RODO w firmie

Rozporządzenie SIS II (art. 29) i Decyzja SIS II (art. 44) stanowią, że dane osobowe przetwarzane w celu wykrywania osób powinny być przechowywane jedynie przez okres konieczny do osiągnięcia celów, dla których zostały wprowadzone. Państwo członkowskie, które wprowadziło wpis, musi najdalej w ciągu 3 lat od dnia wprowadzenia danych ocenić ich dalszą przydatność. W przypadku nadzoru niejawnego osób prowadzonego na podstawie art. 36 decyzji SIS II okres ten został zawężony do roku od dnia wprowadzenia danych. Wskazać przy tym należy, że zarówno okres 3-letni, jak i roczny nie wyznaczają czasu dozwolonego przetwarzania danych, ale jedynie wprowadzają konieczność okresowej oceny niezbędności danych w stosunku do celu ich przetwarzania. Rzeczywisty czas przetwarzania danych w Systemie Informacyjnym Schengen może być zatem krótszy bądź dłuższy od terminu 3-letniego czy rocznego i uzależniony jest od tego czy udało się zrealizować cel, w jakim dane są przetwarzane w systemie.

Powyższe terminy okresowego badania dopuszczalności przetwarzania danych należy uznać za okresy maksymalne, gdyż w myśl art. 29 ust. 2 rozporządzenia SIS II i art. 44 ust. 3 decyzji SIS II państwa członkowskie  mogą w prawie krajowym wprowadzić okresy krótsze.

Na miesiąc przed zamierzonym usunięciem danych z systemu jednostka centralna systemu automatycznie informuje o tym państwo wprowadzające wpis. W ciągu tego okresu państwo to może podjąć decyzję o zachowaniu wpisu. Wpisy, w stosunku do których państwo wprowadzające dany wpis nie uzna dalszej konieczności przetwarzania danych, są automatycznie usuwane.

Na marginesie powyższych uwag wskazać należy, że dane osobowe wymieniane w związku z wpisem za pośrednictwem Biur SIRENE powinny zostać usunięte po osiągnięciu celu przetwarzania, najpóźniej w rok od dnia usunięcia wpisu z Systemu Informacyjnego Schengen.

Źródło: uodo.gov.pl

Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) Nr  603/2013 z dnia 11 grudnia 2000 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości, okres przechowywania danych zebranych na potrzeby systemu Eurodac uzależniony jest od kategorii osób, których dane dotyczą.

W odniesieniu do osób ubiegających się o azyl okres przechowywania danych w centralnej bazie danych został ograniczony do 10 lat od daty pobrania odcisków linii papilarnych (art. 12 rozporządzenia). Po upływie tego okresu jednostka centralna automatycznie usuwa te dane z centralnej bazy danych. 

Jednakże dane dotyczące osoby, która uzyskała obywatelstwo któregokolwiek z Państw Członkowskich przed upływem wskazanego powyżej okresu usuwa się z centralnej bazy danych zaraz po tym, gdy Państwo Członkowskie, które przesyła dane osobowe do jednostki centralnej, zostanie powiadomione, że osoba ta uzyskała obywatelstwo.

Dane o cudzoziemcach, którzy nielegalnie przekroczyli granicę lądowa, morską lub powietrzną i nie zostali zawróceni na terytorium państwa trzeciego, z którego przybyli, są przechowywane przez 18 miesięcy od daty pobrania odcisków linii papilarnych cudzoziemca (art. 16 rozporządzenia). Po upływie tego okresu dane usuwane są automatycznie z centralnej bazy danych. Przed upływem tego okresu dane mogą zostać usunięte przez Państwo Członkowskie przesyłające dane do jednostki centralnej jeżeli:

1. cudzoziemcowi wydano dokument pobytowy,
2. cudzoziemiec opuścił terytorium Państw Członkowskich,
3. uzyskał obywatelstwo któregokolwiek z Państw Członkowskich.

Dane o odciskach palców cudzoziemca przebywającego nielegalnie na terytorium Państwa Członkowskiego przesyłanych w celu sprawdzenia, czy ten cudzoziemiec złożył wcześniej wniosek o udzieleniu azylu nie są zapisywane w centralnej bazie danych. Po przesłaniu wyników porównania do Państwa Członkowskiego przesyłającego dane osobowe do jednostki centralnej, jednostka ta bezzwłocznie usuwa dane o odciskach linii papilarnych oraz inne przesłane do niej dane i niszczy nośniki wykorzystywane przez Państwo Członkowskie przesyłające dane, chyba że państwo to wystąpiło o ich zwrot.

W systemie oznaczane są dodatkowo dane osób, którym jedno z państw członkowskich UE przyznało ochronę międzynarodową przez okres trzech lat po dniu udzielenia osobie, której dane dotyczą, ochrony międzynarodowej.

Źródło: uodo.gov.pl

Umożliwiają to formularze zawiadomień znajdujące się na platformie biznes.gov.pl. Po prawidłowym wypełnieniu formularza zawiadomienia istnieje możliwość złożenia więcej niż jednego podpisu.

Urząd Ochrony Danych Osobowych nie narzuca konkretnego wzoru pełnomocnictwa udzielonego osobie zawiadamiającej o wyznaczeniu IOD. Ważne jest, aby z treści pełnomocnictwa wynikało upoważnienie do wykonania takiej czynności. Pełnomocnictwo może mieć charakter ogólny i obejmować wiele różnych czynności dokonywanych przed organem lub dotyczyć tej konkretnej czynności. W każdym przypadku musi być ono udzielone przez osobę uprawnioną do reprezentowania administratora.

Ponadto, jeżeli zawiadomienie o wyznaczeniu IOD ma być dokonane przez pełnomocnika, to pełnomocnictwo powinno zostać udzielone w formie elektronicznej (art. 10 ust. 2 ustawy o ochronie danych osobowych). Oznacza to, że pełnomocnictwo (np. dokument w formie DOC.) winno być opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP przez osobę upoważnioną do reprezentowania administratora.

Wszelkie potrzebne informacje, wraz z podanym numerem konta, na które należy uiścić opłatę skarbową, można znaleźć tutaj: https://uodo.gov.pl/pl/121/193. Natomiast inne wskazówkiułatwiające przesyłanie zawiadomień dotyczących IOD dostępne są tutaj: https://uodo.gov.pl/pl/121/502

Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. To właśnie te wartości należy przede wszystkim brać pod uwagę.

Ogólne rozporządzenie o ochronie danych (RODO) nie odnosi się wprost do procesu zarządzania ryzykiem i nie wskazuje konkretnej metody przeprowadzania oceny w tym zakresie. Każdy podmiot musi dokonywać jej samodzielnie, uwzględniając wiele specyficznych dla niego czynników, takich jak: wielkość, struktura organizacyjna, możliwości techniczne czy zakres i rodzaj danych oraz cel ich przetwarzania. Jednym ze skutecznych systemowych sposobów dokonywania oceny ryzyka jest wdrożenie w danej jednostce procesu zarządzania ryzykiem.

