Prawo dostępu do danych według wytycznych EROD

Europejska Rada Ochrony Danych w styczniu 2022 roku przyjęła do publicznej konsultacji wytyczne 01/2022 dotyczące prawa dostępu do danych (Guidelines 01/2022 on data subject rights – Right of access). Niniejszy artykuł przedstawia wybrane kwestie omówione w tych wytycznych. W nowych wytycznych EROD wskazuje, jaki jest cel prawa dostępu do danych, określa strukturę art. 15 RODO i generalne zasady z tą kwestią związane, przedstawia ogólne rozważania dotyczące oceny wniosków o prawo dostępu, zakres tego prawa oraz do jakich danych i informacji się ono odnosi, wskazuje jak administrator powinien zapewnić dostęp oraz kiedy można go ograniczyć. Interpretacja RODO dokonana przez EROD w omawianych wytycznych oparta została na orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej.

Cel prawa dostępu do danych, struktura art. 15 RODO i generalne zasady z tą kwestią związane

Prawo dostępu ma służyć gwarantowaniu osobie, której dane dotyczą, prawa do prywatności i ochrony danych osobowych w związku z ich przetwarzaniem, jak również do wykonywania innych praw wynikających z RODO (np. sprostowania, usunięcia, sprzeciwu).

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Osobie, której dane dotyczą, należy zapewnić odpowiednią, przejrzystą i łatwo dostępną informację w kwestii przetwarzanych danych osobowych tej osoby, aby miała ona świadomość, co dzieje się z jej danymi, jakie procesy przetwarzania mają miejsce, jakie są konsekwencje takiego przetwarzania, jak również, aby mogła dokonać weryfikacji prawidłowości tych procesów. 

W ocenie EROD kluczowe dla należytego rozpatrzenia wniosku dotyczącego prawa dostępu, w sposób zapewniający, że żaden element nie zostanie pominięty, jest właściwe zrozumienie struktury art. 15 RODO. W celu objaśnienia tej kwestii EROD wyodrębnił z art. 15 osiem różnych elementów: mianowicie:

  1. potwierdzenie, czy dane wnioskodawcy są, czy też nie są przetwarzane przez administratora;
  2. dostęp do danych osobowych wnioskodawcy;
  3. dostęp do informacji o procesach przetwarzania, jak w art. 15 ust. 1, tj. cele, kategorie danych, odbiorcy, przewidywany okres przetwarzania lub kryteria do określenia czasu przetwarzania, prawa osoby, której dane dotyczą – sprostowania, usunięcia, ograniczenia przetwarzania i sprzeciwu, wniesienia skargi do organu nadzorczego, wszystkie dostępne informacje o źródłach pochodzenia danych, jeśli nie zostały zebrane od osoby, której dane dotyczą, informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu i inne informacje z tym związane;
  4. informacje o odpowiednich zabezpieczeniach, o których mowa w art. 46 RODO, w przypadku transferu danych do państw trzecich;
  5. obowiązek administratora dostarczenia kopii danych osobowych podlegających przetwarzaniu;
  6. pobranie rozsądnej opłaty przez administratora, pokrywającej koszty administracyjne za wszelkie kolejne kopie, o które zwraca się wnioskujący;
  7. udostępnienie informacji w formie elektronicznej;
  8. uwzględnienie praw i wolności innych osób.

Jak zaznacza EROD, elementy 1-4 łącznie określają treść prawa dostępu, punkty 5-7 dotyczą warunków dostępu, oprócz ogólnych wymogów określonych w art. 12 RODO, pkt 8 uzupełnia limity i ograniczenia, które przewiduje art. 12 ust. 5 wobec osoby, której dane dotyczą, ze szczególnym naciskiem na prawa i wolności innych osób w kontekście dostępu.

