Inspektor Ochrony Danych Osobowych nie może być figurantem

O wiedzy fachowej Inspektora Ochrony Danych osobowych pisałam Tutaj, kładąc nacisk na wysoki poziom tej wiedzy.

Już po napisaniu artykułu zadzwonił do mnie ABI zaznaczając, że jest świeżo nominowanym ABI, z pytaniem o poradnik dla początkującego ABI. Ów ABI został najpierw powołany i dopiero potem rozpoczął zdobywanie wiedzy niezbędnej dla wykonywania obowiązków.

Czy osoba, tak jak w tym przypadku nie dysponująca od początku odpowiednią wiedzą, jest w stanie zapewnić zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, czy podoła wyzwaniom stawianym przez nowe prawo ochrony danych osobowych, czy wreszcie administrator danych zapewni mu środki i narzędzia niezbędne do należytego wykonywania tych zadań. Mam spore  wątpliwości.

Powoływanie ABI w taki, jak opisany wyżej, sposób jest kolejnym dowodem na ignorancję administratorów danych w sferze prawa ochrony danych osobowych. A co tam powołamy sobie ABI a potem będziemy go szkolić lub sam się będzie szkolił, najlepiej w internecie.

W aktualnym stanie prawnym nie ma obwiązku powoływania ABI, po co więc powoływać ABI, który nie dysponuje odpowiednią wiedzą i doświadczeniem. Niewykluczone, że administratorzy danych powołują ABI w przeświadczeniu istnienia takiego obowiązku.

Zadziwiający jest też fakt, że osoby często przypadkowe nie mające odpowiedniej wiedzy a bywa, że żadnej wyrażają zgodę na pełnienie funkcji ABI i przyjmują związaną z tym odpowiedzialność.

Trudno wyobrazić sobie, aby na stanowisko głównego księgowego pracodawca zatrudnił osobę, która nie ma odpowiedniego wykształcenia, doświadczenia i wiedzy. Trudno też sobie wyobrazić, aby jakikolwiek pracownik przyjął na siebie obowiązki głównego księgowego nie mając wcześniej do czynienia z księgowością.

Jednak okazuje się z funkcją ABI jest inaczej i gdy szef wskazuje jakiegoś przypadkowego pracownika jako kandydata na ABI to pracownik ów taką ofertę przyjmuje, może i  nie do końca chętnie, ale się godzi. Czasami wręcz uważa, że może to być dla niego korzystne i wzmocni jego pozycję w firmie a czasami ne ma wyboru.

W aktualnym stanie prawnym nie ma obowiązku powołania ABI i nie należy tego czynić wybierając  przypadkową osobę do pełnienia tej funkcji. W szczególności z uwagi na nowe prawo ochrony danych osobowych, które już wkrótce wejdzie w życie a  które wymusi zmianę stosunku administratorów danych do obowiązków w zakresie ochrony danych osobowych.

ABI to przyszły Inspektor Danych Osobowych i w świetle nowego prawa ma stanowić fundament nowego, skutecznego systemu ochrony danych osobowych. Jednakże solidny fundament oznacza przede wszystkim odpowiednią wiedzę i doświadczenie.

Rozpoczęcie stosowania, od 25 maja 2018 r., przepisów ogólnego rozporządzenia o ochronie danych (RODO) oznacza, że obowiązki i odpowiedzialność administratorów danych za zgodne z prawem przetwarzanie danych osobowych znacznie się zwiększą.

Tym zaś, którzy nie będą respektowali nowych zasad ochrony danych, grozić będą wysokie kary finansowe. Stąd też sprostanie nowym wymogom, m.in. dzięki wsparciu kompetentnego inspektora ochrony danych, mającego zarówno bogatą wiedzę teoretyczną, jak i konkretne umiejętności praktyczne, nabiera coraz większego znaczenia.

Jednakże świadomośc powyższego jest jeszcze wśród przedsiębiorców bardzo słaba, stąd w dalszym ciągu przypadkowe powołania ABI, którzy nie są oraz nie będą w stanie zapewnić wymaganej przez przepisy RODO  zgodności przetwarzania danych.

Odpowiedzialność za niestosowanie lub nieprawidłowe stosowanie RODO i konsekwencje w postaci kar finansowych spocznie na administratorach danych a nie osobach sprawujących funkcje Inspektora Danych Osobowych.

