Jak oceniać, czy prawnie uzasadniony interes administratora jest dopuszczalny? Udostępniamy wzór testu równowagi

Jednym z aspektów ochrony danych osobowych opartej na RODO jako instrumencie konkretyzującym i realizującym prawa człowieka (prawo do prywatności i prawo do ochrony danych osobowych) jest równowaga pomiędzy interesami i prawami uczestników obrotu prawnego. Już w motywie 4 Rozporządzenia wskazuje się na ww. aspekt: „prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych, w myśl zasady proporcjonalności”.

W rezultacie interes osoby, której dane dotyczą, trzeba ważyć z interesem Administratora i vice versa.

Wyrazem powyższego jest m.in. podstawa przetwarzania z art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes Administratora, zgodnie z którym Administrator może przetwarzać dane osobowe, jeśli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Wynikają z jego treści trzy przesłanki, dwie pozytywne i jedna negatywna:

  1. istnienie prawnie uzasadnionego interesu (przesłanka pozytywna),
  2. niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów (przesłanka pozytywna),
  3. wobec wskazanych interesów nadrzędny charakter mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem (przesłanka negatywna).

Zgodnie z motywem 47 RODO, Administrator powinien brać pod uwagę rozsądne przesłanki osoby, której dane dotyczą, aby spodziewać się, że może nastąpić przetwarzanie w danym celu, a także rozważyć intensywność ingerencji w prawa i wolności osoby, jej właściwości, jak np. wiek.

Jeśli balans interesów przeważa po stronie podmiotu danych, Administrator chcący kontynuować przetwarzanie, powinien wdrożyć adekwatne środki techniczne i organizacyjne, aby odwrócić balans interesów na swoją korzyść, np. za pomocą minimalizacji danych lub innych odpowiednich środków technicznych i organizacyjnych.

Ww. motyw wskazuje też, że aby stwierdzić istnienie prawnie uzasadnionego interesu, Administrator powinien w każdym przypadku przeprowadzić dokładną ocenę (ang. „careful assessment”).

W niniejszym artykule wskażę, jakie kryteria Administrator powinien brać pod uwagę, aby móc zastosować ową dokładną ocenę prawnie uzasadnionego interesu i przetwarzać dane zgodnie z prawem.

Kryteria testu równowagi

Grupa Robocza art. 29 w Opinii 06/2014 w sprawie pojęcia uzasadnionych interesów Administratora danych, zawartego w art. 7 dyrektywy 95/46/WE (WP 217) wskazuje następujące kroki, jakie powinien podjąć Administrator w celu prawidłowego przeprowadzenia testu równowagi i przetwarzania danych na podstawie prawnie uzasadnionego interesu:

  1. ocena, która podstawa prawna może potencjalnie mieć zastosowanie,
  2. kwalifikacja interesu jako „uzasadnionego” lub „nieuzasadnionego”,
  3. ustalenie, czy przetwarzanie jest konieczne dla realizacji zamierzonego interesu,
  4. ustalenie tymczasowej równowagi poprzez ocenienie, czy podstawowe prawa i interesy osób, których dane dotyczą, przeważają nad interesem administratora danych,
  5. ustalenie ostatecznej równowagi poprzez uwzględnienie dodatkowych gwarancji,
  6. wykazanie zgodności i zapewnienie przejrzystości,
  7. zapewnienie realizacji prawa do sprzeciwu.

Na marginesie warto zwrócić uwagę, że „test równowagi” jest niefortunnym sformułowaniem, gdyż w przypadku równowagi interesów Administratora i osoby, której dane dotyczą, nie dojdzie do aktualizacji przesłanki nadrzędności interesów Administratora. Wydaje się, że bardziej adekwatne byłoby określenie „test ważenia”, „test nadrzędności”, czy też „ocena prawnie uzasadnionego interesu” (ang. legitimate interest assessment).

Prawnie uzasadniony interes oraz test równowagi były przedmiotem rozważań Trybunału Sprawiedliwości Unii Europejskiej. W wyroku z dnia 4 maja 2017 r. ws. C-13/16 Rīgas satiksme TSUE wskazał na trzy kumulatywne przesłanki powołania się na prawnie uzasadniony interes:

  1. istnienie prawnie uzasadnionego interesu (test celu),
  2. konieczność przetwarzania danych osobowych (test niezbędności),
  3. przesłanka, aby nie miały pierwszeństwa prawa i wolności osoby objętej ochroną danych (test równowagi).