Ogólne rozważania dotyczące oceny wniosków o prawo dostępu

Osoba, której dane dotyczą, składając wniosek o prawo dostępu, nie ma obowiązku jego uzasadniania. Do administratora nie należy natomiast analiza, czy udzielenie informacji zgodnie z wnioskiem rzeczywiście pozwoli stronie zweryfikować prawidłowość tego przetwarzania lub skorzystać z innych praw. Obowiązkiem administratora jest zareagować na wniosek, z wyjątkiem sytuacji, w których stwierdzi on, że wniosek jest składany w innym trybie niż wynikającym z przepisów ochrony danych, jak również, gdy zachodzą przesłanki, o których mowa w art. 12 ust. 5 RODO. Zgodnie z tym przepisem, jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

  1. pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
  2. odmówić podjęcia działań w związku z żądaniem.

Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

Administrator powinien dokonać weryfikacji wniosku w kontekście tego, czy dotyczy on danych osobowych wnioskodawcy i wchodzi w zakres art. 15 RODO (również czy wniosek dotyczy wszystkich danych osoby, czy tylko części), czy też są inne, bardziej szczegółowe przepisy regulujące dostęp w tym zakresie.

Może się zdarzyć, że przepisy krajowe, wydane w oparciu o art. 23 RODO, ograniczają dostęp do pewnych informacji, regulując np. kwestię wymiany informacji pomiędzy stronami sporu prawnego.

Nie ma określonych wymogów co do formuły wniosku o prawo dostępu. Administrator powinien zapewnić łatwo dostępny sposób składania wniosków przez osoby, których dane dotyczą, przy czym nie ma obowiązku, aby osoba ta z niego korzystała, zamiast tego może się bowiem komunikować się z oficjalnym punktem kontaktowym administratora. EROD wskazał, że administrator nie ma obowiązku odpowiadania na wnioski wysłane na całkowicie przypadkowe lub niewłaściwe adresy.

Funkcja IOD - to się dobrze przekazuje

W przypadku niemożliwości identyfikacji danych odnoszących się do wnioskodawcy administrator powinien poinformować go o tym fakcie i konieczności dostarczenia dodatkowych informacji umożliwiających identyfikację. Administrator powinien również zażądać od wnioskodawcy dodatkowych informacji umożliwiających weryfikację jego osoby, jeśli ma wątpliwości co do jego rzeczywistej tożsamości.

Obowiązek wydania kopii danych nie stanowi dodatkowego uprawnienia osoby, której dane dotyczą, lecz sposób udostępnienia danych, który jest głównym sposobem udostępnienia danych, choć w pewnych przypadkach inne sposoby mogą być bardziej właściwe (np. informacja ustna, wgląd do akt, dostęp na miejscu lub zdalny bez możliwości ściągnięcia danych). Wskazuje się, że taki sposób dostępu do danych może być właściwy, gdy interes osoby, której dane dotyczą, za tym przemawia lub gdy jest to sposób, który ta osoba wybrała. Administrator powinien rozsądnie rozważyć taką prośbę, nie ma on bowiem obowiązku przekazywania informacji w sposób inny niż poprzez wydanie kopii. Udostępnienie danych w sposób inny niż poprzez wydanie kopii nie pozbawia osoby, której dane dotyczą, prawa do posiadania także takiej kopii, chyba że w sposób niebudzący wątpliwości zrzeknie się tego prawa.

Zakres prawa dostępu

Integralną częścią oceny koniecznej do przeprowadzenia przez administratora jest ustalenie zakresu danych, co do których osoba, której dane dotyczą, ma prawo dostępu. Administrator musi zatem rozróżnić dane osobowe od innych danych, których wniosek nie obejmuje. Wskazać również należy, że prawo dostępu można wykonywać wyłącznie w zakresie objętym rzeczowym i terytorialnym zasięgiem RODO.

EROD odniósł się do definicji pojęcia danych osobowych, podkreślając jego szeroki charakter, który powinien być oceniany w kontekście art. 4 ust. 1 RODO, wskazując za orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, że za dane osobowe można uznać także notatki poczynione na dokumencie, dotyczące osoby, której dane dotyczą (np. notatki osoby przeprowadzającej rozmowę kwalifikacyjną z kandydatem na jego dokumencie CV).