Źródło: uodo.gov.pl

Plik zawierający treść pełnomocnictwa, np. w formacie DOC, należy opatrzyć podpisem potwierdzonym profilem zaufanym ePUAP lub kwalifikowanym podpisem elektronicznym.

Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jak wynika z ww. artykułu, zgłoszenie naruszenia powinno być przesłane do właściwego organu nadzorczego, bez zbędnej zwłoki. To czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

Ponadto administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Według Grupy Roboczej Art. 29 administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.  

Termin wskazany w art. 33 ust. 1 RODO nie powinien być przekraczany przez administratorów, jednakże RODO przewiduje pewne okoliczności, gdy zgłoszenie naruszenia organowi nadzorczemu może nastąpić po 72 godzinach od stwierdzeniu naruszenia. W takim przypadku, administrator jest zobligowany do podania przyczyn opóźnienia (więcej w pkt. „Czy dopuszczalne jest przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?”).

Źródło: uodo.gov.pl

“Cookies” składają się z szeregu liter i cyfr, w których zapisane są różne informacje niezbędne do prawidłowego funkcjonowania serwisów internetowych.

Źródło: wszystkoociasteczkach.pl

W przypadku niedających się rozwiązać problemów z wysłaniem zawiadomienia przez platformę biznes.gov.pl, zawiadomienie można wysłać przez platformę epuap.gov.pl (użytkownik po zalogowaniu i wybraniu formularza przekierowywany jest na portal obywatel.gov.pl), wskazując w piśmie dane wymagane przez art. 10 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Artykuł 59 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych przewiduje współpracę Prezesa Urzędu z niezależnymi organami nadzorczymi powołanymi na podstawie art. 91 RODO. Polski ustawodawca przewidział także możliwość zawierania przez Prezesa UODO porozumień o współpracy i wzajemnym przekazywaniu informacji z tymi organami nadzorczymi.

W lutym 2019 roku Prezes UODO kończy spotkania konsultacyjne z przedstawicielami poszczególnych kościołów i związków wyznaniowych, które zadeklarowały stosowanie autonomicznych regulacji w zakresie ochrony danych osobowych. W najbliższym czasie Prezes UODO zamierza zawrzeć odpowiednie porozumienia o współpracy z poszczególnymi kościelnymi organami nadzorczymi.

W odniesieniu do kościołów i związków wyznaniowych, które nie stosują autonomicznych regulacji w zakresie ochrony danych osobowych, Prezes UODO ma pełne kompetencje nadzorcze, które będzie realizował przy poszanowaniu konstytucyjnej autonomii kościołów i związków wyznaniowych.

Prezes UODO wspiera wszelkie działania mające na celu zwiększanie świadomości w zakresie ochrony danych osobowych w kościołach i związkach wyznaniowych. Jedną z takich inicjatyw było objęcie przez Prezesa UODO patronatem honorowym prowadzonych na Uniwersytecie Kardynała Wyszyńskiego w Warszawie studiów podyplomowych poświęconych ochronie danych osobowych w Kościele.

Źródło: https://uodo.gov.pl/pl/138/721

SIS II zawiera wpisy dotyczące osób lub przedmiotów, które podlegają następującym kategoriom:

• Odmowa pozwolenia na wjazd lub pobyt (Art. 24 rozporządzenia SIS II) – wpisy te dotyczą obywateli państw trzecich, którzy nie są uprawnienie do wjazdu bądź pobytu na terytorium strefy Schengen;
• Osoby poszukiwane w celu aresztowania (Art. 26 Decyzji SIS II) – wpisy te dotyczą osób, wobec których wydano Europejski Nakaz Aresztowaania lub wniosek ws. ekstradycji;
• Osoby zaginione (Art. 32 Decyzji SIS II) – celem tych wpisów jest odnalezienie osób zaginionych, w tym dzieci, i objęcie ich odpowiednią ochroną, jeśli jest to konieczne;
• Osoby, których obecność jest wymagana do celów procedury sądowej (Art. 34 Decyzji SIS II) –  celem tych wpisów jest miejsca zamieszkania lub pobytu osób, których obecność jest wymagana do celów procedury sądowej np. świadków lub osób, którym ma zostać doręczone wezwanie do stawienia się w celu odbycia kary pozbawienia wolności;
• Osoby lub przedmioty wprowadzane w celu przeprowadzania kontroli niejawnych lub kontroli szczególnych (Art. 36 Decyzji SIS II). – celem tych wpisów jest uzyskanie informacji o osobach lub przedmiotach w celu ścigania przestępstw oraz zapobiegania zagrożeniom bezpieczeństwa publicznego lub narodowego;
• Przedmioty przeznaczonych do zajęcia lub wykorzystania jako dowód w postępowaniu karnym (Art. 38 Decyzji SIS II) – wpisy te dotyczą przedmiotów np. pojazdów, dokumentów podróżnych, kart kredytowych, tablic rejestracyjnych, które są poszukiwanych w celu ich zajęcia lub wykorzystania jako dowód w postępowaniu karnym.

Zgodnie z art. 20 Decyzji SIS II i art. 20 Rozporządzenia SIS II informacje o osobach, w odniesieniu do których dokonano wpisu, nie zawierają innych danych niż:

1. imię i nazwisko, pseudonimy;
2. wszelkie szczególne, obiektywne cechy fizyczne niepodlegające zmianom;
3. miejsce i data urodzenia;
4. płeć;
5. fotografie;
6. odciski palców;
7. obywatelstwo;
8. informacja, czy dana osoba jest uzbrojona, agresywna lub czy jest uciekinierem;
9. powód wpisu;
10. organ dokonujący wpisu;
11. odesłanie do decyzji będącej powodem wpisu;
12. działania, jakie należy podjąć;
13. odsyłacz do innych wpisów dokonanych w SIS II;
14. rodzaj przestępstwa.

Źródło: uodo.gov.pl

Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) Nr 603/2013 z dnia 11 grudnia 2000 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości, zakres danych przetwarzanych na potrzeby systemu Eurodac jest zróżnicowany w zależności od kategorii osób, których dane wprowadzane są do centralnej bazy danych.

