Rodo

RODO – wybrane informacje ogólne
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27
kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie
danych) obowiązuje w Polsce od dnia 25 maja 2018 roku.
Rozporządzenie to ma zastosowania również do przetwarzania danych
osobowych przez sądy administracyjne, z tym zastrzeżeniem, iż w zakresie, w
którym sądy te sprawują wymiar sprawiedliwości, niektóre regulacje RODO
zostały wyłączone, zaś w ich miejsce obowiązują procedury wynikające z
ustawy – Prawo o postępowaniu przed sądami administracyjnymi (analogicznie
jak w odniesieniu do sądów powszechnych zasady przetwarzania danych
osobowych określają przepisy ustaw szczególnych, np. Kodeks postępowania
cywilnego). W pozostałych obszarach działania sądów administracyjnych
przepisy RODO obowiązują w pełnym zakresie.
Przepisy europejskiego rozporządzenia o ochronie danych osobowych nakładają
szereg nowych wymagań oraz obowiązków na administratorów danych
osobowych, a w szczególności:
• nowe podejście do ochrony danych osobowych – RODO nie określa
niezbędnych warunków organizacyjnych i technicznych służących
przetwarzaniu danych osobowych (jest technologicznie neutralne).
Administratorzy danych zyskali więc swobodę w określaniu tych
warunków, jednakże przy uwzględnieniu konieczności zapewnienia
adekwatnego poziomu zabezpieczeń – nie przestała bowiem obowiązywać
potrzeba zgodnego z przepisami przetwarzania danych osobowych i ich
skutecznego zabezpieczania przed przypadkowym lub niezgodnym z
prawem utraceniem, zniszczeniem, modyfikacją, nieuprawnionym
dostępem, przetwarzaniem lub ujawnieniem;
• w nowym ujęciu ochrona danych osobowych oparta jest o analizę ryzyka
uwzględniającą charakter, zakres, kontekst i cele przetwarzania oraz
związane z tym przetwarzaniem ryzyko naruszenia praw i wolności osób
fizycznych. Na tej podstawie każdy administrator rozpoczynając lub
kontynuując przetwarzanie, samodzielnie decyduje o rodzaju i zakresie
wdrażanych procedur i technicznych rozwiązań obiegu informacji oraz o
rodzaju wybranych zabezpieczeń. Przyjęta konstrukcja prawna
gwarantuje zawsze aktualne dopasowanie stosowanych zabezpieczeń
danych osobowych do bieżącego rozwoju technologii oraz dopasowanie
do odrębnej specyfiki przetwarzania danych np. w różnych obszarach
działalności gospodarczej;
• zgodnie z RODO, każda czynność związana z przetwarzaniem danych
osobowych z założenia ma być dla tych danych bezpieczna. Począwszy
od planowania nowych usług lub działań, a także w trakcie ich realizacji –
konieczna jest dbałość o przestrzeganie zasad wynikających z nowych
przepisów prawa (takie podejście nazywane jest privacy by design);
• jeżeli w procesie przetwarzania danych osobowych są wykorzystywane
narzędzia teleinformatyczne to ich podstawowe (domyślne) ustawienia
muszą być z założenia ustawieniami zapewniającymi bezpieczeństwo
przetwarzanych informacji. Realizuje się to nie tylko poprzez
wprowadzanie skomplikowanych haseł i szyfrowanie danych, ale także
poprzez konfigurację urządzeń i programów tak, aby możliwe było
przetwarzanie przy ich użyciu tylko niezbędnego i zgodnego z celem
zakresu danych (taki sposób korzystania z narzędzi IT jest spełnieniem
zasady privacy by default);
• podejście oparte na ryzyku stanowi uzasadnienie dla zaprojektowanych i
wprowadzanych w życie środków organizacyjnych i technicznych
zapewniających zgodność z RODO. Udokumentowanie tego procesu
spełnia zasadę rozliczalności zawartą w nowych przepisach. Zasada ta
wymaga, aby każdy administrator danych mógł udowodnić, że spełnia
wymagania RODO;
• kolejną grupą zmian w RODO jest obszerny katalog uprawnień dla osób
wobec swoich danych osobowych. Poza dotychczas obowiązującymi
uprawnieniami, od wejścia w życie RODO osoby fizyczne mają prawo do
przenoszenia swoich danych. W przypadku przetwarzania danych w
sposób zautomatyzowany na podstawie umowy lub zgody, ich właściciel
ma prawo do otrzymania tych danych w ustrukturyzowanym formacie
nadającym się do odczytu maszynowego. Może także zażądać
przekazania tych danych innemu administratorowi;
• nowym uprawnieniem jest także tzw. prawo do bycia zapomnianym
(faktycznie: prawo do usunięcia danych). Właściciele danych w
określonych przypadkach mogą zażądać od administratora niezwłocznego
usunięcia swoich danych osobowych. Prawo to ma zastosowanie, gdy
właściciel cofnie zgodę na przetwarzanie danych lub znajdzie się
szczególnej sytuacji uzasadniającej skorzystanie z tego uprawnienia.