EROD wskazuje również, że w ramach prawa dostępu w pojęciu danych osobowych zawierają się także dane dotyczące osoby wytworzone przez usługodawcę (odmiennie niż przy realizacji prawa do przenoszenia danych, które swoim zakresem obejmuje wyłącznie te dane, które dostarczyła osoba, której dane dotyczą).

Wnioskodawca może uzyskać dostęp tylko w zakresie dotyczącym tej osoby, z wyłączeniem danych dotyczących innych osób, których praw i wolności administrator musi także przestrzegać. Należy jednak zachować szczególną ostrożność, aby bezzasadnie nie poszerzyć przewidzianych prawem ograniczeń prawa dostępu, które są dopuszczalne tylko pod ściśle określonymi warunkami. EROD wskazuje przy tym, że prawo dostępu dotyczy danych osobowych osoby zgłaszającej żądanie, jednak zakresu tego nie powinno się interpretować nadmiernie restrykcyjnie, tj. zakres tych danych może obejmować dane innych osób, jako przykład podając historię komunikacji przychodzącej i wychodzącej (np. nagrania rozmów telefonicznych między osobą, której dane dotyczą, a administratorem).

Akredytowany kurs IOD
potwierdzi Twoje wysokie kompetencje

Przygotuj się do pełnienia funkcji inspektora ochrony danych. Jakość kursu potwierdził Mazowiecki Kurator Oświaty. Zapraszamy!
WYBIERZ TERMIN
Warunkiem jest, aby w stosunku do tych danych zastosowanie miało RODO i przetwarzanie nie było objęte zwolnieniem z art. 2 ust. 2 lit. c (w ramach czynności o czysto osobistym lub domowym charakterze). W przypadku wykorzystania przez osobę, której dane dotyczą, uzyskanych rejestrów rozmów, np. poprzez ich publikację, staje się ona względem danych innej osoby, której głos znajduje się na nagraniu, ich administratorem, o czym administrator powinien poinformować wnioskodawcę. Nie zwalnia to jednak administratora, do którego został złożony wniosek o prawo dostępu, z obowiązku rozważnej analizy, czy wnioskodawcy może być udzielony pełny dostęp do nagrań. 

W wytycznych EROD porusza również sytuację kradzieży tożsamości, czyli kiedy pewna osoba nieuczciwie działa jako inna osoba. Ofiara takiego przestępstwa powinna wówczas otrzymać wszystkie dane dotyczące jej osoby, choćby zostały one zebrane od złodzieja tożsamości.

Jeżeli osoba, której dane dotyczą, wystąpiła z kolejnym wnioskiem o dostęp do swoich danych, administrator nie może wyłącznie poprzestać na udzieleniu informacji tylko o zmianach, jakie zaszły w stosunku do danych udostępnionych na poprzedni wniosek, chyba że wnioskodawca wyraźnie o to poprosi. Taka sytuacja powodowałaby bowiem, że wnioskodawca sam byłby zobligowany do samodzielnego porównania udostępnionych mu danych w celu skompletowania całości informacji.

Zapewniając dostęp do danych należy również zapewnić dodatkową informację o przetwarzaniu danych, która może być oparta na rejestrze czynności przetwarzania (art. 30 RODO) oraz informacji o ochronie danych (art. 13 i 14), przy czym w razie potrzeby należy ją stosownie zaktualizować lub dostosować, tak aby należycie odzwierciedlała operacje przetwarzania przeprowadzane w odniesieniu do osoby wnioskującej.

Sposób zapewnienia dostępu do danych

Sposób zapewnienia dostępu może różnić się w zależności od liczby danych i złożoności procesu przetwarzania. Jeśli wyraźnie nie zaznaczono inaczej, żądanie dostępu do danych powinno być rozumiane jako dotyczące wszystkich danych dotyczących wnioskodawcy. W przypadki dużej liczby danych przetwarzanych przez administratora może on zwrócić się o sprecyzowanie zakresu żądanych danych, jeśli wniósł on jedynie ogólną prośbą o dostęp.