W odniesieniu do osób ubiegających się o azyl w centralnej bazie danych zapisuje się następujące dane (art. 11 rozporządzenia):

1. Państwo Członkowskie pochodzenia (państwo, które przesyła dane osobowe do jednostki centralnej i otrzymuje wynik porównania) miejsce i data złożenia wniosku o azyl;
2. dane o odciskach (wszystkich ) palców;
3. płeć;
4. numer referencyjny użyty przez Państwo Członkowskie pochodzenia;
5. data pobrania odcisków palców;
6. data przesłania danych do jednostki centralnej;
7. data wprowadzeni danych do centralnej bazy danych;
8. szczegóły dotyczące odbiorcy (odbiorców) przesłanych danych oraz datę (daty) przesłania;
9. numer identyfikacyjny operatora;
10. w stosownych przypadkach dodatkowo: data przybycia danej osoby po jej udanym przekazaniu, data opuszczenia przez daną osobę terytorium państwa członkowskiego lub jej wydalenia z jego terytorium lub data podjęcia decyzji o rozpatrzeniu wniosku.

W odniesieniu do cudzoziemców zatrzymanych w związku z nielegalnym przekroczeniem granicy lądowej, morskiej lub powietrznej, którzy nie zostali zawróceni na terytorium państwa trzeciego, z którego przybyli, w centralnej bazie danych zapisuje się następujące dane (art. 14 rozporządzenia):

1. Państwo Członkowskie pochodzenia (państwo, które przesyła dane osobowe do jednostki centralnej), miejsce i data zatrzymania,
2. dane o odciskach (wszystkich) palców,
3. płeć;
4. numer referencyjny użyty przez Państwo Członkowskie pochodzenia;
5. data pobrania odcisków palców,
6. data przesłania danych do jednostki centralnej;
7. numer identyfikacyjny operatora.

Dane te są zapisywane wyłącznie w celu porównania z danymi dotyczącymi osób ubiegających się o azyl, przesyłanymi kolejno do jednostki centralnej.

Państwo członkowskie zamierzające dokonać sprawdzenia czy przybywający nielegalnie na jego terytorium cudzoziemiec złożył wniosek o udzielenie azylu przesyła do jednostki centralnej dane o odciskach wszystkich palców lub przynajmniej palców wskazujących, a w przypadku ich braku dane o odciskach wszystkich pozostałych palców. Dane te nie są zapisywane w centralnej bazie danych (art. 17 rozporządzenia).

Dodatkowo zgodnie z art. 18 rozporządzenia w przypadku przyznania osobie ochrony międzynarodowej, której dane zostały uprzednio zapisane w systemie Eurodac, państwo członkowskie UE, które udzieliło takiej ochrony  oznacza takie dane w systemie.

Rozporządzenie Eurodac ustanawia ponadto warunki, na jakich wyznaczone organy państw członkowskich oraz Europejski Urząd Policji (Europol) mogą występować z wnioskiem o porównanie danych daktyloskopijnych z danymi przechowywanymi w systemie centralnym na potrzeby ochrony porządku publicznego.

Źródło: uodo.gov.pl

Warunkiem koniecznym do wystąpienia z wnioskiem o uprzednie konsultacje do organu nadzorczego jest wcześniejsze dokonanie przez administratora oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi ryzyka naruszenia praw i wolności osób fizycznych. Ocena ta powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające zminimalizować to ryzyko.

RODO zapewnia administratorom swobodę w wyborze metodyki przeprowadzenia oceny skutków dla ochrony danych, lecz metodyka ta powinna być zgodna z kryteriami określonymi w załączniku nr 2 do Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679. (WP 248). Kryteria można wykorzystać do wykazania, że konkretna metodyka oceny skutków dla ochrony danych spełnia standardy przewidziane w RODO.

Pomocne informacje można znaleźć również w przygotowanym przez GIODO poradniku Jak rozumieć i stosować podejście oparte na ryzyku?, w którym przedstawione zostały kolejne możliwe etapy działań podejmowanych w celu przeprowadzania ogólnej oceny ryzyka oraz szczegółowej oceny ryzyka.

Wskazana jest ścisła współpraca pomiędzy administratorem, inspektorem ochrony danych oraz podmiotem przetwarzającym na każdym z etapów dokonywania oceny skutków dla ochrony danych. 

Jeżeli przeprowadzona ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia - administrator ma obowiązek skonsultować się z organem nadzorczym, czy zamierzone przetwarzanie danych jest zgodne z RODO.

Jak już wspomniano zatem, nieprawdą jest, jak twierdzą wprost niektórzy eksperci, że RODO znosi „uciążliwy dotąd” obowiązek prowadzenia dokumentacji przetwarzania danych tj. dokumentacji, na która składa się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Obecnie, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych, nie wymienia się dokumentów jakie administrator powinien posiadać, aby wykazać zgodność realizowanych czynności przetwarzania, poza elementami wymienionymi w rozdziale 1. Z treści art. 24 ust 1 RODO wynika jednak, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:

1. stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
2. zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
3. zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
4. zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
5. zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
6. zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postepowania – art. 27- 43,
7. stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

Należy jednak zaznaczyć, że zgodnie z art. 24 oraz art. 32 RODO przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności należy uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania a także ryzyka na jakie są narażone przetwarzane dane.

Źródło: uodo.gov.pl

Inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy też nie – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny (motyw 97 RODO).

W celu zapewnienia niezależności inspektorowi ochrony danych ogólne rozporządzenie o ochronie danych, wprowadza kilka szczegółowych rozwiązań, które pozwalają na osiągnięcie ww. celu, a mianowicie:

a) bezpośrednia podległość IOD najwyższemu kierownictwu,

b) wspieranie IOD w wypełnianiu jego zadań,

c) zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych,

d) zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań,

e) unikanie konfliktu interesów IOD,

f) zakaz odwoływania i karania IOD,

g) obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD,

Jako dobrą praktykę Grupa Robocza art. 29 w swoich wytycznych dotyczących IOD, wskazuje wprowadzenie wewnętrznych regulacji (regulaminów, statutów) gwarantujących inspektorowi ochrony danych niezależność w wykonywaniu przez niego zadań.

a) bezpośrednia podległość IOD najwyższemu kierownictwu

Jednym ze szczegółowych rozwiązań służących niezależności IOD jest umieszczenie go w strukturze organizacyjnej administratora danych lub podmiotu przetwarzającego bezpośrednio pod najwyższym kierownictwem. Zgodnie z art. 38 ust. 3 RODO IOD podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Podległość najwyższemu kierownictwu jest jedną z gwarancji niezależnej, wysokiej pozycji inspektora ochrony danych w strukturze administratora danych, a ponadto skraca drogę raportowania, co ma istotne znaczenie w razie konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia ochrony danych osobowych.

Bezpośrednia podległość oznacza, że w ramach podejmowanych przez siebie czynności IOD nie może podlegać jakimkolwiek innym osobom lub jednostkom organizacyjnym wchodzącym w skład struktury administratora danych (art. 38 ust. 3 RODO).

