RODO – GDPR
OBOWIĄZKOWA DOKUMENTACJA PRZETWARZANIA DANYCH OSOBOWYCH Z PUNKTU WIDZENIA ADMINISTRATORA
Jakub Rzymowski
Kraków 2019
3
Rzymowski_RODO.indd 3
21.08.2019 09:30:24
Copyright by © Jakub Rzymowski Numer ORCID 0000-0003-0538-8895 Recenzja naukowa: Doktor habilitowany Jacek Janowski Profesor Politechniki Warszawskiej
Autor jest adiunktem w Katedrze Europejskiego Prawa Gospodarczego Wydziału Prawa i Administracji Uniwersytetu Łódzkiego.
Projekt okładki: Wydawnictwo SERIA „Seria”
Druk z materiałów dostarczonych przez autora (skład, redakcja, korekty: Jakub Rzymowski) ISBN 978-83-8095-698-8
Oficyna Wydawnicza „Impuls” 30-619 Kraków, ul. Turniejowa 59/5 tel./fax: (12) 422 41 80, 422 59 47, 506 624 220 www.impulsoficyna.com.pl, e-mail: impuls@impulsoficyna.com.pl Wydanie I, Kraków 2019
4
Rzymowski_RODO.indd 4
09.09.2019 13:23:54
Na gruncie ustawy o ochronie danych osobowych trzeba było prowadzić pewne dokumenty dotyczące bezpieczeństwa, przetwarzanych danych osobowych1. Na gruncie RODO2 również trzeba prowadzić pewne dokumenty, różnią się one jednak od dokumentów znanych z UODO. Dokumenty, które należy prowadzić na gruncie RODO opisane są w niniejszej książce. Korzystanie z książki wymaga pewnej wiedzy w zakresie RODO i w zakresie ogólniej pojętej ochrony danych osobowych.
Wprowadzenie Ochrona danych osobowych jest dziś, z unijnej perspektywy, zjawiskiem znanym i powszechnym. Przez wiele lat ochronę danych osobowych powszechnie kojarzono w Polsce z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych3 (dalej i wyżej w książce: UODO). Skojarzenie było właściwe, należy jednak pamiętać, że UODO była recepcją Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych4 (dalej w książce: Dyrektywa 95/46/WE). Parlament Europejski i Rada wydali Dyrektywę 95/46/WE, a polski Parlament wydał UODO, w ten sposób przyjmując do polskiego porządku prawnego wskazaną dyrektywę.
Daty wejścia w życie i zastosowania RODO Akt prawny znany jako RODO jest to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG). RODO zostało wydane dnia 4 maja 2016 roku. Zgodnie z art. 99 ust. 1 RODO,
1
Dz.U. 1997 Nr. 133 poz. 883 ze zm., t.j. Dz.U. z 2016 r poz. 922 ze zm. Dalej: UODO. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dziennik Urzędowy Unii Europejskiej L 119/1, 4.5.2016, p. 1–88. (dalej: RODO). 3 Dz.U. 1997 Nr. 133 poz. 883 ze zm., t.j. Dz.U. z 2016 r poz. 922 ze zm. 4 Dziennik Urzędowy L 281 , 23.11.1995 p. 0031 – 0050 2
5
Rzymowski_RODO.indd 5
21.08.2019 09:30:25
RODO weszło w życie 25 maja 2016 roku. Zgodnie z art. 99 ust. 2 RODO, RODO „ma zastosowanie” od 25 maja 2018 roku. W RODO, po 25 maja 2018 roku, brak jest vacatio legis. RODO „ma zastosowanie” od 25 maja 2018 roku i z tym dniem każdy podmiot znajdujący się w zakresie podmiotowym i w zakresie przedmiotowym RODO ma obowiązek realizować obowiązki (sic!), które wynikają z RODO. Obowiązki te ściśle związane są z uprawnieniami osób, których RODO dotyczy. Można powiedzieć, że uprawnieniem człowieka, którego dane osobowe przetwarza administrator danych5, jest to by administrator ten przetwarzał jego dane tylko i wyłącznie w sposób opisany w RODO, w RODO i w aktach szczególnych, które też, w różnej mierze, dotyczą ochrony danych osobowych. W RODO nie przewidziano vacatio legis, ponieważ czas ten, czas spoczywania aktu prawnego, nie jest w odniesieniu do RODO potrzebny. RODO jest znane od 25 kwietnia 2016 roku. Od tego dnia administratorzy danych mogą przez 2 lata dostosowywać się do RODO. Jednym z elementów dostosowania się do RODO jest sporządzenie i wdrożenie dokumentacji, obowiązek prowadzenia której wynika z RODO. Dokumentacji tej, między innymi, choć głównie, poświęcona jest niniejsza praca. Praca poświęcona jest również zasadom przetwarzania danych osobowych i realizacji tych zasad z pomocą dokumentacji o której mowa. Za pomocą samej tylko dokumentacji, nie da się w pełni i wyczerpująco zrealizować zasad przetwarzania danych osobowych, mimo tego obowiązków dokumentacyjnych, które wynikają z RODO, nie należy zaniedbywać, bowiem bez dokumentacji zasad zrealizować się nie da.
