Po przyswojeniu podstaw związanych z ochroną danych osobowych na gruncie RODO najwyższy czas przejść do kwestii związanych ze stosowaniem konkretnych przepisów rozporządzenia w praktyce. Na początku konieczne jednak będzie omówienie zasad ogólnych dotyczących przetwarzania danych osobowych. Sporo osób niesłusznie nie docenia ich znaczenia, skupiając się od razu na przepisach odnoszących się do podstaw prawnych przetwarzania i kolejnych. Jest to postępowanie nieprawidłowe, albowiem zasady ogólne nie tylko rzutują na interpretację pozostałych przepisów RODO, ale również bardzo często są podstawą decyzji czy wskazówek udzielanych przez Urząd Ochrony Danych Osobowych.
Zasady ogólne – czym one są i na co to komu?
Najprościej mówiąc, zasady ogólne dotyczące przetwarzania danych osobowych to zbiór instrukcji tudzież wskazówek, w jaki sposób należy interpretować i stosować pozostałe przepisy rozporządzenia. Do zasad ogólnych należy zatem sięgać zwłaszcza wówczas, kiedy brak jest uregulowań prawnych czy orzeczeń sądowych, które pozwalałyby na wyjaśnienie wątpliwości związanych ze stosowaniem rozporządzenia. Same zasady mają charakter normatywny, co oznacza, że nie są one zaleceniami, tylko nakładają konkretne obowiązki w związku z przetwarzaniem danych osobowych[1].
W RODO zbiór zasad został wskazany w art. 5 ust. 1 i ust. 2, na który składają się:
- zasada zgodności z prawem, rzetelności i przejrzystości;
- zasada ograniczenia celu;
- zasada minimalizacji danych;
- zasada prawidłowości;
- zasada ograniczenia przechowywania;
- zasada integralności i poufności;
- zasada rozliczalności.
Przejdźmy teraz do omówienia każdej z nich.
Zasada zgodności z prawem, rzetelności i przejrzystości
Zasada zgodności z prawem, rzetelności i przejrzystości (art. 5 ust. 1 lit a RODO): dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
W jej ramach można wyróżnić tak naprawdę trzy zasady powiązane ze sobą. Zasada zgodności z prawem jest nadrzędna i oznacza, że każde przetwarzanie danych powinno mieć swoją podstawę prawną i być zgodne z RODO oraz wszelkimi przepisami szczególnymi – unijnymi lub krajowymi – mającymi zastosowanie do przetwarzania danych osobowych. Zasada rzetelności wymaga, aby dane były przetwarzane rzetelnie (ang. fairness), czyli uczciwie i chodzi w niej przede wszystkim o wyważanie pomiędzy prawem do ochrony danych a interesami podmiotów przetwarzających dane[2]. Zasada przejrzystości została wyjaśniona w motywie trzydziestym dziewiątym preambuły RODO, a dokładnie w zdaniu trzecim i czwartym, gdzie wskazano: „Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących”.
Zasada ograniczenia celu
Zasada ograniczenia celu (art. 5 ust. 1 lit b RODO): dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
W literaturze przedmiotu wskazuje się, że zasada ta opiera się na założeniu, że zbieranie danych jest niedopuszczalne, jeżeli nie zostały określone cele, dla których mają być one zebrane[3].
Sam cel, dla realizacji którego gromadzone są dane, musi być określony w sposób wyraźny i konkretny, co oznacza, że zbieranie danych dla celów oznaczonych jako np. „ważne cele administratora”, czy „cele uzasadnione potrzebami administratora” będzie niezgodne z RODO. Cel nie może mieć zatem charakteru abstrakcyjnego i powinien być łatwy do rozpoznania oraz oznaczony w możliwie najbardziej precyzyjny sposób[4].