EROD podaje w wytycznych pewne wskazówki i praktyczne przykłady wypełniania obowiązku związanego z prawem dostępu, wyjaśnia również, co rozumieć przez powszechnie używaną formę elektroniczną, poprzez którą udostępnia się kopię danych oraz terminy zapewnienia dostępu.

Ponieważ osoba, której dane dotyczą ma prawo dostępu do wszystkich informacji jej dotyczących, a przetwarzanych przez administratora, administrator w celu ustalenia całości zasobu tych danych powinien przeszukać swoje wszystkie systemy, zarówno informatyczne, jak i nieinformatyczne zbiory danych.

EROD zwraca uwagę, że już w fazie wdrażania środków technicznych i organizacyjnych dotyczących przetwarzania danych osobowych, administrator powinien wprowadzać funkcje umożliwiające przestrzeganie praw osób, których dane dotyczą. Powinny zatem być wprowadzone przez niego takie rozwiązania, które będą ułatwiały wyszukiwanie informacji w tym zakresie.

Zgodnie z art. 12 ust. 1 RODO, administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

W wytycznych EROD wskazuje jak rozumieć odpowiednie środki, o których mowa powyżej, mając na uwadze, że administrator ma ułatwiać osobie, której dane dotyczące, wykonywanie jej praw. Zaznacza, że odpowiednie środki nigdy nie mogą być rozumiane jako sposób ograniczenia zakresu danych objętych prawem dostępu. Nie oznacza on również, że można równoważyć wysiłki administratora, jakie musi podjąć w celu dostarczenia informacji z jakimkolwiek interesem osoby, której dane dotyczą. Przy ocenianiu odpowiednich środków celem powinien być wybór najwłaściwszej metody dostarczenia wszystkich informacji w ramach prawa dostępu, w zależności od konkretnych okoliczności danego przypadku.

Głównym sposobem zapewniania dostępu do danych osobowych jest wydanie kopii przetwarzanych danych wraz z uzupełniającą informacją, o czym była mowa we wcześniejszej części artykułu.

Nie ma głupich pytań RODO - są darmowe odpowiedzi!

W przypadku, gdy osoba, której dane dotyczą, zwraca się o kopię danych drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną formą elektroniczną. RODO nie precyzuje co kryje się pod tym terminem, natomiast EROD pokusił się o rozwinięcie tej kwestii w wytycznych. Przede wszystkim zaznaczył, że to, co może być uznane za powszechnie używaną formę elektroniczną, powinno opierać się na rozsądnych oczekiwaniach osób, których dane dotyczą, a nie odnosić się do tego, jakiego formatu używa administrator w swojej codziennej działalności. Osoba, której dane dotyczą, nie powinna być zobowiązana do zakupu określonego oprogramowania w celu uzyskania dostępu do Informacji. Zastosowana forma elektroniczna powinna być zrozumiała i łatwo dostępna. Powinna być również stała, trwała w czasie. W stosownych przypadkach kopia danych osobowych może być przechowywana na elektronicznym urządzeniu pamięci masowej, takim jak CD lub USB.

EROD zastrzega również, że aby administrator mógł uznać, że udostępnił dane osobowe osobie, której one dotyczą, nie wystarczy samo udostępnienie danych, lecz konieczne jest, by osoba miała możliwość pobrania swoich danych w powszechnie stosowanej formie elektronicznej.

W terminie miesiąca od dnia wpływu wniosku administrator powinien poinformować o podjętych działaniach w związku z żądaniem. Termin ten można przedłużyć o kolejne dwa miesiące z uwagi na charakter żądania lub liczbę żądań, pod warunkiem, że osoba została poinformowana o przyczynach takiego opóźnienia w ciągu miesiąca od wpływu wniosku.

EROD wskazuje, że termin zaczyna biec od dnia wpłynięcia wniosku do jednego z oficjalnych kanałów; nie ma przy tym znaczenia, czy administrator faktycznie zauważył wpływ takiego wniosku. W przypadku, gdy administrator musi skontaktować się z wnioskodawcą z uwagi na niepewność co do jego tożsamości lub konieczność sprecyzowania zakresu czynności przetwarzania, którego dotyczy żądanie, może nastąpić zawieszenie tego terminu do momentu uzyskania potrzebnych dodatkowych informacji, pod warunkiem że administrator niezwłocznie o te informacje wystąpił.