Powyższe kroki oraz wskazane przez TSUE przesłanki mają również zastosowanie w aktualnym stanie prawnym, a zatem można się nimi posłużyć tworząc narzędzie do oceny dopuszczalności prawnie uzasadnionego interesu.

Test celu

Pierwszym etapem oceny prawnie uzasadnionego interesu jest identyfikacja celu przetwarzania, określenie, czy można zastosować którąś z pozostałych podstaw prawnych z art. 6 ust. 1 RODO oraz ocena, czy cel ten wynika z interesów Administratora, które są „prawnie uzasadnione”.

Oznacza to, że cel musi mieć oparcie w jakimkolwiek interesie Administratora, tj. w interesie faktycznym, prawnym lub ekonomicznym, który jest legalny, tj. dopuszczalny w świetle prawa unijnego i krajowego. Interes może wynikać z prawa podmiotowego danej osoby; szczególną wagę należy przywiązywać do katalogu praw podstawowych, zawartych w Karcie praw podstawowych oraz Konstytucji, np. prawo do własności, prywatności, wolności sumienia, prowadzenia działalności gospodarczej.

Interes ten musi mieć charakter rzeczywisty i aktualny, a także być sformułowany w sposób wystarczająco szczegółowy, tak aby w ogóle było możliwe przeprowadzenie testu równowagi.

Funkcja IOD - to się dobrze przekazuje

Prawnie uzasadniony interes nie musi wynikać bezpośrednio z konkretnej normy prawnej; może mieć jednak oparcie w konkretnie wskazanym uprawnieniu wynikającym z przepisów prawa lub umowy. Takim przykładem może być monitoring pracowniczy z art. 222 Kodeksu pracy, który uprawnia pracodawcę do wprowadzenia monitoringu pracowniczego w przypadku, jeśli to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Istotne wskazówki dotyczące istnienia prawnie uzasadnionego interesu znaleźć można w motywie 47 RODO, który stanowi, iż mamy do czynienia z takim interesem, gdy osoba, której dane dotyczą, ma w danym procesie przetwarzania rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.

Ponadto, w ocenie, czy w danej sytuacji można posłużyć się prawnie uzasadnionym interesem mogą być pomocne przykłady wskazane w RODO oraz w orzecznictwie TSUE i decyzjach organów nadzorczych, np.:

  1. zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a Administratorem, np. gdy osoba, której dane dotyczą, jest klientem Administratora lub działa na jego rzecz (motyw 47 RODO),
  2. zapobieganie oszustwom (motyw 47 RODO),
  3. marketing bezpośredni (motyw 47 RODO),
  4. przesyłanie danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych (motyw 48 RODO),
  5. zapewnienie bezpieczeństwa sieci i informacji (motyw 49 RODO),
  6. monitoring wizyjny (Wytyczne EROD 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo),
  7. monitoring wizyjny w prywatnym domu (C-212/13 Ryneš),
  8. monitoring wizyjny zainstalowany przez wspólnotę mieszkaniową w budynku wielorodzinnym (C-708/18, Asociaţia de Proprietari bloc M5A-ScaraA),
  9. pozyskanie danych osobowych w celu pozwania danej osoby o odszkodowanie (C-13/16, Rīgas satiksme),
  10. udostępnienie danych osobowych osoby, która pełniła funkcje w zlikwidowanej już spółce (C-398/15, Manni),
  11. wykorzystanie adresu mailowego byłego wiceprezesa i wspólnika spółki w celu poinformowania kontrahentów o zmianach, jakie nastąpiły we władzach spółki, które odbywa się za pomocą automatycznej odpowiedzi kierowanej do kontrahenta zainteresowanego kontaktem z byłym wiceprezesem (decyzja PUODO z dnia 19 lutego 2019 r., ZSZZS.440.658.2018);
  12. dochodzenie roszczeń finansowych i udostępnienie danych osobowych na giełdzie długów (decyzja PUODO z dnia 13 września 2021 r., DKE.523.23.2021)
  13. targetowanie użytkowników mediów społecznościowych (Wytyczne EROD 8/2020 w sprawie targetowania użytkowników mediów społecznościowych).