Innym uzasadnieniem do skorzystania z prawa do bycia zapomnianym
mogą być sytuacje, gdy przetwarzanie będzie niezgodne z prawem lub cel
przetwarzania danych zostanie osiągnięty;
• modyfikacji uległa forma prawna wyrażenia zgody na przetwarzanie
danych osobowych. Od wejścia w życie RODO taką zgodę stanowi
dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie
oświadczenia woli lub działania przyzwalającego do przetwarzania
danych;
• zmiany wynikające z wejścia w życie RODO dotknęły także sfery samej
dokumentacji przetwarzania danych osobowych w organizacji. Ich
skutkiem jest koniec obowiązku prowadzenia polityki bezpieczeństwa
informacji i instrukcji zarządzania systemem informatycznym, a także
związanych z nimi rejestrów i ewidencji. Oczywiście nie oznacza to, że
organizacje nie będą prowadziły żadnych dokumentacji związanych z
ochroną danych osobowych. Wymaga tego chociażby konieczność
spełnienia wspomnianej już zasady rozliczalności, czy choćby zasada tzw.
dobrych praktyk, na mocy której dotychczas obowiązująca,
niejednokrotnie kompletna dokumentacja przetwarzania danych
osobowych w organizacji może stanowić fundament nowej sprawnej,
efektywnej ochrony danych w zakresie wymagań RODO;
• dokumenty związane z analizą ryzyka, oceną skutków przetwarzania i jej
bieżącą oceną, a także wprost wymienione w RODO dokumentacje
naruszeń bezpieczeństwa stanowią podstawę do uzasadnienia przyjętych
na potrzeby ochrony danych osobowych rozwiązań organizacyjnych i
technicznych;
• rozporządzenie (RODO) nakłada na większość administratorów
obowiązek prowadzenia rejestru czynności przetwarzania danych
osobowych. Zakres zawartych w nim informacji jest zbliżony do zakresu
prowadzonego rejestru zbiorów danych osobowych. Rejestr czynności
zawiera: dane o administratorze i współadministratorach, celu
przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii
danych osobowych, kategorii odbiorców, którym dane były lub będą
ujawniane, informacji o przekazywaniu danych do państwa trzeciego, a
także – jeżeli to możliwe – opis technicznych i organizacyjnych środków
bezpieczeństwa oraz wskazanie, jeśli to możliwe, planowanego terminu
zakończenia przetwarzania;
• kolejnym obowiązkiem wszystkich administratorów jest konieczność
informowania organu nadzorczego o naruszeniach ochrony danych.
Oznacza to, że zawsze gdy w organizacji dojdzie do naruszenia
bezpieczeństwa będącego przypadkowym lub niezgodnym z prawem:
utraceniem, ujawnieniem, zniszczeniem, dostępem lub zmodyfikowaniem
danych będzie trzeba o tym fakcie poinformować organ nadzorczy.
Natomiast w przypadku, gdy incydent będzie zagrażał prawom i
wolnościom właścicieli danych, konieczne będzie także poinformowanie
ich o możliwych zagrożeniach związanych z danym incydentem;
• rozszerzone zostały także zasady powierzania danych osobowych.
Czynności tej można dokonać na podstawie umowy powierzenia danych
lub innego instrumentu prawnego. Nałożono także obowiązek na
administratora danych osobowych, aby powierzał przetwarzanie danych
jedynie takim podmiotom, które zapewniają spełnienie wszystkich
wymagań RODO.
