuje on pewne czynności na danych tylko na nasze polecenie, nie będąc jednak decyzyjnym w tym zakresie. W praktyce należy przed każdym przekazaniem danych ustalić, z którą sytuacją mamy do czynienia. Jeśli przekazujemy dane do odrębnego administratora, musimy to zrobić na jednej z podstaw wskazanych art. 6 lub 9 RODO, jeśli do podmiotu przetwarzającego – musimy jedynie zawrzeć z nim umowę powierzenia, o której mowa w art. 28 RODO. Uwaga: bywają też inne konfiguracje – czasem to my jesteśmy podmiotem przetwarzającym dla innej firmy. Najważniejsze, żeby przed każdym nowym przepływem danych pomiędzy dwoma odrębnymi podmiotami najpierw ustalić, jakie są ich role. Jasność w tym przedmiocie rozwiązuje wiele problemów w sytuacjach krytycznych, takich jak naruszenie ochrony danych czy skarga osoby, której dane dotyczą.

Tak, wymóg ten wynika bezpośrednio z art. 28 ust. 1 RODO, zgodnie z którym „jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”. Oznacza to, że zawarcie umowy powierzenia powinno być zawsze poprzedzone taką weryfikacją, np. za pomocą ankiety bezpieczeństwa, w której podmiot przetwarzający wskazuje, jakie środki stosuje / zastosuje, by ochronić dane osobowe. Taka ankieta pozwoli administratorowi na wydanie oceny co do tego, czy uważa te środki za wystarczające, czy może uzna za niezbędne podjęcie przez podmiot przetwarzający dodatkowych działań, by zapewnić danym odpowiednie bezpieczeństwo. Również Prezes Urzędu Ochrony Danych Osobowych zwraca uwagę na tę kwestię, np. w decyzji UODO 5131.31.2021, w której administrator został ukarany m.in. za fakt, że nie dokonał weryfikacji podmiotu przetwarzającego. Co równie ważne – taka weryfikacja powinna być ponawiana także w czasie trwania współpracy.

W czasie szkolenia zasada ta jest omawiana na przykładzie aplikacji mobilnej, ale dotyczy wszystkich operacji przetwarzania i procesów, które zachodzą w organizacji.