Sposób rozumienia terminu najwyższe kierownictwo na pewno zależy od typu podmiotu jakim jest administrator lub podmiot przetwarzający. Tytułem przykładu wskazać można, że „najwyższym kierownictwem” będzie osoba lub osoby wchodzące w skład organu, które kierują jej pracami (ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), albo prowadzą jej sprawy (zarząd spółki, wspólnicy spółki jawnej, właściciel jednoosobowej działalności gospodarczej).

b) wspieranie IOD w wypełnianiu jego zadań

Administrator danych i podmiot przetwarzający są zobowiązani do wspierania  inspektora ochrony danych poprzez m.in. zapewnienie mu zasobów niezbędnych do wykonania tych zadań.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych opowiada się za szerokim rozumieniem zasobów:
- wsparcie IOD ze strony kadry kierowniczej (np. na poziomie zarządu),
- wymiar czasu umożliwiający IOD wykonywanie zadań,
- odpowiednie wsparcie finansowe, infrastrukturalne (pomieszczenia, sprzęt, wyposażenie) i kadrowe, gdy to właściwe,
- oficjalne zakomunikowanie wszystkim pracownikom faktu wyznaczenia IOD i jego zadaniach,
- umożliwienie dostępu do innych działów organizacji, np. HR, działu prawnego, IT itd.
- ciągłe szkolenie. DPO powinien mieć możliwość ciągłego aktualizowania wiedzy z zakresu ochrony danych osobowych. Celem powinno być zwiększanie wiedzy DPO i zachęcanie go do udziału w szkoleniach, warsztatach, forach poświęconych ochronie danych etc.;
- wsparcie kadrowe, np. powołanie zespołu inspektora ochrony danych.

c) zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych

Artykuł 38 RODO zobowiązuje administratora oraz podmiot przetwarzający do zapewnienia, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Norma ta ma zapobiegać próbom ograniczania inspektorowi dostępu do niezbędnych dla realizacji jego zadań informacji, a tym samym  sprzyja zachowaniu jego niezależności.

Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektora ochrony danych niezwykle istotne jest, by IOD był zaangażowany od najwcześniejszego etapu we wszystkie kwestie związane z przetwarzaniem danych osobowych, ponieważ ułatwi to zapewnienie zgodności  z RODO. Przepisy ogólnego rozporządzenia o ochronie danych w określonych przypadkach wprost nakazują administratorowi angażowanie IOD w podejmowanie określonych czynności i decyzji, np. nakazują administratorowi konsultowanie się z IOD przy okazji dokonywania takiej oceny skutków. W związku z tym angażowanie inspektora ochrony danych we wszelkie kwestie związane z ich przetwarzaniem powinno być standardową procedurą w organizacji.

Ponadto IOD powinien być postrzegany jako partner w dyskusji i powinien być włączany w prace grup roboczych poświęconych procesom związanym z przetwarzaniem danych osobowych w ramach organizacji. Należy zapewnić mu między innymi: udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji, uczestnictwo przy podejmowaniu kluczowych decyzji dotyczących przetwarzania danych osobowych wraz z odpowiednio wcześniejszym udostępnieniem  IOD informacji umożliwiających zajęcie mu stanowiska, natychmiastowe konsultowanie się z nim w przypadku stwierdzenia naruszenia albo innego zdarzenia związanego z danymi osobowymi, określenie przez administratora lub podmiot przetwarzający innych przypadków, które wymagają konsultacji z IOD.

Ponadto stanowisko IOD powinno być zawsze brane pod uwagę przez kierownictwo oraz pracowników danego podmiotu. Grupa Robocza art. 29 zaleca, aby w ramach dobrych praktyk, dokumentować przypadki i powody postępowania niezgodnego z zaleceniem IOD.

d) zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań

Istotną gwarancją w zakresie niezależności inspektora ochrony danych jest niewątpliwie wprowadzenie zakazu wydawania przez administratora lub podmiotu przetwarzającego instrukcji (poleceń) dla IOD dotyczących wykonywania przez niego zadań (art. 38 ust. 3 RODO). Zakaz wydawania instrukcji inspektorowi ochrony danych, oznacza, że w ramach wypełniania swoich zadań inspektor ochrony danych, nie może otrzymywać poleceń dotyczących sposobu załatwienia sprawy, środków jakie mają zostać podjęte, czy też celu jaki powinien zostać osiągnięty. Ponadto, administrator nie powinien uniemożliwiać, bądź ograniczać inspektorowi ochrony danych kontaktu z Prezesa Urzędu Ochrony Danych Osobowych.

W Wytycznych dotyczących inspektora ochrony danych Grupa Robocza art. 29 wskazuje, że IOD nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, w tym określonej wykładni przepisów.

Z drugiej strony Grupa Robocza art. 29 podkreśla, że niezależność IOD (w tym również w kontekście zakazu do wydawania instrukcji, co do wykonywania zadań IOD) nie oznacza, iż IOD posiada uprawnienia decyzyjne wykraczające poza zadania z art. 39 RODO.  Nie zmienia to faktu, że za zapewnienie zgodności z przepisami o ochronie danych osobowych i wykazanie zgodności odpowiedzialni są administrator i podmiot przetwarzający. W sytuacji podjęcia przez administratora lub podmiot przetwarzający decyzji niezgodnej z przepisami RODO  i zaleceniami IOD, inspektor ochrony danych powinien mieć możliwość jasnego przedstawienia swojego stanowiska osobom podejmującym decyzję.

Respektowanie powyższego zakazu może być szczególnie problematyczne na styku wykonywania wewnętrznego audytu różnych sfer działalności podmiotu będącego administratorem danych. Szczególnie ważne, zwłaszcza na początku funkcjonowania omawianego przepisu, może być dokonanie wnikliwej analizy zakresu i celów poszczególnych stanowisk związanych z wewnętrznym audytem, tak aby inne osoby wewnątrz organizacji np. prawnicy, audytorzy mogli realizować swoje zadania, nie naruszając przedmiotowego zakazu.

e) unikanie konfliktu interesów IOD

Zgodnie z art. 38 ust. 6 RODO, istnieje możliwość nakładania na inspektora ochrony danych innych zadań i obowiązków, ale administrator i podmiot przetwarzający muszą zapewnić by nie powodowało to konfliktu interesów. Zatem jak wyjaśnia Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych oznacza to m.in., że IOD nie może zajmować  w  organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych. Aspekt ten powinien być analizowany osobno i indywidualne dla każdego podmiotu. Powierzając inspektorowi ochrony danych inne zadania, w celu uniknięcia konfliktu interesów administrator danych lub podmiot przetwarzających, powinni w swojej organizacji zidentyfikować stanowiska niekompatybilne z pełnieniem funkcji IOD.

Cenną podpowiedzią w tym zakresie jest wskazanie, że co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Ponadto konflikt interesów może powstać wówczas, gdy zewnętrzny IOD zostanie poproszony o reprezentowanie administratora lub podmiotu przetwarzającego przed sądem w sprawie dotyczącej ochrony danych osobowych.

