Czy powoływać inspektora ochrony danych? To częsty dylemat tych przedsiębiorców, którzy chcą uporządkować sprawy dotyczące ochrony danych osobowych.
Jednak na samym początku należy wyjaśnić bardzo ważną kwestię. Nie każdy administrator musi powołać inspektora. Wręcz przeciwnie – istnieje o wiele więcej podmiotów gospodarczych zwolnionych z obowiązku posiadania inspektora, niż tych zobowiązanych. Wystarczy spojrzeć na przesłanki określone w art. 37 ust. 1 RODO, aby dojść do powyższego wniosku.
Wstępnym sprawdzeniem, czy są Państwo jako przedsiębiorca zobligowani do powołania inspektora jest odpowiedź na pytanie, czy:
- Państwa główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (czyli danych dotyczących zdrowia, seksualności lub orientacji seksualnej osoby; ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; danych genetycznych, biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby);
- Państwa główna działalność polega na przetwarzaniu na dużą skalę danych dotyczących wyroków skazujących i czynów zabronionych;
- Państwa główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają na dużą skalę regularnego i systematycznego monitorowania osób.
Odpowiedź na pierwsze dwa pytania jest dość prosta. Typową organizacją, której główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych jest np. szpital. Oczywiście najważniejszym zadaniem szpitala jest leczenie pacjentów, lecz bez danych osobowych nie byłoby to możliwe. Stąd należy wyprowadzić wniosek, że szpital powinien powołać inspektora.
Większe wątpliwości mogą pojawić się w przypadku monitorowania. Czy RODO odnosi się jedynie do monitorowania w postaci stosowania monitoringu wizyjnego, czy może do innych jego form? Otóż pojęcie „monitorowania” należy rozumieć szeroko. Będziemy mieli z nim do czynienia także w przypadku śledzenia i profilowania w internecie, śledzenia lokalizacji czy obserwowania stanu zdrowia użytkowników aplikacji mobilnej. Należy jednocześnie pamiętać o skali monitorowania oraz jej regularności i systematyczności, a także o tym, czy jest to Państwa główna działalność.
Zatem czy warto powołać inspektora ochrony danych, gdy nie mamy takiego obowiązku? Wydaje mi się, że nie. Zgodnie z przepisami RODO, inspektor powinien być odpowiednio umiejscowiony w strukturze organizacyjnej administratora oraz mieć zapewnione odpowiednie warunki pracy (np. niezbędne zasoby do utrzymania fachowej wiedzy). Ponadto nie może być on odwoływany ani karany przez administratora za wypełnianie swoich zadań. Dlatego też lepszym rozwiązaniem może być wyznaczenie odpowiedniej osoby, która będzie realizować obowiązki związane z ochroną danych osobowych lub skorzystanie ze wsparcia zewnętrznego podmiotu.
Oczywiście intencją przepisów RODO było to, aby inspektor mógł w pełni niezależnie i profesjonalnie wypełniać swoje zadania, jednak można odnieść wrażenie, że jego pozycja w przedsiębiorstwie będzie bardzo mocna, o ile nie zbyt mocna i nieadekwatna w stosunku do potrzeb. Jestem przekonany, że przy odpowiedzialnym i rzetelnym podejściu kadry zarządzającej firmą do kwestii danych osobowych, prawidłową ich ochronę są w stanie zapewnić osoby, które nie posiadają statusu inspektora ochrony danych osobowych. Wystarczy, że mają fachową wiedzą i są włączane w działania przedsiębiorstwa.
Powołanie inspektora ochrony danych można jednak rozważyć pod kątem korzyści wizerunkowych. Na pewno jest to wyraźny sygnał, że w firmie przykłada się dużą wagę do kwestii ochrony danych.
Zatem zanim zdecydujemy o powołaniu inspektora, mimo że nie mamy takiego obowiązku, warto zastanowić się nie tylko nad tym, jak ważne i jak duże są nasze zbiory danych, ale również, czy chcemy, aby w przedsiębiorstwie pojawiła się osoba o wyjątkowym statusie.
Zarówno przedsiębiorcy, jak i konsumenci coraz częściej zdają sobie sprawę, że w wielu przypadkach konieczne jest wyrażenie zgody na przetwarzanie danych osobowych. Jednak zgoda jest bardzo często mylona z obowiązkiem informacyjnym, określonym w art. 13 i 14 RODO.
Celem spełnienia obowiązku informacyjnego jest zapewnienie podstawowych informacji o sposobie przetwarzania danych osobowych, tym wszystkim, których dane przetwarzamy. Zatem obowiązek informacyjny należy wypełnić bez względu na podstawę prawną przetwarzania danych, którą jest m.in. zgoda.
RODO rozróżnia dwa przypadki, w których konieczne jest przekazanie informacji. Jeden z nich dotyczy gromadzenia danych bezpośrednio od osoby (art. 13), drugi gromadzenia danych z innych źródeł (art. 14). Jaka jest największa różnica pomiędzy tymi sytuacjami? Otóż gdy gromadzimy dane bezpośrednio od osoby, nie możemy zrezygnować z realizacji obowiązku informacyjnego. Z kolei jeśli podmiot trzeci przekazuje nam dane lub zbieramy je samodzielnie np. za pomocą publiczne dostępnych rejestrów, w pewnych sytuacjach możemy pominąć przekazanie informacji.
