W naszej ocenie, punktem wyjścia wprowadzenia procedur wymaganych przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE^[1] (dalej zwane: „RODO”) jest ustalenie przez każdy podmiot wdrażający, jakie dane osobowe, w jakim celu, w jakim zakresie, przez jaki okres i na jakiej podstawie są przez niego przetwarzane, oraz zweryfikowanie, do kogo te dane są przekazywane, kto ma do nich dostęp i w jaki sposób są zabezpieczone.

W niektórych przypadkach na wdrażającym ciąży obowiązek przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Zgodnie bowiem z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. Jak zatem wynika z powyższego, administrator danych osobowych obowiązany jest do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, jeżeli w wyniku szacowania ryzyka jego poziom określony został jako wysoki.

Wskazać przy tym należy, iż taka ocena, w świetle art. 35 ust. 7 RODO, winna zawierać co najmniej:

a)  systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b)  ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c)  ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;

d)  środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić  ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Przy czym, jeżeli zajdzie taka potrzeba, zwłaszcza gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator danych osobowych winien dokonać przeglądu celem sprawdzenia, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.

Zgodnie z wytycznymi Grupy Roboczej Art. 29, dotyczącymi oceny skutków dla ochrony danych oraz pomagającymi ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów RODO (dalej: „Wytyczne Grupy Roboczej Art. 29”), ocena skutków dla ochrony danych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. Oceny skutków dla ochrony danych są ważnym narzędziem rozliczalności, ponieważ ułatwiają administratorom nie tylko przestrzeganie wymogów określonych w RODO, ale także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO (…). Innymi słowy ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności^[2].

Co istotne, RODO określa przykładowe sytuacje, w których dokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych jest obowiązkowe. I tak, zgodnie z art. 35 ust. 3 RODO, ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku:

a)  systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

b)  przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10;

c)  systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Ponadto, projekt wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych^[3] opublikowany został również przez GIODO. Na potrzeby niniejszego raportu na uwagę zasługują następujące pozycje zawarte w tym wykazie:

W poprzednim stanie prawnym, tj. przed wejściem w życie RODO, każdy administrator danych osobowych był obowiązany prowadzić dokumentację przetwarzania danych osobowych, obejmującą m.in. politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz ewidencję osób upoważnionych do przetwarzania. Po wejściu w życie RODO administratorzy danych osobowych nie mają już takiego obowiązku. Zauważyć bowiem należy, iż w tym zakresie RODO przyznaje im pewną dowolność, albowiem zasadniczo nie określa, jakie oraz o jakiej treści dokumenty w zakresie ochrony danych osobowych należy posiadać. Zgodnie jednak z przewidzianą w RODO zasadą rozliczalności administrator danych osobowych winien dokumentować wszelkie czynności związane z przetwarzaniem danych osobowych, aby móc wykazać przestrzeganie przepisów RODO, w szczególności przepisów określających podstawowe zasady dotyczące przetwarzania danych osobowych. Przy czym, w każdym przypadku dokumentacja ta winna uwzględniać następujące kwestie: cel, zakres i podstawę danej operacji przetwarzania danych osobowych, okres ich przechowywania, dostęp do danych osobowych, osoby upoważnione do ich przetwarzania, stosowane zabezpieczenia oraz poziom ryzyka związanego z przetwarzaniem danych osobowych.

RODO nie konkretyzuje, jakie środki techniczne i organizacyjne powinien wdrożyć administrator danych osobowych w celu zapewnienia bezpieczeństwa danych osobowych. W konsekwencji, wybór odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia bezpieczeństwa dokumentacji zawierającej dane osobowe, należeć będzie do wdrażającego. Przy czym wdrażający winien każdorazowo uwzględniać poziom ryzyka związanego z przetwarzaniem danych osobowych, tak aby ich ochrona spełniała wymogi RODO.

W praktyce, w niektórych przypadkach, wystarczającym rozwiązaniem będzie przechowywanie wszelkiej dokumentacji zawierającej dane osobowe w odpowiednio zabezpieczonych pomieszczeniach, do których dostęp będą miały tylko i wyłącznie osoby upoważnione. Zalecamy zamykanie tych pomieszczeń na klucz. Jeżeli zaś ww. dane osobowe są przetwarzane w formie elektronicznej, np. na dyskach komputerów, dostęp do nich winien być zabezpieczony hasłem. Dotyczy to także plików komputerowych zawierających dane osobowe, takich jak np. tabela w programie Microsoft Excel zawierająca dane osobowe klientów lub kontrahentów, które to pliki również winny być zabezpieczone hasłem. Jeżeli do przechowywania danych osobowych wdrażający wykorzystuje inne systemy informatyczne, takie jak np. tablety, dostęp do zawartych w nich danych osobowych winien być zabezpieczony loginem i hasłem, numerem PIN lub wzorem odblokowania. Ważne, aby wdrażający miał techniczną możliwość zweryfikowania, kto i kiedy logował się do systemu, aby w razie konieczności móc ustalić, kto i kiedy uzyskał dostęp do danych osobowych lub dokonał ich modyfikacji.

W niektórych przypadkach wdrażający ma obowiązek wyznaczenia inspektora ochrony danych, a w niektórych może to uczynić na zasadzie dobrowolności.