W wytycznych Grupy Roboczej Art. 29 dotyczących DPO czytamy:

“Choć artykuł 37(5) nie wskazuje konkretnych kwalifikacji zawodowych, jakie należy brać pod uwagę wyznaczając DPO, to jednak istotne jest, by DPO posiadał odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość RODO

i dalej

Zalecana jest również wiedza biznesowa i sektorowa dotycząca administratora. DPO powinien również posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych”.

Jak widać powyżej wymagania wobec przyszłego DPO są duże w szczególności w zakresie znajomości przespisów o ochronie danych osobowych tak europejskich jak i krajowych. Tutaj wymagana jest dogłębna znajomości.

Zalecana jest również wiedza w zakresie przetwarzania danych w systemach informatycznych oraz stosowanych zabezpieczeń u administratora danych. Nie oznacza to w mojej ocenie, że DPO musi zdobyć szczegółową czy techniczną wiedzę dotyczącą  bezpieczeństwa systemów informatycznych czy znać treść norm regulujących te zagadnienia.

Ważne jest jednak, aby posiadł ogólną wiedzę teoretyczną oraz praktyczną dotyczącą przetwarzania danych w systemach informatycznych u administratora danych, potrafił dokonać kwalifikacji prawnej stosowanych sposobów przetwarzania danych w szczególności z zakresu nowych technologii.

Na koniec należy podkreślić, iż  w świetle RODO powołanie DPO także nie będzie obowiązkowe i nie należy tego czynić bez szczegółowej analizy  procesów przetwarzania danych osobowych u danego administratora ze szczególnym uwzględnieniem ryzyka tego przetwarzania dla praw i wolności osób fizycznych.

Inspektor Danych Osobowych ma konkretne przepisami określone zadania do wypełnienia. Nie jest i nie może być tylko figurantem pozorującym zgodność przetwarzania danych osobowych. Jego działania muszą być realne i skuteczne a administrator danych jest zobowiązany mu to umożliwić.

Powoływanie na stanowisko Inspektora Danych Osobowych osób niekompetentnych w świetle RODO będzie działaniem bardzo ryzykowanym, gdyż  nieprawidłowe wykonywanie zadań przez Inspektora to ryzyko kar finansowych dla administratora danych.

Wywiad środowiskowy a ochrona danych osobowych

Jako osoba zawodowo zajmująca się prawem ochrony danych osobowych mam wewnętrzną niechęć do ingerencji w prawa jednostek do prywatności. Nie mam oczywiście nic przeciwko temu, że same jednostki np. na FB odsłaniają swoją prywatność. Są wolnymi ludźmi i wolno im.

Dzisiaj chciałabym Wam przybliżyć taką instytucję jak wywiad środowiskowy. Dla prawnika specjalizującego się w prawie ochrony danych osobowych jest to nie lada orzech do zgryzienia.

Wywiad środowiskowy spotykamy w prawie karnym, cywilnym, ale także prawie administracyjnym. Instytucja ta w największym uproszeniu służyć ma inwigilacji osób wobec których została zarządzona.

Wywiad środowiskowy jest w procedurach swoistym środkiem dowodowym mającym dostarczyć określonych informacji dla organów prowadzących te postępowania i pomóc w wydaniu rozstrzygnięcia w sprawie.

Wywiad środowiskowy prowadzony w postępowaniach karnych ma na celu zebranie informacji o oskarżonym w jego środowisku. Przepisy nie precyzją definicji legalnej wywiadu środowiskowego. Mówią natomiast, że wywiad przeprowadza się w miejscu zamieszkania, pobytu, pracy oskarżonego. Informacje zbierane są od rodziny, sąsiadów, znajomych, współpracowników, osób lub instytucji.

W postępowaniu karnym tylko w określonych sytuacjach wywiad jest obligatoryjny, w postępowaniu wykonawczym jest fakultatywny i w każdym przypadku służy zbieraniu informacji o oskarżonym czy osadzonym. Wywiad może być również przeprowadzany w sprawach rodzinnych czy w celach związanych z realizacją pomocy społecznej również w celu zebrania informacji.