Test niezbędności  

Kolejnym krokiem jest ocena, czy przetwarzanie danych osobowych w już zidentyfikowanym celu,  wynikającym z określonego prawnie uzasadnionego interesu jest niezbędne do osiągnięcia tychże celów. Należy w tym miejscu wskazać również na zasadę minimalizacji danych, wg której dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

W konsekwencji, Administrator powinien rozważyć, w jaki sposób planowane przetwarzanie przyczyni się do realizacji celu, czy wszystkie dane są konieczne do realizacji danego celu, czy można osiągnąć dany cel innymi środkami, które mniej ingerują w prywatność osoby, której dane dotyczą.

Test równowagi

Po ustaleniu, że przetwarzanie jest niezbędne do celu wynikającego z prawnie uzasadnionego interesu pozostaje Administratorowi ocena, czy zidentyfikowane interesy mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dane dotyczą.

Na tym etapie oceny możliwości oparcia przetwarzania na prawnie uzasadnionym interesie niezbędne zatem będzie wyważenie interesów obu stron relacji – w przypadku, jeśli szala przeważy po stronie podmiotu danych, należy zaprzestać przetwarzania na tej podstawie bądź wprowadzić dodatkowe środki, które pozwolą zmniejszyć negatywny wpływ przetwarzania na osobę, którą dane dotyczą. Takim środkiem może być dodatkowa pseudonimizacja lub anonimizacja danych, zmniejszenie zakresu przetwarzanych danych (np. poprzez zmianę kąta ustawienia kamer – w przypadku monitoringu wykraczającego poza niezbędny obszar), a także umożliwienie wyrażenia bezwarunkowego sprzeciwu wobec przetwarzania (mechanizm opt-out).

Podobnie jak w przypadku interesu Administratora, konieczna będzie identyfikacja interesu podmiotu danych. W tym celu Administrator powinien zbadać charakter interesów drugiej strony szali, tj. w szczególności:

  1. określić, jakie dane osobowe będą przetwarzane, np. czy zwykłe, czy szczególnych kategorii, a jeśli zwykłe, to czy będą to dane finansowe, behawioralne, wysoce osobiste, czy inne o szczególnym charakterze, jak np. PESEL, a także czy będą to dane dzieci bądź innych osób wymagających szczególnej opieki (np. pracownicy, osoby z niepełnosprawnością intelektualną, osoby starsze),
  2. określić, na jakie interesy i prawa podstawowe osoby, której dane dotyczą, będzie wpływało przetwarzanie.

W przypadku, jeśli Administrator stwierdzi, że w danym procesie będą przetwarzane dane szczególnych kategorii lub dane dotyczące wyroków skazujących, nie będzie mógł oprzeć się na podstawie z art. 6 ust. 1 lit. f RODO, a będzie musiał dokonać oceny, jakie podstawy prawne z art. 9 ust. 2 RODO i art. 10 RODO będą miały zastosowanie. Z kolei, jeśli będą to dane o szczególnej istotności lub dane wysoce osobiste, to bez wątpienia będzie miało wpływ na balans równowagi pomiędzy interesami ADO i osoby, której dane dotyczą. Szczególną okolicznością wpływającą na przetwarzanie na podstawie prawnie uzasadnionego interesu Administratora będzie przetwarzanie danych dzieci, na co wprost wskazuje RODO w art. 6 ust. 1 lit. f in fine, w świetle którego interesy i prawa podstawowe dziecka będą domyślnie nadrzędne nad interesem Administratora, co nie wyklucza jednak przeprowadzenia odpowiedniego testu równowagi i zastosowania szczególnych środków ochrony mających na celu maksymalne zniwelowanie ryzyka dla interesów dziecka.

Kiedy ostatnio
robiłeś analizę ryzyka?

Ryzyko i DPIA są podstawowymi elementami budowy systemu ochrony danych.
ZAMÓW OFERTĘ
Kolejnym elementem będzie ustalenie dalszego kontekstu przetwarzania poprzez ustalenie, skąd pochodzą dane osobowe, jaki jest rodzaj i charakter powiązania pomiędzy ADO a podmiotem danych, w tym czy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania lub jaka jest pozycja i status Administratora, np. pojedynczy adwokat lub radca prawny związany tajemnicą zawodową może być większym gwarantem ochrony interesów pomiotu danych niż międzynarodowa korporacja o dominującej pozycji rynkowej.

Inny charakter będzie miało przetwarzanie wynikające z relacji umownych, kiedy obiektywnie można stwierdzić, że dana osoba może się spodziewać danego przetwarzania (np. kontakt w celu realizacji umowy), a inny kiedy dane zbierane są bez wiedzy osoby i przetwarzane w sposób, który może ją zaskoczyć.