Trzeba też zwrócić uwagę na zdanie dziewiąte motywu trzydziestego dziewiątego preambuły rozporządzenia. Wskazano w nim, że dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Prawodawca unijny sugeruje zatem, by – w miarę możliwości – poszukiwać takich sposobów osiągnięcia celu, który nie będzie wiązał się z przetwarzaniem danych osobowych. Moim zdaniem nie należy traktować tego jako generalnego zakazu przetwarzania jakichkolwiek danych osobowych, od którego w konkretnych sytuacjach musielibyśmy szukać wyjątków pozwalających na przetwarzanie, ale raczej jako zalecenie, o którym trzeba pamiętać już na etapie podejmowania decyzji o rozpoczęciu przetwarzania danych osobowych.
Od zasady tej są oczywiście wyjątki, przy czym jeden z nich został wskazany w art. 5 ust. 1 lit. b zdaniu drugim rozporządzenia. Stanowi on, że dalsze przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami.
Zasada minimalizacji danych
Zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO): dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których są przetwarzane.
Wprowadza ona ograniczenie co do zakresu (ilości) zbieranych danych, jak też dalszego ich przetwarzania i zazwyczaj interpretowana jest jako nakaz ograniczenia zbierania oraz przechowywania danych do niezbędnego minimum. Wykładnia taka wydaje się być podparta brzmieniem motywu trzydziestego dziewiątego preambuły RODO, który w zdaniu siódmym i ósmym stanowi, że „dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum”. Nie bez znaczenia pozostaje też zdanie dziewiąte tegoż motywu, przytoczone przy omawianiu zasady ograniczenia celu.
W doktrynie istnieje jednak spór, jak właściwie należy rozumieć zasadę minimalizacji danych, a powstał on jeszcze na kanwie poprzednio obowiązującej ustawy o ochronie danych osobowych z 1997 r. Niektórzy przedstawiciele nauki opowiadają się za literalnym, restrykcyjnym rozumieniem tej zasady, twierdząc, że niezgodne z nią będzie zbieranie jakichkolwiek danych, które nie mieszczą się w ścisłym minimum tego, co niezbędne do osiągnięcia celu. Inni natomiast zwracają uwagę, że przepisu tego nie należy odczytywać w taki sposób, albowiem dane powinny być również adekwatne i stosowne do tego, co niezbędne do osiągnięcia celu, w którym są przetwarzane. Wywodzą stąd przeświadczenie, że możliwe jest wyjście poza zasadę ścisłego minimalizmu, o ile zakres zbieranych danych może pomóc osiągnąć cele przetwarzania.
Za pierwszym z poglądów opowiada się np. Piotr Drobek, zdaniem którego „…na gruncie komentowanego rozporządzenia wskazane kontrowersje straciły na znaczeniu, gdyż statuuje ono wprost zasadę minimalizacji danych, której elementem jest ich adekwatność”[5].
Zwolennikiem drugiej interpretacji jest zaś Paweł Fajgielski, który wskazuje, że „wymóg niezbędności należy odczytywać łącznie z wymogiem adekwatności i stosowności (…). W praktyce często zdarza się, że cel można osiągnąć łatwiej, szybciej i taniej, wykorzystując dane, bez których osiągnięcie podstawowego celu jest możliwe”[6].
Niekiedy wątpliwości co do zakresu zbieranych danych rozwiewa sam ustawodawca, który wprost wskazuje, jakie dane mogą być zbierane w konkretnych sytuacjach. Przykładem może być art. 221 Kodeksu pracy, który w § 1 określa, jakich danych pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie, a w § 3 – jakich danych dodatkowo może żądać od pracownika.