Wywiady najczęściej przeprowadzają kuratorzy sądowi, ale nie tylko. Czasami jest to też policja lub inne wyznaczone organy. Wywiad polega na tym, że najczęściej kurator chodzi po sąsiadach i wypytuje o osobę. Musi przy tym powiedzieć jaki organ zarządził wywiad i kogo on dotyczy, przedstawić swoją służbową legitymację. Jego pytania są uzależnione w zależności od tego, co ma ustalić i mogą obejmować ogólne informacje o osobie ale też o jej sytuacji majątkowej, źródłach dochodów, stanie zdrowia w tym nadużywania alkoholu.

Oczywistym jest, że kurator zbierając informacje do wywiadu zdradzić musi, że wobec określonej osoby sąd w związku z toczącym się przeciwko niej postępowaniem zarządził wywiad. Ujawnia więc informacje zaliczone przez ustawę o ochronie danych osobowych do informacji wrażliwych czyli tych, których przetwarzanie co do zasady jest zakazane. Ponadto zakres zbieranych danych najczęściej też zalicza się do danych wrażliwych, gdyż zbierane  są dane o stanie zdrowia, nadużywaniu alkoholu czy innych środków odurzających.

Podstawą do przetwarzania danych wrażliwych może być wyłącznie przepis prawa. Jednak zgodnie z ustawą i  orzecznictwem przepis musi wyraźnie uchlać zakaz przetwarzania danych wrażliwych, precyzować o jaki zakres danych chodzi, jakie są dozwolone sposoby tego przetwarzania. Przepisy regulujące wywiad nie zostały sprecyzowane zgodnie z tym zasadami, na co zwracał uwagę w swoich wystąpieniach do ministra sprawiedliwości GIODO.

Ktoś może powiedzieć, że istnieje nadrzędy interes publiczny w zarządzaniu wywiadów, w końcu chodzi o osoby mające sprawy karne, będące oskarżone o popełnienie przestępstwa. I wszystko się zgadza, jednak z poczynionych przeze mnie ustaleń ta instytucja jest przez sądy nadużywana. Sami kuratorzy dziwią się, gdy dostają nakaz przeprowadzania wywiadów w przypadku np. popełnienia przestępstwa w zakresie prawa budowlanego (samowolka budowlana) lub innych przestępstw  o niewielkiej szkodliwości społecznej.

Znane były praktyki sądów dotyczące zarządzania wywiadów środowiskowych w przypadku nieuiszczania zasądzanych wyrokami grzywien. Wywiady były masowo przeprowadzane na okoliczność ustalenia stanu majątkowego i informacji o dochodach zobowiązanego do uiszczenia grzywny. Minister Sprawiedliwości po przyjrzeniu się praktyce wyraźnie zakazał nadużywania tego środka.

Reasumując w mojej ocenie stosowanie przez sądy czy prokuratorów wywiadów środowiskowych w sytuacjach, w których nie mają takiego obowiązku, w szczególności w przypadku czynów o niskiej szkodliwości społecznej stanowi niepotrzebną ingerencję w prywatność osoby.

Należy pamiętać, że informacja wypuszczona w środowisko danej osoby o toczącym się przeciwko niej  postępowaniu w szczególności karnym  z reguły rodzi negatywne dla tej skutki w postaci na przykład ostracyzmu społecznego. Kuratorzy sami mają wyczucie takich sytuacji i starają się postępować tak, aby zaszkodzić jak najmniej. Przyznają, że ostatecznie tylko w poszukiwaniu informacji zjawiają się u pracodawcy, gdyż zdarza się, ze ludzie po takiej wizycie kuratora tracą prace a nie o to chyba chodzi.

Wywiady środowiskowe tak, ale tylko pod warunkami. Te warunki szczegółowo powinna regulować ustawa a na ten moment tego nie robi. Być może stąd taki wysp wywiadów.

Mam nadzieję, że reforma prawa unijnego w zakresie ochrony danych osobowych osób fizycznych również tych w stosunku do których prowadzone są postępowania doprowadzi do niezbędnych regulacji również w zakresie prowadzenia wywiadów środowiskowych.

Kończąc tylko dygresja  do spraw bieżących. Wobec osób, które będą podejrzewane o wydatkowanie pomocy uzyskanej w ramach 500+ niezgodnie z celem ustawy będzie możliwość zarządzenia przeprowadzenia wywiadów środowiskowych w celu ustalenia wydatkowania pomocy zgodnie z prawem.