Wskazane byłoby też opracowanie wewnętrznej polityki określającej stanowiska będące w konflikcie interesów oraz opracowanie generalnego dokumentu dotyczącego konfliktu interesów. Ponadto administrator lub podmiot przetwarzający powinni wprowadzić odpowiednie zabezpieczenia do wewnętrznych zasad organizacji celem zapewnienia, by ogłoszenia o rekrutacji na stanowisko inspektora ochrony danych były sformułowane w jasny, precyzyjny sposób i niwelowały ryzyko powstania konfliktu interesów.

f) zakaz odwoływania i karania IOD

Zachowanie niezależności przez inspektora ochrony danych wspiera również art. 38 ust 3 RODO, stanowiący, że administrator lub podmiot przetwarzający nie może odwołać ani karać IOD za wypełnianie przez niego zadań. Oczywiście przepis ten należy odnosić do obiektywnie prawidłowego wykonywania zadań. Nie chodzi tu o ochronę inspektora, który nie wywiązuje się należycie ze swoich zadań. Jest to jedyny przepis w ogólnym rozporządzeniu o ochronie danych dotyczący odwołania IOD.

Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektora ochrony danych inspektor nie  może zostać odwołany ani ukarany za udzielenie określonego zalecenia, nawet jeśli jest ono niezgodne ze stanowiskiem reprezentowanym przez  administratora lub podmiot przetwarzający. Grupa Robocza art. 29 wyjaśnia, że chodzi tu o kary w różnych formach, bezpośrednie albo pośrednie, np. brak albo opóźnienie awansu, utrudnienie rozwoju zawodowego, ograniczenie dostępu do korzyści oferowanych pozostałym pracownikom. Zakaz odwoływania inspektora ochrony danych, nie oznacza natomiast, że IOD nie może zostać odwołany w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie swoich obowiązków (np. z powodu kradzieży). Grupa Robocza art. 29 zaleca stosowanie polityki, że im stabilniejsza podstawa zatrudnienia i szerszy zakres ochrony inspektora ochrony danych przed odwołaniem, tym większa szansa na wykonywanie przez IOD zadań w sposób niezależny.

g) obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD

IOD jest zobowiązany do zachowania tajemnicy lub poufności, co do wykonywania swoich zadań zgodnie z prawem Unii lub państwa członkowskiego (art. 38 ust. 5 RODO).

Jeśli chodzi o IOD, to w związku z wykonywaniem swoich zadań będzie on miał niewątpliwie dostęp do danych osobowych, w tym danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO, jak również informacji dotyczących środków technicznych i organizacyjnych zapewniających przetwarzanie zgodne z przepisami RODO, w tym polityk ochrony danych. IOD będzie również zobowiązany do przestrzegania wszystkich przepisów prawa krajowego i unijnego, które będą miały do niego zastosowanie i na mocy których, określone informacje objęte są prawnie chronionymi tajemnicami. Zobowiązanie inspektora ochrony danych do przestrzegania tajemnicy jest w pełni uzasadnione i służyć będzie nie tylko bezpieczeństwu danych osobowych, ale i wzmocnieniu zaufania do inspektorów ze strony administratorów danych i podmiotów przetwarzających. Co ważne - w Wytycznych dotyczących inspektora ochrony danych Grupa Robocza art. 29 podkreśla, że obowiązek zachowania tajemnicy oraz poufności nie uniemożliwia IOD kontaktu z Prezesem Urzędu Ochrony Danych Osobowych i zasięgania jego opinii.

1. Wniosek o uprzednie konsultacje powinien spełniać wymogi określone w art. 63 kodeksu postępowania administracyjnego, w szczególności powinien zawierać co najmniej wskazanie osoby, od której pochodzi, jej adres i żądanie, a także powinien być podpisany przez wnoszącego. Ponadto wniosek wniesiony w formie dokumentu elektronicznego powinien być opatrzony bezpiecznym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP (art. 63 § 3a pkt 1 Kodeksu postępowania administracyjnego).
2. We wniosku o uprzednie konsultacje należy podać co najmniej następujące informacje (art. 36 ust. 3 RODO):

• odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;
• cele i sposoby zamierzonego przetwarzania;
• środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z RODO;
• dane kontaktowe inspektora ochrony danych, jeśli został wyznaczony;
• ocenę skutków dla ochrony danych;
• wszelkie inne informacje, których żąda organ nadzorczy. 

Zgodnie z art. 33 ust. 3 RODO, administrator powinien wskazać w zgłoszeniu naruszenia następujące informacje:

• opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opis możliwych konsekwencji naruszenia ochrony danych osobowych;
• wskazanie środków, jakie zostały zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Źródło: uodo.gov.pl

Zgodnie z art. 34 ust. 2 RODO zawiadomienie skierowane do osób, których dane dotyczą powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d). Zgodnie z tym przepisem, administrator powinien podać przynajmniej następujące informacje:

• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opis możliwych konsekwencji naruszenia ochrony danych osobowych;
• opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zawiadomienie powinno być sformułowane jasnym i prostym językiem. Aby wymóg ten został spełniony, administrator powinien mieć na względzie grupę odbiorców, do której zawiadomienie będzie skierowane i dostosować do niej jego treść. Tytułem przykładu: jeżeli określony podmiot posiada klientów w zbliżonym wieku i poziomie wykształcenia, język komunikatu powinien uwzględniać te okoliczności. Jeżeli natomiast adresaci są zróżnicowani lub administrator nie posiada wystarczających danych dla dokładniejszego określenia grupy odbiorców zawiadomienia, to w takim przypadku punktem odniesienia powinien być przeciętny adresat takiej wiadomości. Celem jest przekazanie odbiorcy komunikatu łatwego do zrozumienia. Ponadto komunikat nie powinien być nadmiernie rozbudowany, gdyż długa informacja z reguły utrudnia zrozumienie istoty przekazu.

Źródło: uodo.gov.pl

Zgodnie z art. 37 ust. 5 RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Poziom wiedzy inspektora powinien być ustalany w kontekście konkretnych potrzeb administratora danych i procesora (motyw 97 RODO). Jak wskazuje Grupa Robocza art. 29 wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wobec czego wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki.

IOD powinien posiadać:

• fachową wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych;
• fachową wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych;
• dogłębną znajomość przepisów RODO;
• wiedzę biznesową i sektorową dotycząca działalności administratora;
• odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych;
• w przypadku organów i podmiotów publicznych IOD powinien również wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki.

W odniesieniu do wypełnienia zadań IOD Grupa Robocza wskazała, że priorytetem DPO powinno być zapewnienie przestrzegania rozporządzenia. Inspektor ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO tj.:

• zasady przetwarzania danych osobowych;
• prawa osób, których dane dotyczą;
• ochrony danych w fazie projektowania oraz domyślnej ochrony danych;
• prowadzenia rejestru czynności przetwarzania;
• wymogów bezpieczeństwa przetwarzania;
• zgłaszanie naruszeń.