Istotną okolicznością może być charakter przetwarzania, m.in. czy przetwarzanie ma charakter zautomatyzowany, stały, na dużą skalę, czy też ma miejsce upublicznienie danych lub do przetwarzania dochodzi przy pomocy profilowania, eksploracji danych, uczenia maszynowego etc.

Trzecim etapem testu równowagi będzie ocena prawdopodobnego wpływu przetwarzania na podmiot danych. W tym etapie Administrator może postawić się w roli osoby, której dane dotyczą i z tej perspektywy – biorąc pod uwagę ustalenia z wcześniejszych etapów testu – ocenić, jakie korzyści i jakie zagrożenia niesie dane przetwarzanie. Wpływ przetwarzania na osobę powinien być rozumiany szeroko,  a w celu jego oceny można się posłużyć kryteriami analizy ryzyka,  tj. prawdopodobieństwa wystąpienia negatywnego skutku oraz wagi skutków wystąpienia negatywnego skutku. W przypadku uprzedniej analizy ryzyka lub oceny skutków dla ochrony danych (DPIA) można się posłużyć wynikami oceny ryzyka naruszenia praw lub wolności podmiotu danych oraz wskazanymi w analizie ryzyka lub DPIA środkami planowanymi w celu zaradzenia ryzyku.

W przypadki dalszego negatywnego wpływu należy rozważyć, czy istnieją dodatkowe gwarancje, którymi mógłby się posłużyć Administrator, tj. wspomniane już środki wyrównujące lub zabezpieczenia. Jeśli po wprowadzeniu tychże środków ryzyko rezydualne przekracza dopuszczalny poziom, należy rozważyć zaprzestanie przetwarzania.  

Rezultat oceny

Nie sposób wskazać jednego zobiektywizowanego sposobu przeprowadzania oceny prawnie uzasadnionego interesu, jednak przeprowadzenie oceny w ww. trzech krokach z uwzględnieniem wszystkich dodatkowych okoliczności w sposób „dokładny”, tj. rzetelnie, obiektywnie – a zatem nie „pod tezę” – na podstawie rzeczywistego stanu faktycznego, ewentualnie przy pomocy wiedzy i doświadczenia inspektora ochrony danych lub innego profesjonalisty, powinno skutkować prawidłową decyzją o zastosowaniu danej podstawy przetwarzania.

W przypadku wyniku, wedle którego szala wagi będzie przeważała po stronie interesów lub praw i wolności osoby, której dane dotyczą, tj. jej interesy będą nadrzędne w stosunku do prawnie uzasadnionego interesu Administratora, należy wstrzymać przetwarzanie bądź nie rozpoczynać planowanego procesu.

Jeśli jednak ocena wskaże, że interes Administratora jest nadrzędny w stosunku do interesu podmiotu danych, to wiąże się to z wpływem zastosowania danej podstawy przetwarzania na realizację obowiązków prawnych spoczywających na Administratorze.

W pierwszej kolejności należy wskazać, że obowiązek oceny prawnie uzasadnionego interesu wymaga – zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) – udokumentowania jej w taki sposób, aby możliwe było ocenienie, czy została wykonana prawidłowo, a zatem zgodnie z zasadą zgodności z prawem (art. 5 ust. 1 lit. a RODO), a także z przesłankami prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f w zw. z motywem 47 RODO).

Z zasadą rozliczalności powiązana jest też zasada przejrzystości (art. 5 ust. 1 lit. a RODO), której realizację zapewnia m.in. art. 13 i 14 RODO, tj. obowiązek informacyjny. Oba ze wskazanych przepisów wskazują na obowiązek informowania o prawnie uzasadnionych interesach realizowanych przez Administratora lub przez stronę trzecią (art. 13 ust. 1 lit. d oraz art. 14 ust. 2 lit. b RODO). Wytyczne Grupy Roboczej Art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679 (WP260, rev. 01) wskazują na „najlepszą praktykę” Administratora, polegającą na przedstawieniu osobie, której dane dotyczą, wyników testów równowagi. Taką informację można przekazać w sposób warstwowy, odsyłając do bardziej szczegółowej części klauzuli informacyjnej.

W ocenie GR29, z klauzuli informacyjnej powinno wynikać, że podmiot danych może uzyskać informacje dotyczące testu równowagi na żądanie. Zakres udzielonych informacji na pewno powinien być większy przy przetwarzaniach, które mogą wydawać się z perspektywy osoby, której dane dotyczą,  wątpliwe bądź cechujących się wyższym poziomem ryzyka negatywnych skutków dla praw i wolności jednostki.