Zasada prawidłowości
Zasada prawidłowości (art. 5 ust. 1 lit d RODO): dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Tak jak poprzednio omówiona zasada odnosiła się do zakresu (ilości) zbieranych danych, tak zasadę prawidłowości należy odnosić do ich jakości. W doktrynie rozumiane jest to jako obowiązek dbania o to, by przetwarzane dane były zgodne z prawdą i aktualnym stanem faktycznym, by uniknąć sytuacji przetwarzania danych nieaktualnych czy błędnych[7]. Nie powinna być ona jednak rozumiana jako obowiązek administratora do systematycznego sprawdzania wszystkich przetwarzanych danych i regularnego ustalania, które z nich są nieprawidłowe. Administrator ma obowiązek reagowania na sygnały dotyczące nieprawidłowości, ale nie nieustannego przeglądania zasobów przetwarzanych danych w celu wynajdywania danych nieprawidłowych[8].
Zasada ograniczenia przechowania
Zasada ograniczenia przechowania (art. 5 ust. 1 lit. e RODO): dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Istotą tej zasady jest to, że dane osobowe nie mogą być przechowywane w nieskończoność, a czas tego przechowywania należy ściśle wiązać z celem, dla którego zostały zebrane. Sama zasada powinna być też interpretowana przez pryzmat postulatu zawartego w motywie trzydziestym dziewiątym zdaniu ósmym preambuły RODO, w którym stawiany jest wymóg zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. W praktyce rodzi to tak naprawdę wiele problemów interpretacyjnych, a jako jeden z nich w literaturze podawany jest przykład wierzyciela, którego roszczenie względem dłużnika uległo przedawnieniu[9].
W niektórych sytuacjach odpowiedź co do okresu przechowywania danych dają przepisy prawa. Przykładem może być art. 5c ust. 1 pkt 2 lit. c ustawy o radcach prawnych, który stanowi, że okres przechowywania danych osobowych przez radcę prawnego w ramach wykonywania zawodu wynosi dziesięć lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone.
Istnieją oczywiście wyjątki do tej zasady, a na jeden z nich wskazuje samo RODO w zdaniu drugim omawianego przepisu, zgodnie z którym dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą.
Zasada integralności i poufności
Zasada integralności i poufności (art. 5 ust. 1 lit. f RODO): dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Zasada ta to nic innego jak nakaz wdrożenia takich środków i rozwiązań, które będą chronić zarówno same dane przed uszkodzeniem, zniekształceniem, zniszczeniem czy utratą (integralność), jak i przed wyciekiem czy nieuprawnionym dostępem do nich (poufność). Integralność danych może zostać zapewniona np. przez regularne sporządzanie kopii zapasowych na zewnętrznym nośniku danych. Poufność z kolei może być zapewniona np. poprzez przechowywanie danych w komputerze chronionym hasłem, czy wydzielenie obszarów, w których dochodzi do przetwarzania danych, do których nie mają dostępu osoby nieuczestniczące w procesie przetwarzania. Sama zasada została rozwinięta w art. 32 ust. 1 RODO, który zawiera też katalog przykładowych rozwiązań zapewniających bezpieczeństwo danych.
Zasada rozliczalności
Zasada rozliczalności (art. 5 ust. 2 RODO): Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie.
Przepis ten nie tylko wprowadza odpowiedzialność administratora za przestrzeganie omówionych zasad ogólnych, ale też nakłada na niego obowiązek gromadzenia i przedstawienia dowodów na przestrzeganie zasad przetwarzania danych w razie sporu z osobą, której dane dotyczą lub z organem nadzorczym. Nie istnieje zatem żadne domniemanie na korzyść administratora, na które mógłby się powołać. Administrator będzie musiał udowodnić np., że: miał podstawę prawną przetwarzania danych, zakres zebranych danych był niezbędny do osiągnięcia konkretnego, prawnie uzasadnionego celu, zapewnił odpowiednie środki gwarantujące poufność przetwarzanych danych.
Na obowiązek przedstawienia dowodów w ramach zasady rozliczalności wskazywała już Grupa Robocza Art. 29 w opinii 3/2010 z dnia 13 lipca 2010 r. w sprawie zasady rozliczalności (WP 173)[10].