Jeśli chodzi o osobiste cechy inspektora kwalifikujące go do wykonywania funkcji, to są to: rzetelne podejście do wykonywania swoich obowiązków i wysoki poziom etyki zawodowej.

Źródło: uodo.gov.pl

Członkowie kościołów lub związków wyznaniowych powinni być informowani o swoich prawach związanych z przetwarzaniem danych osobowych. Służą im również pozostałe prawa gwarantowane przez RODO. W sytuacjach objętych nadzorem przez kościelne organy nadzorcze takim osobom służy skarga do nich.

Źródło: https://uodo.gov.pl/pl/138/721

Najważniejsze zmiany dotyczące RODO zostały zaprezentowane na infografice poniżej:

Art. 33 ust. 5 RODO nakłada na administratorów obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, czyli  prowadzenia wewnętrznej ewidencji naruszeń. Użyte w ww. artykule sformułowanie „wszelkich naruszeń” oznacza, że ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. art. 4 pkt 12 RODO. W ewidencji powinny zatem się znaleźć zarówno  naruszenia ochrony danych osobowych podlegające obowiązkowi notyfikacyjnemu Prezesowi UODO, jak i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na okoliczność, że jest mało prawdopodobne, że skutkowałyby one ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe. Ewidencja powinna obejmować ponadto skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora.

Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art. 24 RODO. Jak wskazuje art. 33 ust. 5 (zdanie 2) RODO organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na weryfikowanie przestrzegania RODO w zakresie tych obowiązków.

Grupa Robocza Art. 29 podkreśla również, że w przypadku podjęcia decyzji o niezgłoszeniu naruszenia, wskazane jest udokumentowanie takiego faktu w ewidencji wraz z podaniem przyczyny, dla której administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne.

Jeżeli chodzi o sposób prowadzenia ewidencji, Grupa Robocza Art. 29 podkreśla, że administrator może zdecydować o dokumentowaniu naruszeń w rejestrze czynności przetwarzania prowadzonym zgodnie z art. 30 RODO. Nie ma wymogu prowadzenia osobnego rejestru naruszeń, jeżeli informacje dotyczące naruszenia można łatwo zidentyfikować i przedłożyć na żądanie.

Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.

Źródło: uodo.gov.pl

RODO przewiduje następujące obowiązki związane z naruszeniem danych osobowych:

• wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych;
• prowadzenie wewnętrznej ewidencji naruszeń;
• zgłaszanie naruszeń organowi nadzorczemu;
• powiadamianie osoby, której dane dotyczą o naruszeniu;
• podejmowanie działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

Ważnym, jeśli nie najważniejszym, elementem całego procesu związanego ze zgłaszaniem naruszenia ochrony danych, jest szybkość podjęcia niezbędnych działań, zarówno wobec organu nadzorczego, jak i osób, których dane dotyczą. Czas ma tu bardzo duże znaczenie.

Aby zapewnić działania bez zbędnej zwłoki administratorzy powinni więc opracować i wdrożyć procedury postępowania na wypadek wystąpienia naruszenia ochrony danych. Taka procedura pomoże ujednolicić, usprawnić oraz przyśpieszyć działania w przypadku wykrycia naruszenia ochrony danych. W tej procedurze powinno się zawrzeć m.in.:

• cel, w jakim procedura została opracowana;
• zakres jej stosowania;
• katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora;
• opis etapów zarządzania naruszeniem, począwszy od jego wykrycia, a kończąc na usunięciu;
• opis postępowania personelu administratora w przypadku wystąpienia naruszenia ochrony danych.

Dobrze zaprojektowana i wdrożona procedura postępowania na wypadek wystąpienia naruszenia ochrony danych pozwoli administratorowi przeprowadzić, w przypadku wykrycia przez niego naruszenia ochrony danych, szybką i prawidłową ocenę naruszeń, pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych.

Procedura pozwala dokonać klasyfikacji zidentyfikowanych naruszeń ochrony danych, czyli określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, tj. niski, średni lub wysoki. W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że ma do czynienia z niskim ryzykiem naruszenia praw i wolności osób fizycznych, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia średniego ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora powzięcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także w niektórych przypadkach również wobec osób, których dane dotyczą. W przypadku naruszeń, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, RODO wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba, że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO).

Niezależnie od poziomu ryzyka, administrator zobowiązany jest do wprowadzenia środków zaradczych mających na celu zminimalizowanie ryzyka i zabezpieczenia danych osobowych.

Prawa osób, których dane dotyczą, w rozporządzeniu SIS II i decyzji SIS II

Osobom, których dane są przetwarzane w systemie SIS II, przysługują następujące prawa wynikające z rozporządzenia SIS II i decyzji SIS II:

• prawo do dostępu do danych;
• prawo do poprawienia lub usunięcia danych;
• prawo do złożenia skargi do organu ochrony danych osobowych lub do sądu.

Każdy, kto korzysta z dowolnego z tych praw, może złożyć wniosek do właściwego organu w wybranym przez siebie państwie, niezależnie od państwa członkowskiego, w którym dokonano wpisu do SIS II.

Prawo dostępu

Każda osoba, której dane dotyczą, na podstawie art. 41 rozporządzenia SIS II i art. 58 decyzji SIS II ma prawo dostępu do dotyczących jej danych, przetwarzanych w SIS II. Prawo dostępu jest wykonywane zgodnie z przepisami państwa członkowskiego, w którym składany jest wniosek. Procedury różnią się w zależności od kraju oraz przepisów dotyczących przekazywania danych wnioskodawcom.

W przypadku gdy dane państwo członkowskie otrzyma wniosek o dostęp do wpisu, którego samo nie dokonało, musi umożliwić państwu, które dokonało wpisu, zajęcie stanowiska w sprawie możliwości udostępnienia danych wnioskodawcy.

Prawo do poprawienia lub usunięcia danych

Zgodnie z art. 41 ust. 5 rozporządzenia SIS II i 58 ust. 5 decyzji SIS II, gdy przetwarzane dane są nieprawidłowe lub zostały przekazane niezgodnie z prawem, osoba, której dane te dotyczą, ma prawo do żądania poprawienia lub usunięcia tych danych.

Zgodnie z art. 34 ust. 2 rozporządzenia SIS II i art. 49 ust. 2 decyzji SIS II, do zmiany lub usunięcia wprowadzonych danych uprawnione jest wyłącznie państwo członkowskie, które dokonało wpisu. W związku z tym jeżeli wniosek jest składany w państwie członkowskim, które nie dokonało wpisu, wówczas zainteresowane państwa członkowskie współpracują ze sobą w celu znalezienia rozwiązania poprzez wymianę informacji i dokonanie odpowiednich weryfikacji.