Informacja o teście równowagi powinna wskazywać na wszystkie trzy elementy testu (cel, konieczność, równowaga) i być przejrzysta, tj. łatwo dostępna i zrozumiała oraz sformułowana jasnym i prostym językiem, a zatem może wyglądać następująco:

Przykład
Cel: Państwa dane przetwarzamy w celu, o którym mowa w [cel wskazany w klauzuli informacyjnej], co stanowi nasz prawnie uzasadniony interes.

Konieczność: Wskazany proces jest konieczny, gdyż [należy wskazać dlaczego przetwarzanie jest niezbędne do osiągnięcia celu].

Równowaga: Przetwarzanie może mieć następujący wpływ na osoby, których dane dotyczą: [należy wskazać zidentyfikowane ryzyka/zagrożenia dla interesów lub praw i wolności podmiotu danych], jednak wprowadziliśmy następujące środki wyrównujące: [należy wskazać zastosowane środki], ponadto gwarantujemy prawo do sprzeciwu wobec przetwarzania, które możesz zrealizować poprzez [wskazać sposób realizacji prawa do sprzeciwu].

Rezultat: Nasz prawnie uzasadniony interes przeważa zatem nad interesem lub podstawowymi prawami i wolnościami osoby, której dane dotyczą.

Ponadto nie zmieniają się pozostałe obowiązki Administratora, w szczególności związane z realizacją praw osób, których dane dotyczą, z wyjątkiem prawa do przenoszenia danych, które jest jedynym prawem nie znajdującym zastosowania w przypadku przetwarzania na podstawie prawnie uzasadnionego interesu.

W procesach, w których dane są przetwarzane na podstawie prawnie uzasadnionego interesu, wyjątkowej wagi nabiera prawo do sprzeciwu, które ma zastosowanie jedynie w przypadku przetwarzania na podstawie art. 6 ust. 1 lit. e i f RODO.

Bezpłatna wiedza o RODO - korzystaj do woli!

Prawo do sprzeciwu co do zasady przysługuje osobie, której dane dotyczą „z przyczyn związanych z jej szczególną sytuacją”, tj. sytuacją, w której osoba ponosi negatywne konsekwencje przetwarzania. W przypadku zaistnienia tej przesłanki Administratorowi nie wolno już przetwarzać danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń, czyli dokona po raz kolejny testu równowagi.

RODO narzuca bezwarunkową realizację sprzeciwu w przypadku marketingu bezpośredniego, w tym realizowanego w jego ramach profilowania. Nie oznacza to jednak, że Administrator nie może zapewnić takiego bezwarunkowego sprzeciwu w innych procesach, co mogłoby być środkiem pozwalającym na przesunięcie wagi interesów na rzecz Administratora.

W przypadku usług społeczeństwa informacyjnego osoba, której dane dotyczą, może zrealizować prawo sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

Pamiętać jednak należy, że zasadą powinno być zapewnienie złożenia sprzeciwu drogą elektroniczną, w szczególności, gdy dane osobowe są przetwarzane drogą elektroniczną, a także niestosowanie zbędnego formalizmu i traktowanie każdego oświadczenia, z którego wynika intencja złożenia sprzeciwu,  jako sprzeciw w rozumieniu art. 21 RODO.

Jak powinien wyglądać formularz testu równowagi?

Jak już wspomniano, nie ma jednego sposobu na dokonania testu równowagi. Arkusz, który będzie pomocny przy rozważeniu adekwatności podstawy z art. 6 ust. 1 lit. f RODO powinien zawierać co najmniej elementy testu wskazane powyżej, tj. składać się z minimum następujących części: testów celu, niezbędności i równowagi.

W Internecie można znaleźć wiele przykładów ocen prawnie uzasadnionego interesu, w tym m.in. na stronie internetowej brytyjskiego organu nadzorczego ICO, tym niemniej poniżej zaproponowano prosty i czytelny wzór zawierający kwestie podnoszone w niniejszym artykule z rozwiniętą częścią dotyczącą analizy ryzyka.

DO POBRANIA: Wzór testu równowagi
quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Która z poniższych odpowiedzi nie stanowi przesłanki prawnie uzasadnionego interesu?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska

„Nasi pracownicy doskonale sobie radzą, szkolenie nie jest im potrzebne"

Jesteś tego pewien?

Zapytaj o e-learning

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".