Myślę, że wyjątkiem, z którego najczęściej będą korzystać firmy w przypadku gromadzenia danych od podmiotów trzechich, jest niemożliwość ich udzielenia lub konieczność podjęcia niewspółmiernie dużego wysiłku (art. 14 ust. 5 lit. b RODO). Oczywiście dopiero praktyka pokaże, jak należy rozumieć „niewspółmiernie duży wysiłek”. Uważam jednak, że wyłączenie to powinno mieć zastosowanie w szczególności w przypadkach gromadzenia danych pracowników firmy, z którą współpracujemy, gdy dane te są przekazywane nam przez samego pracodawcę np. w celu realizacji współpracy, wykonania umowy itp. Niestety sprawa ma się o wiele gorzej, gdy taki pracownik kontaktuje się z nami bezpośrednio, zaś jego dane nie były przekazane nam wcześniej przez inną osobę. Wówczas nie mamy wyboru i musimy spełnić obowiązek informacyjny.
Oczywiście bez względu na to, w jaki sposób gromadzimy dane osobowe, informacji nie trzeba przekazywać, gdy osoba już je posiada.
Co do zasady treść obowiązku informacyjnego powinna zawierać m.in. dane dotyczące administratora, celu i podstawy prawnej przetwarzania, okresu ich przechowywania, odbiorcach danych, prawach osoby, której dane są przetwarzane.
Warto przypomnieć, że nie istnieje żadna konkretna metoda realizacji obowiązku informacyjnego. RODO mówi jedynie o tym, że informacje należy podać osobie. Ich podanie może odbyć się w formie pisemnej, komunikatu ustnego, odtworzenia nagranej informacji, a nawet w postaci obrazkowej. Ponadto nie jest zalecane gromadzenie danych jedynie po to, aby udowodnić wypełnienie obowiązku informacyjnego. Rażącym przykładem mogłoby być zbieranie adresów e-mail w określonym celu oraz jednoczesne potwierdzanie zapoznania się z informacjami określonymi w art. 13 RODO poprzez złożenie wyraźnego podpisu przez osobę, która podała adres e-mail.
Więcej bardziej szczegółowych informacji i wskazówek na temat art. 13 i 14 RODO pojawi się w kolejnych wpisach.
Wielu przedsiębiorców zadaje sobie pytanie, czy przepisy RODO dotyczą również danych osób fizycznych prowadzących działalność gospodarczą , które są ogólnodostępne w CEIDG? Są to przecież informacje, które może pozyskać każdy. Ponadto osoby zakładające działalność gospodarczą godzą się, że dane te będą widoczne bez ograniczeń w internecie.
Prawo podchodzi jednak do tego zagadnienia zupełnie inaczej. RODO ani inne akty prawne, w szczególności te, które obowiązują w Polsce, nie przewidują żadnych wyjątków w tej kwestii. Jeżeli zatem sprzedają Państwo towary osobom fizycznym prowadzącym działalność gospodarczą i w związku z wystawieniem faktury gromadzą Państwo ich dane osobowe, konieczne jest spełnienie wszystkich obowiązków określonych przepisami RODO. Muszą Państwo m.in. wypełnić obowiązek informacyjny (art. 13 RODO), czyli przekazać osobie najważniejsze informacje dotyczące sposobu przetwarzania jej danych, ustalić zakres gromadzonych danych, okres ich przechowywania danych, a następnie odpowiednio je zabezpieczyć.
Oczywiście sprzedaż towarów jest tylko i wyłącznie jednym z przykładów sytuacji, w której może dojść do gromadzenia danych. Firmy gromadzą dane jednoosobowych przedsiębiorców także w celu nawiązania ewentualnej współpracy, wysyłania informacji marketingowych itd. Wówczas również należy pamiętać o RODO.
A jak było wcześniej? Zanim zaczęło obowiązywać RODO, zgodnie z art. 39b ustawy o swobodzie działalności gospodarczej do jawnych danych i informacji udostępnianych przez CEIDG nie miały zastosowanie przepisy przepisy ustawy o ochronie danych osobowych, z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy. Oznaczało to, że jeżeli ktoś gromadził dane tylko i wyłącznie dostępne w CEIDG, nie musiał np. otrzymać zgody na ich przetwarzanie; informować, że będzie je przetwarzał czy też zawierać umów z podmiotami, którym powierza przetwarzanie danych. GIODO mogło jednak przeprowadzić kontrolę przetwarzania takich danych, zaś podmiot posiadający dane musiał odpowiednio je chronić, w tym wdrożyć dokumentację opisującą sposób, w jaki zostały one zabezpieczone.
W praktyce bardzo rzadko zdarzało się, aby przedsiębiorca posiadał dane swoich kontrahentów, które są identyczne z danymi dostępnymi w CEIDG. Zatem wyłączenia te miały niewielkie znaczenie w typowej działalności gospodarczej.
Czy jest szansa na wprowadzenie w polskim prawie wyjątków dotyczących danych osób fizycznych prowadzących działalność gospodarczą? Niestety na razie się na to nie zanosi. Również Komisja Europejska stoi na stanowisku, że przepisy RODO trzeba stosować w stosunku do osób fizycznych, nawet jeśli ich dane gromadzone są w związku z prowadzoną przez nie działalnością gospodarczą. Dlatego trudno sobie wyobrazić, aby w najbliższym czasie doszło do diametralnych zmian w tej kwestii.