Prawo do złożenia skargi do organu ds. ochrony danych lub wszczęcia postępowania sądowego

Artykuł 43 rozporządzenia SIS II i art. 59 decyzji SIS II przewidują środki odwoławcze przysługujące osobom fizycznym w przypadku nieuwzględnienia ich wniosku. Osoba, której dane dotyczą, może wystąpić do sądów lub organów właściwych na mocy prawa krajowego dowolnego z państw członkowskich z wnioskiem o dostęp do informacji, poprawienie, usunięcie lub o odszkodowanie w związku z dotyczącym go wpisem.

REALIZACJA PRAW OSÓB W RZECZPOSPOLITEJ POLSKIEJ

Prawo do informacji 

Każdej osobie przysługuje prawo do uzyskania wyczerpującej informacji o dotyczących jej danych osobowych, które przetwarza się w zbiorach danych. Zgodnie z art. 15 Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

1. cele przetwarzania;
2. kategorie odnośnych danych osobowych;
3. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
4. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
5. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
6. informacje o prawie wniesienia skargi do organu nadzorczego;
7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
8. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą:

Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Informacje przekazywane osobie, której dane dotyczą, są wolne od opłat.  Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

Odmowa udzielenia informacji o przetwarzanych danych osobowych

Administrator może odmówić udzielenia informacji o przetwarzanych danych osobowych, jeśli:

1. wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.,
2. żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter,
3. administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie a dodatkowe informacje niezbędne do potwierdzenia tożsamości osoby, której dane dotyczą nie zostaną dostarczone,
4. określone przepisy prawa unijnego lub państw członkowskich stanowią inaczej.

Ponadto prawo do uzyskania kopii przetwarzanych danych osobowych nie może niekorzystnie wpływać na prawa i wolności innych.

Prawo do żądania sprostowania danych, wstrzymania ich przetwarzania lub ich usunięcia

Zainteresowany może wystąpić do administratora o uzupełnienie, uaktualnienie, uzyskanie od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, o ich sprostowanie, usunięcie lub ograniczenie przetwarzania, a także o przeniesienie danych. Niemniej zainteresowany musi wykazać, że dane są niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem Rozporządzenia lub są już zbędne do realizacji celu, dla którego zostały zebrane.

Administrator SIS II w Polsce

W myśl ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, w Polsce administratorem danych przetwarzanych w Systemie Informacyjnym Schengen jest Komendant Główny Policji. Wnioski o dostęp do danych lub ich poprawienie należy kierować do niego.

Szczegółowe informacje o wymogach formalnych dotyczących wniosku oraz dane teleadresowe dostępne są na stronie internetowej Komendy Głównej Policjihttp://www.policja.pl/pol/sirene/prawo-osob-do-informac/57656,Prawo-osob-do-informacji.html.

Skarga do UODO

Aby zapewnić odpowiedni poziom ochrony prawnej osób, których dane są przechowywane w Systemie Informacyjnym Schengen, Urząd Ochrony Danych Osobowych kontroluje, czy wykorzystywanie danych nie narusza praw osób, których one dotyczą. Kontrole te sprawuje zgodnie z przepisami o ochronie danych osobowych. Każda osoba, której dane są przetwarzane w Systemie Informacyjnym Schengen, ma prawo wnieść skargę Prezesa Urzędu Ochrony Danych Osobowych na wykonywanie przepisów o ochronie danych osobowych.

Źródło: uodo.gov.pl

Rozporządzenie Parlamentu Europejskiego i Rady (UE) Nr 603/2013 z dnia 11 grudnia 2000 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości, stanowiące podstawę utworzenia systemu Eurodac przyznaje osobom, których dane dotyczą szereg uprawnień.

Obowiązek informacyjny

Osoby, których dane są przetwarzane na podstawie rozporządzenia powinny zostać poinformowane o tożsamości administratora i jego przedstawiciela, jeśli istnieje, celu dla którego dane będą przetwarzane w systemie Eurodac, odbiorcach danych, obowiązku pobrania odcisków palców od tej osoby oraz prawie do dostępu do danych dotyczących tej osoby oraz do ich sprostowania. 

Informacje te należy podać osobom ubiegającym się o azyl oraz osobom zatrzymanym przez właściwe organy kontrolne w związku z nielegalnym przekroczeniem granicy lądowej, morskiej lub powietrznej Państwa Członkowskiego przybywającym z terytorium państwa trzeciego i nie podlegającym zawróceniu w momencie pobierania odcisków linii papilarnych. W odniesieniu do cudzoziemców nielegalnie przebywających na terytorium Państwa Członkowskiego, których odciski linii papilarnych pobierane są w celu sprawdzenia czy nie złożyli wcześniej wniosku o udzielenie azylu w innym Państwie Członkowskim powyższych informacji udziela się najpóźniej przy przesyłaniu danych do jednostki centralnej. W stosunku do ostatniej grupy osób informacji nie udziela się, gdy ich dostarczenie jest niemożliwe lub wymagałoby nieproporcjonalnie dużego nakładu sił.

Prawo dostępu do treści danych

Każda osoba, której dane są przetwarzane na potrzeby systemu Eurodac, może w każdym Państwie Członkowskim zgodnie z prawem tego kraju wykonywać prawa przyznane na podstawie art. 12 dyrektywy 95/46/WE (prawo dostępu do treści danych).

Osoby, których dane dotyczą, mają również prawo do uzyskania informacji o treści ich danych, które zostały zapisane w centralnej bazie danych oraz o Państwie Członkowskim, które przesłało je do jednostki centralnej. Taki dostęp do danych może być przyznany jedynie przez Państwo Członkowskie.

Prawo do poprawienia i usunięcia danych

Osoby, których dane są przetwarzane na potrzeby systemu Eurodac mogą występować w Państwach Członkowskich z wnioskiem o poprawienie danych niedokładnych oraz usunięcie danych bezprawnie zapisanych w systemie.

Takie czynności powinny zostać wykonane przez Państwo Członkowskie, które przekazało dane, bez nadmiernych opóźnień. W przypadku wykonywania tego prawa w innym Państwie Członkowskim, niż to, które przesłało dane organy Państwa Członkowskiego, w którym wykonywane jest prawo do poprawienia bądź usunięcia danych mają obowiązek skontaktować się z organami Państwa Członkowskiego, które przekazało dane do systemu w celu umożliwienia im skontrolowania dokładności danych oraz legalności przekazania i utrwalenia danych w jednostce centralnej. 

Państwo członkowskie dokonujące korekty bądź usunięcia danych jest zobowiązane do niezwłocznego poinformowania osoby, której dane te dotyczą o podjętych działaniach bądź o powodach nieusunięcia danych. W tym ostatnim przypadku Państwo Członkowskie jest również zobowiązane poinformować osobę, której dane dotyczą, o przysługujących jej uprawnieniach na wypadek braku akceptacji udzielonych wyjaśnień, w tym również o możliwości wniesienia skargi do właściwych organów lub sądów Państwa Członkowskiego.