RODO w Sądach Administracyjnych
Przetwarzanie danych osobowych przez sądy administracyjne dotyczy dwóch
obszarów działalności, tj. sprawowania wymiaru sprawiedliwości oraz obszaru
działalności pozaorzeczniczej. W obu tych obszarach sądy dokładają najwyższej
staranności w celu chronienia przetwarzanych danych osobowych, niezależnie
od podstaw prawnych i zakresu przetwarzania – należy bowiem zwrócić uwagę
na odmienności podstaw i zasad przetwarzania danych w tych obszarach:
Przetwarzanie danych osobowych w obszarze działalności orzeczniczej
sądów administracyjnych:
• w sądach administracyjnych, w ramach sprawowania przez nie wymiaru
sprawiedliwości, przetwarzanie danych osobowych ma miejsce zarówno
w sposób tradycyjny (biurowość sądowa), jak i w wykorzystywanych do
tego systemach informatycznych (np. system Obsługi Spraw Orzekanych,
system Centralnej Bazy Orzeczeń i Informacji o Sprawach).
Administratorami danych przetwarzanych w tym zakresie są
poszczególne wojewódzkie sądy administracyjne oraz Naczelny Sąd
Administracyjny;
• przetwarzanie danych osobowych w postępowaniu
sądowoadministracyjnym, w zakresie, w którym postanowienia RODO
nie mają zastosowania, określają przepisy ustawy z dnia 30 sierpnia 2002
r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2017
r. poz. 1369 z późn. zm.). Ustawa ta w sposób precyzyjny określa
procedury oraz cele przetwarzania danych osobowych przez sądy
administracyjne, określając przy tym zasady dostępu do akt spraw i
poszczególnych rejestrów oraz zasady dokonywania zmian w treści akt
(sprostowania danych). Ponieważ przetwarzanie to odbywa się w celu
realizacji obowiązków prawnych, dostęp do danych może mieć miejsce
wyłącznie na zasadach określonych przywołaną ustawą, zaś usuwanie
danych z akt jest niedopuszczalne (przepisy określają terminy
przechowywania akt sądowych i urządzeń ewidencyjnych). Dostęp do
wymienionych powyżej systemów informatycznych mają zaś wyłącznie
upoważnione osoby;
• w projektowanych przepisach prawa krajowego, wprowadzających
postanowienia RODO przewiduje się wyłączenia stosowania niektórych
regulacji RODO w odniesieniu do przetwarzania danych osobowych na
potrzeby sprawowanego przez sądy administracyjne wymiaru
sprawiedliwości. Wyłączenia te dotyczą: obowiązków informacyjnych
nałożonych na administratora danych osobowych w związku ze
zbieraniem danych, prawa dostępu przysługującego osobie, której dane
dotyczą, prawa do sprostowania danych, prawa do ograniczenia
przetwarzania danych, obowiązku powiadomienia o sprostowaniu lub
usunięciu danych osobowych lub o ograniczeniu przetwarzania, prawa do
przenoszenia danych oraz prawa do sprzeciwu wobec przetwarzania
danych;
• wyłączenia te są zgodne z art. 23 ust 1 (lit. f oraz lit. i) RODO, zgodnie z
którym prawo Unii lub prawo państwa członkowskiego, któremu
podlegają administrator danych lub podmiot przetwarzający, może aktem
prawnym ograniczyć zakres obowiązków i praw przewidzianych w art.
12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają
prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie
takie nie narusza istoty podstawowych praw i wolności oraz jest w
demokratycznym społeczeństwie środkiem niezbędnym i
proporcjonalnym, służącym m.in. ochronie niezależności sądów i
postępowania sądowego, a także ochronie osoby, której dane dotyczą oraz
ochronie praw i wolności innych osób;
• nie oznacza to oczywiście, że przetwarzanie danych osobowych w tym
zakresie odbywa się w sposób dowolny – obowiązki w tym zakresie
wynikają z przywołanej powyżej ustawy – Prawo o postępowaniu przed
sądami administracyjnymi;
• należy również zauważyć, iż postępowań sądowych nie dotyczy
wynikający z RODO zakaz przetwarzania danych osobowych
ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne,
przekonania religijne lub światopoglądowe, przynależność do związków
zawodowych oraz przetwarzanie danych genetycznych, danych
biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej
oraz danych dotyczących zdrowia, seksualności i orientacji seksualnej
tych osób (art. 9 ust. 2 lit. f RODO);
• przetwarzanie danych osobowych przez sądy administracyjne w ramach
sprawowania przez nie wymiaru sprawiedliwości nie podlega nadzorowi
sprawowanemu przez Urząd Ochrony Danych Osobowych (art. 55 ust. 3
RODO). Nadzór ten zostanie powierzony na podstawie przepisów prawa
krajowego wyznaczonym organom wymiaru sprawiedliwości (motyw 20
RODO).