Nie wolno jednak zapominać, że mimo iż art. 5 ust. 2 RODO odsyła do ust. 1, to jednak zasada rozliczalności rozciąga się na stosowanie wszystkich przepisów rozporządzenia. Wynika to z motywu siedemdziesiątego czwartego zdania drugiego preambuły RODO, który stanowi, że administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Na takie rozumienie zasady rozliczalności wskazywała też Grupa Robocza Art. 29 w powołanej wcześniej opinii 3/2010. Nadto zasadę rozliczalności rozwija art. 24 ust. 1 RODO, który nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby mógł to wykazać.
Z praktyki UODO, czyli w imię zasad
Jak wspomniałem na samym początku, zasady ogólne nie są jedynie zbiorem postulatów, tylko mają charakter normatywny, o czym najlepiej świadczy to, że nierzadko stanowią podstawę lub jedną z podstaw decyzji wydawanych przez Prezesa Urzędu Ochrony Danych Osobowych. Także w zaleceniach czy wskazówkach publikowanych na stronie UODO niejednokrotnie powoływana jest któraś z zasad ogólnych przetwarzania danych osobowych. Spójrzmy na dwa przykłady:
- Rejestracja czasu pracy za pomocą danych biometrycznych nie jest zgodna z RODO
Na stronie UODO Prezes wskazał, że przetwarzanie przez pracodawcę danych biometrycznych pracowników nie może służyć celowi, jakim jest ewidencja czasu pracy. Prezes Urzędu wyjaśnił, że istnieją jedynie dwie sytuacje, w których pracodawca może legalnie przetwarzać takie dane. Nie zalicza się do nich jednak rejestrowanie czasu pracy, a pracodawca, który wykorzystywałby dane biometryczne pracownika w tym celu, naruszyłby zasady określone w RODO (art. 5 ust. 1). W szczególności przetwarzałby dane wbrew zasadzie legalności (lit. a), ograniczenia celu (lit. b) oraz minimalizacji danych (lit. c), ponieważ nie byłby w stanie wykazać, dlaczego i na jakiej podstawie prawnej przetwarza dane biometryczne pracowników do celów związanych z weryfikowaniem ich obecności w pracy[11].
- O szkole, w której zbierano odciski palców
W decyzji z dnia 18 lutego 2020 r. Prezes Urzędu nałożył na jedną ze szkół w Gdańsku karę w wysokości 20.000,00 złotych za naruszenie polegające na przetwarzaniu danych biometrycznych uczniów (odcisków palców) podczas korzystania przez nich z usług stołówki szkolnej. Zasady wydawania obiadów wyglądały w ten sposób, że umieszczony przed wejściem do stołówki czytnik linii papilarnych porównywał odcisk palca ze wzorami biometrycznymi ucznia zapisanymi w pamięci czytnika, a następnie z prawem do pobrania posiłku w danym dniu. Co więcej, uczniowie, których rodzice nie wyrazili zgody na identyfikację biometryczną, przepuszczali wszystkich i oczekiwali na końcu kolejki. Dopiero gdy wszyscy uczniowie z identyfikacją biometryczną weszli do stołówki, rozpoczynało się wpuszczanie pojedynczo uczniów bez takiej identyfikacji.
Prezes UODO stwierdził w niniejszej sprawie naruszenie art. 5 ust. 1 lit. c RODO (zasada minimalizacji danych), argumentując, że przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Identyfikację tę można przeprowadzić za pomocą innych środków, mniej ingerujących w prywatność ucznia korzystającego z usług stołówki szkolnej.
Co ciekawe, szkoła broniła się w tej sprawie argumentem, iż rodzice uczniów korzystających z identyfikacji biometrycznej, wyrazili na to zgodę. Prezes Urzędu wskazał jednak, że w niniejszej sprawie zgoda nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ stanowi ona podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki przetwarzania. Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania (jednym z takich zadań jest organizowanie stołówki szkolnej) i to w nich należy poszukiwać podstaw do przetwarzania konkretnych danych. Szkoła nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań[12].