Kurator sądowy przetwarza dane osobowe

Kurator sądowy czuwa, opiekuje się, kontroluje oraz nadzoruje. Ten, kto został oddany mu pod opiekę raczej musiał popaść w konflikt z prawem. Najogólniej rzecz ujmując zadania kuratorów polegają na wykonywaniu orzeczeń sądowych. Do zadań kuratorów sądowych w szczególności należy sprawowanie dozorów, nadzorów w sprawach nieletnich czy wywiadów środowiskowych oraz wiele innych związanych z tymi głównymi.

Z wykonywaniem tych danych wiąże się szeroko pojęte przetwarzanie danych osobowych osób, które zostały oddane kuratorowi pod nadzór czy dozór czy zbierane w toku wywiadów środowiskowych. Oczywistym jest, że dane te często są danymi wrażliwymi. Ustawa o ochronie danych osobowych definiuje dane wrażliwe i ustanawia dla ich przetwarzania dużo ostrzejsze rygory niż dla danych zwykłych.

Sytuacja kuratorów nie jest jednak, jeśli chodzi o tematykę ochrony danych osobowych ani łatwa ani klarowna. Z jednej strony mnogość obowiązków i zadań kuratorskich i potrzeba przetwarzania w związku z nimi danych wrażliwych a z drugiej brak wyraźnych upoważnień do przetwarzania tych danych zgodnie z ustawą o ochronie danych osobowych.

GIODO od lat sygnalizował problem w zakresie potrzeby doprecyzowania przepisów prawa tak, aby zapewnić odpowiednie podstawy prawne w zakresie przetwarzania przez kuratorów danych szczególnie tych wrażliwych w związku z wykonywaniem prawem przewidzianych zadań.

Niestety nowelizacji przepisów w dalszym ciągu nie ma, kuratorzy  muszą więc sobie radzić w dotychczasowym  stanie prawnym, co nie zawsze jest łatwe, bo mnożą się kolejne przepisy nakładające na nich nowe obowiązki np. w zakresie wymiany informacji w samorządach. Przepisy oczywiście również nie precyzują w jakim zakresie oraz trybie i jak taka wymiana miałby przebiegać.

Osobiście widzę nadzieję w pakiecie przepisów unijnych finalizowanych aktualnie w UE, których obowiązkowe wdrożenie zmusi do uporządkowania zasygnalizowanych powyżej problemów.

 

Dane osobowe w zamówieniach publicznych c.d.

W ostatnim wpisie pisałam, że umowy w sprawach z zamówień publicznych są jawne i podlegają udostępnieniu na zasadach określonych w przepisach o dostępie do informacji publicznej.

Gwoli przypomnienia informacją publiczną jest “wszelka informacja o sprawach publicznych”, w tym informacja o treści dokumentów urzędowych oraz o majątku publicznym, w tym treść umów zawieranych na zasadach określonych przepisami o zamówieniach publicznych.

Powstaje wobec tego pytanie czy możemy poznać dane personalne kontrahentów wybranych w trybie zamówień publicznych do wykonania określonych usług lub dostarczenia określonych towarów na potrzeby określonego organu administracji publicznej (w tym np. jednostki samorządu terytorialnego).

Do pewnego momentu linia orzecznicza co do powyższego nie była zgodna. Miało to miejsce z uwagi na ograniczenie zawarte w ustawie o dostępie do informacji publicznej sprowadzające się do wyłączenia jawności, jeśli to ujawnienie naruszało prawo do prywatności osób, których to ujawnienie dotyczy.

Bazując na ochronie prywatności nie ujawniono danych osobowych osób, z którymi organy administracji zawierały umowy. Ograniczano się do ujawniania treści umów a dane personalne poddawano anonimizacji.

Problem dotarł do Sądu Najwyższego, który stwierdził, iż ujawnienie imion i nazwisk osób zawierających umowy cywilnoprawne z jednostką samorządu terytorialnego nie narusza prawa do prywatności tych osób.

W podobnym duchu rozstrzygnął NSA stwierdzając w dość świeżym orzeczeniu, że dane o kontrahentach jednostki samorządu terytorialnego, takie jak ich imiona i nazwiska, podlegają udostępnieniu w trybie informacji publicznej  i nie podlegają wyłączeniu z uwagi na prywatność tych osób.