Wniosek o poprawienie bądź usuniecie danych oraz o zapewnienie dostępu do nich musi zawierać szczegółowe informacje niezbędne do zidentyfikowania osoby, której dotyczy, włącznie z odciskami palców. Dane te mogą być wykorzystane jedynie do umożliwienia skorzystania z prawa dostępu do danych, ich poprawiania bądź usuwania i podlegają niezwłocznemu zniszczeniu po wykorzystaniu. Państwa Członkowskie zobowiązane są do aktywnej współpracy w celu umożliwienia szybkiego wykonania prawa do poprawiania danych bądź ich usunięcia.

W przypadku odmowy dostępu do przetwarzanych danych osoba, której one dotyczą, może stosownie do przepisów Państwa Członkowskiego odmawiającego realizacji tego prawa wnieść skargę do właściwych organów lub sądów tego Państwa Członkowskiego.

Prawo do złożenia skargi i pomoc organów nadzorczych

Osobie której dane dotyczą, przysługuje również prawo do zainicjowania, zgodnie z przepisami Państwa Członkowskiego, które przesłało dane, działań bądź złożenia skargi do właściwych organów lub sądów w związku z dotyczącymi jej danymi zapisanymi w jednostce centralnej. W takiej sytuacji krajowe organy nadzorcze mają, przez cały czas toczącego się postępowania pomagać, a na wniosek osoby, której dane dotyczą, również zapewnić doradztwo tej osobie.

Krajowe organy nadzorcze mają obowiązek pomagania osobie, której dane dotyczą w wykonywaniu przysługujących jej praw. Ponadto, krajowe organy nadzorcze Państwa Członkowskiego, które przesłało dane, oraz Państwa Członkowskie, w którym osoba, której dane dotyczą przebywa, mają obowiązek doradzać i pomagać osobie, której dane dotyczą, w wykonywaniu przysługujących jej prawa do poprawiania lub usuwania danych. Wniosek o pomoc złożony w Państwie Członkowskim, w którym przebywa osoba, której dane dotyczą, przesyłany jest do krajowego organu nadzorczego Państwa Członkowskiego, które przekazało dane. Osoba, której dane dotyczą, ma również prawo zwrócić się o pomoc i poradę do Europejskiego Inspektora Ochrony Danych sprawującego nadzór nad przetwarzaniem danych w jednostce centralnej.

Prawo do odszkodowania

Niezależnie od powyższych uprawnień osoba, która poniesie szkodę w wyniku niezgodnego z prawem przetwarzania danych lub działania niezgodnego z przepisami rozporządzenia jest uprawniona do uzyskania od Państwa Członkowskiego odpowiedzialnego za wyrządzone szkody stosownego odszkodowania. Dochodzenie odszkodowania odbywa się na podstawie przepisów pozwanego Państwa Członkowskiego.

Dodatkowe informacje dostępne są na stronie Urzędu do Spraw Cudzoziemców: http://udsc.gov.pl/uchodzcy-2/uchodzcy/prawa-i-obowiazki/prawa/

Źródło: uodo.gov.pl

Forma, w jakiej podmioty danych powinny być zawiadomione o naruszeniu, nie została wprost wskazana w RODO. Ostateczny jej dobór będzie zależał od danych kontaktowych podmiotów danych, którymi dysponuje administrator.

Mając na względzie znaczenie zawiadomienia, powinno być ono sporządzone w formie, która umożliwi podmiotowi danych na wielokrotne zapoznanie się z jego treścią. Bardzo ważne jest, aby zawiadomienie zostało dostarczone do adresata w możliwie najkrótszym czasie. Wybierając mniej efektywny środek komunikacji, administrator może spowodować nieuzasadnioną zwłokę w przekazaniu informacji.

W tym kontekście wadą przesyłki nadanej drogą tradycyjną jest czas niezbędny na jej doręczenie podmiotowi danych. Dla porównania zasadniczą zaletą elektronicznej formy komunikacji jest jej szybkość, co jest pożądane z uwagi na obowiązek powiadomienia podmiotu danych bez zbędnej zwłoki (art. 34 ust. 1 RODO). Forma ta umożliwia adresatowi wielokrotne zapoznanie się z komunikatem oraz jego wydruk w razie potrzeby.

Co do zasady administrator bezpośrednio powiadamia osoby, których dane naruszono, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą, (art. 34 ust. 3 lit. c RODO).

Do powiadamiania osób, których dane naruszono, administrator powinien stosować komunikaty dedykowane, które nie powinny być przesyłane razem z innymi informacjami, na przykład newsletterem, czy standardową wiadomością. Pomoże to przekazać informacje o naruszeniu w jasny i przejrzysty sposób. Powiadomienia ograniczającego się do komunikatu prasowego, czy firmowego bloga nie uznaje się za skuteczne poinformowanie osoby fizycznej o naruszeniu.

Źródło: UODO

W nowym systemie prawnym dotyczącym przetwarzania danych osobowych administrator danych w większości obszarów dowolnie może kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przetwarzania. Wśród obszarów, w odniesieniu do których RODO nakreślono jednak pewne wymagania formalne dotyczące zakresu dokumentowania pozostały takie zagadnienia jak:

1. prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
2. zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
3. prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
4. zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

RODO nie wymaga jednak, aby dokument zawierający wymienione wyżej, obligatoryjne elementy dokumentacji miał określona nazwę, czy strukturę. Ważne jest tylko, aby administrator danych wykazał, że wymienione wyżej rejestry, czy raporty posiadał i aby ich zawartość była zgodna z wskazanymi wyżej wymaganiami tj. wymaganiami wskazanymi odpowiednio w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 RODO.

Należy pamiętać jednak, że wskazane w RODO wymagania wymienione w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 nie są jedynymi, jakie należy uwzględnić w dokumentacji przetwarzania. Są one jedynie specyficzne pod tym względem, że wskazany jest zakres informacji, jaki w danym obszarze powinien być uwzględniony.

Decydując znaczenia dla obszaru i zakresu informacji jakie powinny być zawarte w dokumentacji przetwarzania jest wymóg wykazania przez administratora przestrzegania przepisów RODO zawarty w art. 24, którego brzmienie jest następujące:

1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Wymaganie zawarte art. 24 RODO stanowiące, że administrator powinien być w stanie wykazać przestrzegania przepisów RODO oznacza w praktyce, że sposób przetwarzania danych, związane z nim procedury jak i zastosowane zabezpieczenia techniczne i organizacyjne, również powinny zostać zawarte w przedmiotowej dokumentacji – jako spełnienie obowiązku wykazania, że przestrzegane są wymagania RODO.

Źródło: uodo.gov.pl