Dołącz do czytelników
Brak wyników

Prawo pod lupą

29 października 2018

NR 58 (Październik 2018)

RODO w OPS – wybrane zagadnienia z zakresu wdrażania przepisów

0 213

Upłynęło kilka miesięcy od wejścia w życie punijnych przepisów dotyczących przetwarzania danych osobowych. Jednak w niektórych obszarach w dalszym ciągu istnieje szereg wątpliwości, które usuwać będą interpretacje Prezesa UODO.

Pod „patronatem” Ministerstwa Cyfryzacji powołana została Grupa ds. Ochrony Danych Osobowych, która ma stanowić forum wymiany doświadczeń w zakresie wdrożenia RODO i zagadnień związanych z ochroną prywatności i (jak informuje dr Maciej Kawecki – Dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji) w jej ramach opracowany został już na początku sierpnia br. poradnik dotyczący stosowania RODO w ochronie zdrowia. Może w niedalekiej przyszłości doczekamy się podobnego poradnika dedykowanemu instytucjom pomocy społecznej. Jednak na razie o inicjatywie takiej nie słychać.

RODO przewiduje wzmocnioną ochronę dla tzw. szczególnych kategorii danych osobowych (na gruncie wcześniej obowiązującego prawa krajowego określanych mianem „danych wrażliwych”). Zgodnie z art. 9 ust. 1 RODO, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Tymczasem, zdani wyłącznie na własną logikę i wymianę doświadczeń, musimy tworzyć procedury, które zagwarantują właściwe, prawidłowe, zgodne z prawem przetwarzanie danych osobowych naszych klientów i pracowników.

Zasady ogólne przetwarzania danych osobowych

Przepisy RODO zdefiniowały zasady ogólne przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zasady zgodności z prawem, rzetelności i przejrzystości);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89  ust. 1 za niezgodne z pierwotnymi celami (zasada ograniczenia celu przetwarzania);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne, do celów, w których są przetwarzane (zasada minimalizacji danych);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (zasada prawidłowości);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (zasada ograniczenia przechowywania);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).

Natomiast zgodnie z art. 5 ust. 2 RODO, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności).

Zasada zgodności z prawem (legalizmu) – oznacza, że, co do zasady, przetwarzanie danych osobowych jest legalne jedynie wówczas, gdy zachodzą określone przepisami prawa przesłanki do ich przetwarzania (albo zgoda osoby, której dane dotyczą albo jedna z pozostałych przesłanek wskazanych w art. 6, art. 9, art. 10 RODO).

Zasada rzetelności – rzetelność przetwarzania danych osobowych przede wszystkim wprowadza wymóg dla administratorów danych brania pod uwagę interesów i uzasadnionych oczekiwań osoby, której dane dotyczą (np. prawo do bycia zapomnianym), zachowania proporcjonalności ingerencji w prywatność spowodowanej przetwarzaniem danych, a także zapewnienia, że dane nie będą przetwarzane w innych celach11.

Zasada przejrzystości – związana jest przede wszystkim z wypełnieniem obowiązków informacyjnych wobec osoby, której dane są przetwarzane, w szczególności w zakresie oznaczenia administratora danych, faktu przetwarzania danych, zakresu i celu ich przetwarzania, uprawnień osoby, której dane dotyczą, w procesie przetwarzania danych (art. 13–22 RODO), przy czym należy zadbać m.in. o to, aby informacje były łatwo dostępne, zrozumiałe i sformułowane jasnym i prostym językiem, a cele przetwarzania były wyraźne, uzasadnione i określone w momencie ich zbierania.

Zasada ograniczenia celu przetwarzania – oznacza, że cel, w jakim przetwarzane są dane osobowe musi być konkretny, realnie istniejący, precyzyjnie określony, prawnie uzasadniony; nie można dalej przetwarzać danych w sposób wychodzący poza pierwotnie określony cel, co oznacza związanie administratora danych celem przetwarzania.

Zasada minimalizacji danych – oznacza, że dane osobowe powinny być przetwarzane jedynie wtedy, gdy celu przetwarzania nie można osiągnąć innymi sposobami; jeżeli przetwarzanie danych może zostać zastąpione (bez uszczerbku dla osiągnięcia celu) przez przetwarzanie innego rodzaju informacji, oznacza to zakaz przetwarzania danych osobowych; oznacza to również, że dane muszą być odpowiednie i stosowne do osiągnięcia celu ich zebrania, ale nie mogą być nadmierne2.

Zasada prawidłowości danych – stanowi, że do obowiązków administratora danych należy, by przetwarzane dane były prawidłowe (prawdziwe, merytorycznie poprawne) i w miarę potrzeby uaktualniane; administrator ma obowiązek podejmowania działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. 

Zasada ograniczenia przechowywania danych – oznacza, że obowiązkiem administratora danych jest dbałość o to, by dane nie były przetwarzane przez okres dłuższy niż jest to niezbędne do celów przetwarzania; w praktyce oznacza to ścisłe przestrzeganie obowiązujących w jednostkach instrukcji archiwizowania i usuwania dokumentacji zawierającej dane osobowe (zgodnie z kategorią archiwalną zawartą choćby w JRWA).

