Publicystyka - ngo.pl

zobacz koniecznie w PORADNIK.NGO.PL:
RODO w organizacji pozarządowej w 10 krokach

Wchodząca w życie 25 maja 2018 roku reforma ochrony danych osobowych wprowadza całkowicie nowe rozwiązania w tej dziedzinie. Powszechnie określa się ją jako rewolucję. Dotknie ona również organizacje pozarządowe, ponieważ co do zasady, będą one podlegały jej przepisom w całości. W artykule zostały omówione najważniejsze założenia reformy oraz pojęcia danych osobowych i podmiotów zobowiązanych do stosowania przepisów.

Jedną z ważniejszych cech reformy jest całkowita zmiana założeń dotyczących tego, jak powinna wyglądać ochrona danych osobowych. Dotychczas wystarczało, że administrator wypełniał obowiązki wskazane w przepisach prawa. Od wejścia w życie reformy administrator będzie zobowiązany stosować zasadę risk based approach. To znaczy, że będzie musiał samodzielnie oceniać, jakie są ryzyka związane z przetwarzanymi danymi osobowymi i jakie w związku z tym należy przedsięwziąć środki.

Uchylone zostanie rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), na podstawie którego tworzono Politykę bezpieczeństwa i Instrukcje zarządzania systemem informatycznym. W większości organizacji pozarządowych te dokumenty były podstawą do określenia obowiązków w zakresie danych osobowych.

Nie znaczy to jednak, że z chwilą uchylenia rozporządzenia z dnia 29 kwietnia 2004 r. wszystkie Polityki i Instrukcje stracą moc. Jeżeli analiza ryzyka przeprowadzona w organizacji pozarządowej potwierdzi, że są one wystarczające, będzie można je również stosować po wejściu w życie RODO (czyli opisywanej tu reformy). Trzeba być jednak uważnym w tym zakresie, ponieważ to na organizacji pozarządowej (administratorze) będzie spoczywał obowiązek udowodnienia, że nie była konieczna zmiana dokumentów.

Podstawowym aktem prawnym wprowadzającym reformę jest:

1. Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 27 kwietnia 2016 r. tzw. ogólne rozporządzenie o ochronie danych (w skrócie RODO).
    
2. Będzie wydana również polska ustawa o ochronie danych osobowych. Obecnie projekt jest w konsultacjach publicznych (pisaliśmy o nim w informacji „Projekt nowej ustawy o ochronie danych osobowych. Co ważne dla organizacji pozarządowych?”).

Te dwa akty prawne są ze sobą w stosunku nadrzędności. Zgodnie z artykułem 91 ustęp 3 Konstytucji rozporządzenie unijne jest stosowane przed prawem wewnętrznym, o ile przepis taki znajduje się w ustawie lub akcie niższego rzędu. Zatem przepisy ustawowe tylko uzupełniają i w nielicznych przypadkach dozwolonych przez rozporządzenie zmieniają jego regulacje. Natomiast rozporządzenie wywołuje natychmiastowe skutki prawne od momentu wejścia w życie na poziomie Unii, jak i państw członkowskich.

Celem tego zabiegu było powstanie jednolitych zasad ochrony danych osobowych wszystkich osób przebywających na terenie Unii Europejskiej.

Ma to ogromne znaczenie praktyczne dla stosowania prawa. Dotychczas dla określenia swoich obowiązków wystarczyło posługiwanie się przepisami prawa polskiego. Od wejścia w życie RODO konieczna będzie znajomość przepisów unijnych, zasad ich wykładni oraz relacji do polskiego prawa. Konieczna będzie również większa znajomość orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej. Oczywiście sądy krajowe dalej będą orzekać w sprawach związanych z danymi osobowymi, ale w trakcie wykładni prawa zarówno sądy, jak i obywatele będą zobowiązani do stosowania wykładni zgodnej z celami prawa wspólnotowego.

RODO zawiera bardzo obszerną preambułę składającą się ze 173 motywów. W wersji papierowej mieści się ona na ponad 30 stronach. Formalnie preambuła nie ma charakteru wiążącego (por. Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-134/08 HauptzollamtBremen przeciwko J.E. Tyson Parketthandel GmbH). Jej zadanie polega na wskazaniu intencji prawodawcy w czasie wprowadzania konkretnego rozwiązania. Daje to wskazówki do interpretacji poszczególnych przepisów – pokazuje, jak należy je rozumieć. Na przykład motyw 43 mówi, że „zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych”. Dlatego zgoda taka powinna osobno dotyczyć samego wykonania umowy, a osobno na przykład przetwarzania dla celów marketingowych.

Z perspektywy preambuły do RODO warto zwrócić uwagę na dwa cele. W motywie 1 podkreślono, że prawo do ochrony danych należy do praw podstawowych Unii Europejskiej oraz praw człowieka. Na tej podstawie należy sądzić, że celem RODO jest ochrona praw jednostki, a interpretacja tego aktu powinna iść w kierunku jak najpełniejszej ich ochrony. Inaczej mówiąc, w przypadku wątpliwości należy wybierać rozwiązanie, które będzie chroniło dane osobowe.

Jednocześnie w motywie 2 wskazano, że celem rozporządzenia jest działanie na rzecz „tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi”. To znaczy, że co do zasady wolno wykorzystywać dane osobowe w obrocie gospodarczym, ale na zasadach wskazanych w przepisach.