Wdrażający zobowiązany jest do wykonania obowiązku informacyjnego, określonego na gruncie RODO, w odniesieniu do wszystkich osób, których dane osobowe przetwarza, w tym:

• swoich pracowników (bez względu na podstawę zatrudnienia, tj. niezależnie od tego, czy dana osoba jest zatrudniona w oparciu o umowę o pracę, czy też na podstawie umowy cywilnoprawnej),
• kandydatów do pracy (w razie prowadzenia procesu rekrutacji), jak również
• klientów i kontrahentów (dostawców, zleceniobiorców, wykonawców). Przy czym, w przypadku kontrahentów tylko wtedy, gdy są to osoby fizyczne prowadzące działalność gospodarczą.

Przede wszystkim, każda z ww. osób winna wiedzieć, kto jest administratorem jej danych osobowych i w jakim celu oraz zakresie są one przetwarzane. W związku z powyższym rekomendujemy przygotowanie klauzuli informacyjnej spełniającej wymogi wskazane w RODO, a następnie:

• w przypadku kandydatów do pracy: zawarcie klauzuli informacyjnej w treści przyszłych ofert pracy;
• w przypadku pracowników: przedłożenie klauzuli informacyjnej pracownikom oraz uzyskanie od każdego z nich pisemnego potwierdzenia, iż pracownik zapoznał się z klauzulą;
• w przypadku klientów: umieszczenie klauzuli informacyjnej na stronie internetowej wdrażającego oraz w widocznym miejscu, tam gdzie prowadzi działalność, w przypadku działalności usługowej prowadzonej w formie np. sklepu, restauracji lub kliniki. W takim przypadku klient winien być uprzednio poinformowany o tym, w jaki sposób może zapoznać się z treścią klauzuli. Jeżeli wdrażający wysyła do klientów e-maila z potwierdzeniem rezerwacji lub zamówienia, rekomendujemy zawarcie w jego treści klauzuli informacyjnej lub informacji o jej umieszczeniu na stronie internetowej (z podaniem adresu strony internetowej). W przypadku zawierania umowy, klauzula informacyjna może być zawarta w treści umowy lub stanowić załącznik do tej umowy;
• w przypadku kontrahentów (dostawców, zleceniobiorców): klauzula informacyjna może być zawarta w treści umowy lub stanowić załącznik do umowy. Alternatywnym rozwiązaniem może być również wysłanie do kontrahenta e-maila z klauzulą informacyjną lub informacją o jej umieszczeniu na stronie internetowej (z podaniem adresu strony internetowej).

W tym zakresie rekomendujemy zweryfikowanie dotychczasowych upoważnień wydanych przez wdrażającego, na podstawie których jego pracownicy uzyskali dostęp do danych osobowych i zostali dopuszczeni do przetwarzania danych osobowych, a następnie:

• uzupełnienie ww. upoważnień o szczegółowe polecenie wykonania określonych czynności przetwarzania; polecenie takie może stanowić załącznik do wydanych upoważnień, bądź
• wydanie nowych, pisemnych upoważnień pracownikom mającym dostęp do danych osobowych, w których treści zawarte zostanie szczegółowe polecenie wykonania określonych czynności przetwarzania.

Na gruncie RODO polecenie administratora (w tym przypadku wdrażającego) winno być również podstawą przetwarzania danych osobowych przez podmioty przetwarzające (np. podmioty świadczące wdrażającemu usługi księgowe lub informatyczne) oraz przez wszystkie osoby upoważnione przez te podmioty do przetwarzania danych osobowych i mające do nich dostęp. Konieczne zatem będzie wprowadzenie takiego polecenia do treści każdej umowy powierzenia przetwarzania danych osobowych, jaką wdrażający ma zawartą z podmiotem przetwarzającym, o którym mowa powyżej. Tak wydane polecenie dla podmiotu przetwarzającego będzie podstawą przetwarzania danych osobowych przez podmiot przetwarzający i osoby przez niego upoważnione oraz jednocześnie będzie wyznaczać granice przetwarzania dla ww. osób. Zwracamy bowiem uwagę, że zgodnie z art. 32 ust. 4 RODO administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora (…).

Zakładając, że wdrażający stosuje monitoring wizyjny i w związku z tym przetwarza dane osobowe w postaci danych biometrycznych (wizerunek twarzy) zarówno swoich pracowników, jak i klientów, winien on podjąć działania w celu poinformowania ww. osób o fakcie stosowania monitoringu oraz miejscu objętym monitoringiem. I tak:

• w przypadku pracowników: zgodnie z przepisami Kodeksu pracy pracodawca jest zobowiązany, między innymi, do poinformowania pracowników o wprowadzeniu monitoringu;
• w przypadku klientów, kontrahentów i innych osób wchodzących do siedziby wdrażającego: rekomendujemy umieszczenie tabliczek, w miejscu widocznym dla każdego wchodzącego gościa, zawierających wyraźną i czytelną informację, że lokal jest objęty monitoringiem oraz między innymi o tym, kto jest administratorem ich danych osobowych.

W załączeniu znajdą Państwo wzór jednego z kilku dokumentów opisanych przez nas powyżej i wymaganych przez RODO, a mianowicie Upoważnienie do przetwarzania danych osobowych, o którym mowa w treści kroku 7. Jeżeli będą Państwo zainteresowani otrzymaniem wzorów pozostałych dokumentów oraz w przypadku jakichkolwiek pytań lub wątpliwości, pozostajemy do Państwa dyspozycji i prosimy o kontakt poprzez formularz kontaktowy zamieszczony na naszej stronie internetowej.

Upoważnienie do przetwarzania danych osobowych
(plik .pdf do pobrania)