EROD wskazuje, że sam fakt, że spełnienie żądania dostępu do danych wymaga dużego wysiłku, nie stanowi o złożoności żądania. Podobnie jak fakt, że do administratora wpływa duża liczba wniosków dotyczących prawa dostępu, choć jako wyjątek mogący uzasadniać przedłużenie terminu EROD wskazuje sytuację, gdy na przykład ze względu na nadzwyczajny rozgłos dotyczący działalności administratora w krótkim czasie otrzyma on dużą ilość takich wniosków. Niemniej podkreśla, że administrator, zwłaszcza ten, który obsługuje dużą ilość danych, powinien mieć wdrożone procedury i mechanizmy pozwalające na realizację żądań w terminie w normalnych okolicznościach.

Ograniczenia dostępu

Prawo dostępu podlega ograniczeniom wynikającym z praw i wolności innych osób, o których mowa w art. 15 ust. 4 RODO, ewidentnej niezasadności lub nadmierności żądania, o czym wspomina art. 12 ust. 5 RODO, jak również ograniczeniom wynikającym z przepisów unijnych bądź państw członkowskich UE, wprowadzonym zgodnie z art. 23 RODO oraz (z pewnymi zastrzeżeniami) dotyczącym przetwarzania danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych, jeśli prawdopodobne jest, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów i jeżeli wyjątki takie są konieczne do realizacji tych celów. Podobnie odstępstwa w zakresie m.in. prawa dostępu mogą dotyczyć przetwarzania do celów dziennikarskich, wypowiedzi akademickiej, artystycznej lub literackiej, jeśli takowe zostaną przewidziane przez państwo członkowskie zgodnie z RODO.

Nie dopuszcza się żadnych innych odstępstw czy wyjątków od prawa dostępu. Nie wolno również ograniczać tego prawa w ramach umowy między administratorem a osobą, której dane dotyczą. 

Prawo dostępu nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym także na tajemnice handlowe lub własność intelektualną, a w szczególności prawa autorskie chroniące oprogramowanie. Każdorazowo należy dokonywać stosownej oceny danego przypadku w kontekście art. 15. ust. 4 RODO, biorąc pod uwagę prawdopodobieństwo i dotkliwość możliwego zagrożenia praw i wolności. Jak wskazuje EROD, owe prawa lub wolności mogą również dotyczyć administratora lub podmiotu przetwarzającego, gdyby bowiem ustawodawca unijny chciał wykluczyć prawa i wolności administratorów lub podmiotów przetwarzających, użyłby terminu „strona trzecia”, zdefiniowanego w art. 4 ust. 10 RODO.

Nie można powoływać się na prawa i wolności innych mając jedynie ogólną obawę, że wykonanie prawa dostępu może niekorzystnie na nie wpływać. Administrator musi być w stanie wykazać, że wykonanie prawa dostępu w danej konkretnej sytuacji faktycznie niekorzystnie wpłynie na prawa innej osoby. Wynikiem tych rozważań nie powinna być odmowa udzielenia wszystkich informacji o osobie, której dane dotyczą, lecz np. w przypadku, gdy ograniczenie ma zastosowanie, informacje dotyczące innych osób administrator powinien uczynić nieczytelnymi (np. w przypadku wydania kopii danych).

EROD konkluduje, że prawo ochrony danych osobowych nie jest prawem absolutnym, dlatego też musi być zrównoważone z innymi prawami podstawowymi. Oceniając, że realizacja prawa dostępu wpłynie na prawa i wolności innych osób, administrator powinien postarać się pogodzić sprzeczne prawa, np. wdrażając środki ograniczające ryzyko naruszenia. Jeśli jednak takie pogodzenie nie będzie możliwe, administrator będzie musiał zdecydować, które ze sprzecznych praw i wolności ma pierwszeństwo.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Osoba, której dane dotyczą:

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".