Reasumując
Zdaję sobie sprawę, że materia dotycząca zasad ogólnych nie jest łatwa i może zniechęcać do jej zgłębiania. Ponadto w obliczu przepisów statuujących konkretne podstawy przetwarzania, jak też prawa i obowiązki osób, których dane są przetwarzane, zasady ogólne mogą wydawać się nieistotne w całym procesie przetwarzania danych. Przestrzegam jednak przed ich bagatelizowaniem czy pomijaniem i zalecam przynajmniej podstawowe zaznajomienie się z nimi. Jak bowiem widać, Prezes UODO podchodzi do nich bardzo poważnie, powołując się na nie w wydawanych zaleceniach, jak i opierając na nich wydawane decyzje.
[1] por.: Fajgielski Paweł. Art. 5. W: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.
[2] por.: Drobek Piotr. Art. 5. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018.
[3] por.: Drobek Piotr, op. cit.
[4] por.: Fajgielski Paweł, op. cit.
[5] Drobek Piotr, op. cit.
[6] Fajgielski Paweł, op. cit.
[7] por.: Fajgielski Paweł, op. cit.; Drobek Piotr, op. cit.
[8] tak Fajgielski Paweł, op. cit.
[9] Fajgielski Paweł, op. cit.: „Niekiedy można spotkać się z poglądem, że upływ okresu przedawnienia powoduje, iż administrator danych powinien zaprzestać przetwarzania danych i usunąć dane. Z poglądem takim nie sposób się zgodzić, ponieważ upływ okresu przedawnienia nie oznacza, że roszczenie przestaje istnieć, a jedynie zmienia się jego charakter – roszczenie staje się tzw. roszczeniem naturalnym. Dłużnik może podnieść zarzut przedawnienia, ale nie musi tego robić, a sąd z urzędu nie bierze pod uwagę upływu okresu przedawnienia. Oznacza to, że roszczenie przedawnione nadal może zostać zaspokojone, a administrator danych ma nadal cel, który uzasadnia przetwarzanie danych dłużnika. Ponadto może się zdarzyć, że dłużnik będzie chciał zawrzeć z administratorem kolejną umowę, a administrator, dysponując informacjami o długu, będzie mógł skutecznie chronić swoje interesy, np. uzależniając możliwość zawarcia kolejnej umowy od spłaty zadłużenia”.
[10] https://archiwum.giodo.gov.pl/pl/1520057/3732
[11] więcej: https://uodo.gov.pl/pl/138/1521
[12] https://uodo.gov.pl/decyzje/ZSZZS.440.768.2018
RADCA PRAWNY KRZYSZTOF ŻABIŃSKI
ukończył studia prawnicze na Uniwersytecie Szczecińskim. Następnie odbył aplikację radcowską w Okręgowej Izbie Radców Prawnych w Koszalinie, a w 2017 r. uzyskał uprawnienia do wykonywania zawodu.
Przed wpisem na listę radców prawnych i otwarciem własnej kancelarii pracował w kancelarii notarialnej, w sądzie jako asystent sędziego, a później w kancelarii innego radcy prawnego. W roku akademickim 2018/2019 ukończył studia podyplomowe z ochrony danych osobowych na Uniwersytecie Gdańskim.
Obecnie specjalizuje się w sprawach z zakresu ochrony danych osobowych, kredytów walutowych, odszkodowania i zadośćuczynienia wskutek wypadków komunikacyjnych, sporów gospodarczych miedzy przedsiębiorcami, sporów dotyczących współwłasności, a także prawa rodzinnego. Posługuje się również językiem angielskim na poziomie C1.
Więcej: klik.
Inne wpisy w ramach cyklu PRAWDZIWE OBLICZE RODO: klik.