Przetwarzanie danych osobowych w obszarze działalności pozaorzeczniczej
sądów administracyjnych:
Przetwarzanie danych osobowych w zakresie nie związanym z działalnością
orzeczniczą Naczelnego Sądu Administracyjnego podlega w pełnym zakresie
pod regulacje RODO, co oznacza w szczególności, iż:
• dane osobowe wykorzystywane są wyłącznie do celów, dla jakich były, są
lub będą zbierane i przetwarzane, z tym że dalsze przetwarzanie do celów
archiwalnych w interesie publicznym, do celów badań naukowych lub
historycznych lub do celów statystycznych nie jest uznawane za
niezgodne z pierwotnymi celami;
• w przypadku konieczności udostępnienia dokumentów i danych, wśród
których znajdują się dane osobowe niemające bezpośredniego związku
z celem udostępnienia, dane te podlegają anonimizacji;
• osoby, od których dane osobowe są pozyskiwane, informowane są o:
1. danych Administratora i adresie siedziby Sądu, pod którym dane są
zbierane i przetwarzane, a także dane kontaktowe swojego
przedstawiciela;
2. danych kontaktowych Inspektora Ochrony Danych;
3. celu przetwarzania danych oraz podstawie prawnej przetwarzania;
4. prawnie uzasadnionych interesach realizowanych przez Administratora
lub przez stronę trzecią – w przypadku przetwarzania danych osobowych
na podstawie art. 6 ust. 1 lit f) RODO;
5. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli
istnieją;
6. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to
możliwe, kryteria ustalenia tego okresu;
7. przysługujących im prawach, w tym o:
a. prawie do żądania od Administratora dostępu do dotyczących ich danych
osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania,
prawie do wniesienia sprzeciwu wobec przetwarzania, a także prawie do
przenoszenia danych;
b. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9
ust. 2 lit. a) RODO – prawie do wycofania zgody w dowolnym momencie
bez wpływu na zgodność z prawem przetwarzania, którego dokonano na
podstawie zgody przed jej cofnięciem;
c. ewentualnym zautomatyzowanym podejmowaniu decyzji, w tym o
profilowaniu, o którym mowa w art. 22 RODO;
d. prawie wniesienia skargi do organu nadzorczego.
• w przypadku zbierania danych osobowych nie bezpośrednio od osoby,
której one dotyczą, osoby te są dodatkowo informowane o kategoriach
odnośnych danych osobowych oraz źródle pochodzenia tych danych, a
gdy ma to zastosowanie – o pochodzeniu przedmiotowych danych ze
źródeł powszechnie dostępnych;
• w przypadku, gdy podstawę przetwarzania danych osobowych stanowi
zgoda osoby, której dane dotyczą, od osoby tej pozyskiwane jest
oświadczenie o wyrażeniu zgody na przetwarzanie dotyczących ją danych
osobowych. Osoba ta ma prawo w dowolnym momencie wycofać
wyrażoną zgodę;
• dane osobowe udostępnianie są wyłącznie osobom lub podmiotom
uprawnionym do ich otrzymania na mocy przepisów prawa;
• osoba, której dane dotyczą może wystąpić z żądaniem:
1. sprostowania danych, o którym mowa w art. 16 RODO, poprzez
poprawienie nieprawidłowych danych, uzupełnienie niekompletnych
danych lub uzupełnienie o nowe dane;
2. usunięcia danych, w przypadku zajścia okoliczności wskazanych w art. 17
ust. 1 RODO;
3. ograniczenia przetwarzania danych, w przypadku zajścia okoliczności
wskazanych w art. 18 ust. 1 RODO;
4. przesłania danych osobowych do innego administratora, w przypadkach
określonych w art. 20 RODO;
• osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść
sprzeciw –
z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania
dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f)
RODO.
• o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu
przetwarzania, które dokonane zostały zgodnie z art. 16, art. 17 ust.1 i art.
18 RODO, informowany jest każdy odbiorca, któremu ujawniono dane
osobowe, chyba że okaże się to niemożliwe lub będzie wymagać
niewspółmiernie dużego wysiłku. Osoba, której dane dotyczą – jeżeli tego
zażąda – informowana jest o tych odbiorcach.