 

Rejestracja ABI – okres przejściowy

Nowelizacja ustawy o ochronie danych osobowych wprowadzająca zmiany w zakresie funkcjonowania ABI wchodzi w życie 1 stycznia 2015 r. Przewiduje ona jednak okres przejściowy dla ABI wyznaczonych na dotychczasowych zasadach, w brzmieniu przepisów przed nowelizacją. Jednak trzeba powiedzieć wprost jest to najmniej klarowna część całej nowelizacji.

 Interpretacja przepisu przejściowego sprowadza się jednak do tego, że do ABI wyznaczonych na dotychczasowych zasadach powinno stosować się nową regulację, do czasu zgłoszenia do rejestru, nie dłużej jednak niż do 30 czerwca 2015 r.

 I tutaj zaczynają się schody, bo część obowiązków wynikająca z nowelizacji wprost przypisana jest do ABI zgłoszonego np. prowadzenie uproszczonej kontroli dla GIODO, ale inne już wprost się do tego kryterium nie odwołują, jak na przykład prowadzenie wewnętrznego rejestru.

 Na forum ADO/ABI Generalny Inspektor powiedział, że nie będzie prosił niezgłoszonych ABI o przeprowadzenie kontroli, ale zapytany o obowiązek prowadzenia wewnętrznego rejestru zbiorów danych odpowiedział retorycznie, że chyba takie rejestry to i tak są już dzisiaj przez ABI prowadzone.

 Przepis przejściowy sformułowany jest niefortunnie. Interpretowanie, że dotychczasowy ABI w okresie przejściowym, przed zgłoszeniem go do rejestru, część obowiązków ma wypełniać a części nie, jest w mojej opinii nieuzasadniona. Wybieranie, które obowiązki wobec tego dotyczą ABI niezgłoszonego w okresie przejściowym a które nie, według kryterium rejestracji jest próbą wyjścia z niejasnej sytuacji. Objęcie nową regulacją dotychczasowych ABI, niezgłoszonych w okresie przejściowym wymagało bardziej precyzyjnego uregulowania. Wspomniany przepis przejściowy na pewno nie spełnia tego warunku.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie postanowiłam stworzyć poradnik, który w sposób kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik skierowany jest przede wszystkim do przedsiębiorców rozważających wpływ nowych przepisów na dotychczasową praktykę w swojej organizacji, rozważających “za” i “przeciw” powołania ABI, również do  praktyków tj. samych ABI czy prawników zajmujących się tematyką ochrony danych osobowych zawodowo.

Poradnik jest dostępny nieodpłatnie, po zapisaniu się na listę subskrybentów bloga i złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji.

Administrator danych osobowych – Spółka prawa handlowego

 W kwestii ochrony danych osobowych przedsiębiorcy często mają problemy na poziomie bardzo ogólnych pojęć i kwalifikacji czy regulacje dotyczący ochrony danych osobowych dotyczą ich czy może jeszcze nie.

 Jednym z podstawowych a jednocześnie kluczowych pojęć z zakresu ochrony danych osobowych jest oczywiście administrator danych osobowych.

 W procesie przetwarzania danych osobowych bardzo ważną kwestią jest określenie, jaką rolę podmiot pełni czy administratora czy może przetwarzającego dane na zlecenie osoby trzeciej.

 Czy jestem administratorem zastanawia się przedsiębiorca będący osobą fizyczną, czy jestem administratorem zastanawia się spółka prawa handlowego.

 Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, sam przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze.

W przypadku osoby prowadzącej działalność gospodarczą pozostaje ona administratorem danych niezależnie od tego, czy wyznaczy pracownika odpowiedzialnego za przetwarzanie danych osobowych (tzw. administratora bezpieczeństwa informacji).

 Administrator danych osobowych to bardzo istotna rola w procesie przetwarzania danych ze względu na przymiot decydowania o danych ale także na szereg obowiązków do wypełnienia których zobowiązują administratora przepisy prawa.

 Nie w każdym jednak przypadku określenie swojej roli w stosunku do przetwarzanych danych osobowych jest jasne i oczywiste. Nie rzadko w obrocie gospodarczym można spotkać sytuacje, gdy pojęcia i role ulegają pomieszaniu. Nie obywa się w takich przypadkach bez konsekwencji prawnych.

 Na koniec należy wyraźnie zaznaczyć, iż wskazówką dla rozróżnienia ról w procesie przetwarzania danych jest między innymi to czy podmiot przetwarza dane dla osiągnięcia własnych celów i korzyści czy też dla korzyści i celów osoby trzeciej.