Cel zawarty w motywie pierwszym i drugim nie pozostają ze sobą w sprzeczności. Mogą jednak wchodzić w konflikt. W tej sytuacji interpretacja przepisów będzie wymagała uwzględnienia obu wskazanych wartości w najszerszy możliwy sposób poprzez ich wyważenie. Należy jednak pamiętać, że uzasadnienie wyboru jest obowiązkiem administratora.

Definicja danych osobowych w RODO nie odbiega od dotychczas stosowanej. Zgodnie z nią dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Wprowadzono natomiast wytyczne w zakresie uznania, że dana osoba jest „możliwa do zidentyfikowania”.

Identyfikacja może mieć bezpośredni lub pośredni charakter, a jej podstawa jest dowolna. W RODO wskazuje się przykładowo, że za środek identyfikacji mogą posłużyć imię i nazwisko, numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy.

Jednocześnie nie rozstrzygnięto, w jaki sposób ocenia się, czy administrator jest w stanie zidentyfikować danego człowieka. Istnieją w tej kwestii dwa poglądy. Obiektywny, który mówi, że danymi osobowymi są te informacje, które pozwalają na identyfikację jednostki niezależnie od tego, czy administrator ma do nich dostęp, czy nie. Pogląd subiektywny wskazuje, że tylko wtedy dana informacja będzie daną osobową, jeżeli administrator sam ma możliwości stwierdzenia tożsamości osoby fizycznej. Na przykład numer PESEL lub numer prawa jazdy w wersji obiektywnej zawsze będzie daną osobową, ponieważ są rejestry, które pozwalają przypisać je do konkretnej osoby. Według koncepcji subiektywnej tylko wtedy będą to dane osobowe, jeżeli administrator przetwarza jeszcze inne informacje – na przykład imię i nazwisko.

W motywie 26 wskazuje się, że do oceny, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby jej identyfikacji. Dotyczy to również czasu, kosztów oraz dostępnej technologii, która ma służyć ustaleniu tożsamości. Jednak, jak wspomniano, preambuła (zawarte w niej motywy) nie jest bezpośrednio wiążąca.

Z rozstrzygnięciem tego sporu należy więc poczekać na oficjalne interpretacje i orzecznictwo sądowe. Na tę chwilę trzeba pamiętać, że regulacje RODO nie zawierają ograniczenia, znanego z polskiej ustawy, które wyłączało spod reżimu ochrony danych osobowych informacje, których wykorzystanie do określenia tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań.

Rozporządzenie wprowadza dwa podmioty odpowiedzialne za jego stosowanie.

Pierwszym jest administrator, którym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Zatem administratorem mogą być zarówno organizacje pozarządowe w rozumieniu ustawy o pożytku, jak również inne podmioty prowadzące działalność pożytku publicznego, w tym grupy nieformalne czy jednostki organizacyjne niemające osobowości prawnej (jak stowarzyszenia zwykłe). Forma prawna nie ma istotnego znaczenia. Jako wyróżnik administratora wskazuje się fakt wskazywania celów i sposobów przetwarzania danych. Należy pamiętać, że w przypadku osób prawnych administratorem będzie ta osoba, a nie członkowie organów działających w jej imieniu. Stąd administratorem jest fundacja lub stowarzyszenie, a nie prezes czy zarząd.

Drugim podmiotem odpowiedzialnym za stosowanie RODO jest podmiot przetwarzający. Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. W tym przypadku organizacja nie decyduje o celach i sposobach przetwarzania danych, tylko prowadzi operacje na nich w zakresie wskazanym przez administratora. Najczęściej podmiotem przetwarzającym stajemy się w wyniku podpisania stosownej umowy. Przykładowo może to mieć miejsce, kiedy organizacja jest podwykonawcą projektu lub współorganizuje jakąś akcję z zaprzyjaźnioną NGO.

Rozróżnienie między administratorem danych a podmiotem przetwarzającym jest kluczowe dla określenia odpowiedzialności prawnej. Zasadniczo odpowiada administrator, a podmiot przetwarzający odpowiada w zakresie umowy zawartej z administratorem, chyba że przepis szczególny stanowi inaczej.

Zakres terytorialny stosowania RODO jest określony w artykule 3. Wskazuje on dwie zasady.

Pierwsza to obowiązek stosowania przepisów dla wszystkich podmiotów mających siedzibę na terenie Unii Europejskiej. Dotyczy to również sytuacji, gdy przetwarzanie odbywa się poza jej terenem. Dlatego polska organizacja pozarządowa prowadząca projekt pomocowy w Afganistanie ma obowiązek stosować przepisy RODO.

Druga zasada dotyczy podmiotów mających siedzibę poza Unią Europejską. Muszą one stosować RODO, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług dla osób przebywających na terenie Unii lub z monitorowaniem ich zachowania. 

Podsumowanie 

1. RODO zmusza administratorów danych do większej aktywności w szacowaniu ryzyka, ale daje większe możliwości doboru narzędzi ochrony danych
2. Rozporządzenie unijne ma pierwszeństwo w stosowaniu przed polską ustawą, a jego poprawna interpretacja wymaga znajomości reguł wykładni prawa unijnego
3. Preambuła nie ma bezpośredniej treści normatywnej, pomaga jednak w ustaleniu celów reformy. Jednym z nich jest ochrona praw jednostki
4. Pojęcie danych osobowych pozostaje bez zmian, nie wiadomo jednak, w którym kierunku pójdzie interpretacja posiadania środków do zidentyfikowania osoby
5. Organizacje działające na terenie Polski będą zobowiązane do stosowania RODO niezależnie od tego, gdzie mają siedzibę

zobacz też:
Projekt nowej ustawy o ochronie danych osobowych. Co ważne dla organizacji pozarządowych?

Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.