Zasada integralności i poufności (bezpieczeństwa danych) – oznacza obowiązek przetwarzania w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych; zapewnieniu stosowania tej zasady służy nałożony na administratora czy podmiot przetwarzający obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić taki stopień bezpieczeństwa danych, by zapobiegać ryzyku nieuprawnionego czy niezgodnego z prawem przetwarzania danych, przy czym oszacowanie ryzyka należy równie do obowiązków administratora czy podmiotu przetwarzającego.

Zasada rozliczalności – nakłada na administratora odpowiedzialność za przestrzeganie wszystkich zasad wskazanych w art. 5 ust. 1 RODO; oznacza ona – w opinii 3/2010 Grupy Roboczej art. 293 – obowiązek wdrożenia środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania oraz sporządzenie dokumentacji, która wskazuje osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych; ponadto zgodnie z art. 24 ust. 1 RODO, administrator ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. 

Zgodność z prawem przetwarzania danych

Skoro zasadą jest, że danych osobowych nie przetwarzamy, a ich przetwarzanie możliwe jest jedynie w ściśle wskazanych okolicznościach, należało te okoliczności wskazać. I tak, zgodnie z art. 6 ust. 1 RODO, przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:

a. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Z powyższego wynika, że najczęściej przetwarzanie danych osobowych w OPS-ach odbywa się na podstawie przepisów art. 6 ust. 1 lit. c) i e) RODO. A skoro tak, to należy pamiętać, że zgodnie z art. 6 ust. 3 RODO, podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona w prawie Unii Europejskiej lub w prawie państwa członkowskiego, któremu podlega administrator. Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. 

Wyznaczając IOD, należy pamiętać, aby nie istniał tzw. konflikt interesów pomiędzy wykonywaniem przez niego obowiązków inspektora a ewentualnym zajmowanym innym stanowiskiem. Zgodnie bowiem z art. 38 ust. 6 RODO, ust. 3 RODO, inspektor ochrony danych może wykonywać inne zadania i obowiązki, natomiast administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Dodatkowo, po myśli art. 38 ust. 3 RODO, administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Istnienie takiej podstawy prawnej przetwarzania danych zapewnia choćby art. 105 ustawy o pomocy społecznej czy art. 29 ustawy o świadczeniach rodzinnych.
RODO przewiduje wzmocnioną ochronę dla tzw. szczególnych kategorii danych osobowych (na gruncie wcześniej obowiązującego prawa krajowego określanych mianem „danych wrażliwych”). Zgodnie z art. 9 ust. 1 RODO, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Zakaz ten jednak nie jest bezwzględny, albowiem w ust. 2 tego artykułu wymieniono przypadki, kiedy przetwarzanie takich danych jest dopuszczalne. Oczywiście jest to możliwe w razie, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach (chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania szczególnych kategorii danych). Natomiast na uwagę – w kontekście dopuszczania przetwarzania tych danych przez OPS-y czy PCPR-y – zasługuje okoliczność wskazana w art. 9 ust. 2 lit. b) RODO, zgodnie z którą przetwarzanie tych szczególnych kategorii danych jest możliwe jeżeli jest ono niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. W przypadku jednostek organizacyjnych pomocy społecznej przetwarzanie szczególnej kategorii danych dotyczyć będzie głównie informacji o stanie zdrowia oraz (ewentualnie) przynależności rasowej czy etnicznej, niezbędnych dla udzielenia świadczeń pomocy społecznej, czy innych świadczeń związanych z niepełnosprawnością.

Dopuszczalność przetwarzania szczególnych kategorii danych w uzasadnionych przypadkach jest zgodna z ideą wyrażoną w motywie 52 preambuły RODO, według której należy również zezwolić na wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych – o ile przewiduje to prawo Unii Europejskiej lub prawo państwa członkowskiego i podlega to odpowiednim zabezpieczeniom chroniącym dane osobowe i inne prawa podstawowe – jeżeli uzasadnia to interes publiczny, w szczególności polegający na przetwarzaniu danych osobowych w dziedzinie prawa pracy, prawa zabezpieczenia społecznego, w tym emerytur, oraz do celów bezpieczeństwa, monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowotnym. Taki wyjątek może być przewidziany ze względu na cele zdrowotne, w tym związane ze zdrowiem publicznym oraz zarządzaniem usługami opieki zdrowotnej, w szczególności zapewnianiem jakości i ekonomiczności procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych, lub ze względu na cele archiwalne w interesie publicznym, cele badań naukowych lub historycznych lub cele statystyczne. Należy także przewidzieć wyjątek pozwalający przetwarzać takie dane osobowe, jeżeli jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń w postępowaniu sądowym, administracyjnym lub też innym postępowaniu pozasądowym.

Obowiązek wyznaczenia IOD

Obowiązek powołania inspektora ochrony danych (dalej IOD lub DPO) przewiduje art. 37 RODO, zgodnie z którym administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: 

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; 
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub 
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. 

Zgodnie z art. 4 pkt. 7 RODO, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań czasopisma "Doradca w Pomocy Społecznej"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • pełen dostęp do archiwalnych numerów czasopisma w wersji elektronicznej
  • ...i wiele więcej!
Sprawdź

Przypisy