Przygotowanie dokumentów Obowiązków dokumentacyjnych, które wynikają z RODO nie powinien zaniedbywać żaden administrator danych, ponieważ każdy 5
W art. 4 pkt 7 RODO zdefiniowany podmiot nazwany w tym przepisie słowem: „administrator”. W realiach administrowania danymi pojawiają się podmioty takie, jak administrator systemu, administrator systemu informatycznego, administrator serwera, administrator bazy danych etc. Administrator zdefiniowany w art. 4 pkt 7 RODO nie ma z tymi podmiotami nic wspólnego. Jednocześnie względy nazewnicze wskazują, że może każdy z wymienionych tu przykładowych administratorów jest podgatunkiem administratora z art. 4 pkt 7 RODO, podczas gdy tak absolutnie nie jest. Z tego względu dla określenia administratora z art. 4 pkt 7 RODO posługuję się określeniami: administrator danych lub administrator danych osobowych.
6
Rzymowski_RODO.indd 6
21.08.2019 09:30:25
administrator danych powinien liczyć się z tym, że zostanie skontrolowany. Kontrola przetwarzania danych osobowych uregulowana jest w RODO. Praca niniejsza nie dotyczy kontroli, a dokumentacji, dlatego też o kontroli nie piszę wiele. Kontrola uregulowana w RODO dotyczyć może poszanowania każdego uprawnienia wynikającego z RODO i przestrzegania każdego obowiązku wynikającego z RODO. Najłatwiej jest skontrolować dokumenty. Jeśli chodzi o kontrolę dokumentów, to przede wszystkim można skontrolować, czy podmiot kontrolowany konkretne dokumenty posiada, o ile zachodzi obowiązek posiadania konkretnych dokumentów. Poza tym można skontrolować treść dokumentów pod kątem zgodności tej treści z RODO. Można również próbować kontrolować formę dokumentów, nie jest to jednak takie łatwe, bowiem w przypadku zjawisk dokumentacyjnych, które wynikają z RODO, trudno jest o wskazanie jedynej właściwej, przewidzianej prawem formy. Kiedy prawo formy nie przewiduje, to kontroler nie powinien wymagać żadnej konkretnej formy. Łatwość kontrolowania dokumentów nie jest jednak jedynym powodem, dla którego należy te dokumenty stworzyć.
Dokumentacja jako obowiązek Administrator danych powinien stworzyć dokumenty dotyczące przetwarzania danych osobowych, ponieważ takie obowiązki nakłada na niego RODO. Zdanie to jest oczywiste, jednak twórcy RODO mieli chyba świadomość, że jeżeli nałożą na administratorów danych obowiązki i w żaden sposób nie będą karać za nierealizowanie tychże, to jedni administratorzy obowiązki zrealizują, zaś inni nie. Kilkunastoletnia praca z przepisami o ochronie danych osobowych pozwoliła mi wyrobić sobie własne zdanie na temat obowiązków dokumentacyjnych, związanych z przetwarzaniem danych osobowych. Zdanie to jest dalekie od entuzjazmu. Marzy mi się obowiązkowa dokumentacja przetwarzania danych osobowych, z której wynika co administrator danych robi z danymi. Taka dokumentacja, funkcjonująca przy jednoczesnym obowiązku ochrony danych osobowych, byłaby wystarczająca. Mój wymarzony dokument to coś na kształt obecnego w RODO rejestru czynności przetwarzania danych. Niestety, RODO nie realizuje moich marzeń, bowiem oprócz tego dokumentu, wprowadza dodatkowo, od około 20, do około 40 rozmaitych zjawisk dokumentacyjnych. Piszę „około”, ponieważ użycie tu konkretnej liczby zależy od tego jak dokumenty liczymy i czy
7
Rzymowski_RODO.indd 7
21.08.2019 09:30:25
każdy obowiązek, który trzeba wykazać, wykazujemy osobnym dokumentem, czy łączymy obowiązki po kilka, w celu ich wykazania jednym dokumentem, miast kilkoma. RODO nakazuje prowadzić bogatą dokumentację przetwarzania danych osobowych. Jeżeli ADO nie wytworzy konkretnych, przewidzianych w RODO dokumentów, to ADO ponieść może odpowiedzialność za samo tylko nieposiadanie dokumentów. Wynika to z art. 5 ust. 2 RODO w zw. z art. 83 ust. 5 lit. a RODO.
8
Rzymowski_RODO.indd 8
21.08.2019 09:30:25
Spis treści Wprowadzenie
5
Daty wejścia w życie i zastosowania RODO
5
Przygotowanie dokumentów
6
Dokumentacja jako obowiązek
7
Rozliczalność
9
Odpowiedzialność cywilna spowodowana brakiem dokumentacji
10
Zakaz przetwarzania danych osobowych
11
Podstawowe pojęcia
15
Dane osobowe
15
Dane osobowe a dana osobowa
24
Przetwarzanie (danych osobowych)
25
Rejestr czynności przetwarzania danych prowadzony przez administratora danych
31
Źródło obowiązku
31
Treść dokumentu
35
Pierwszy sposób prowadzenia rejestru
37
Strona tytułowa RCPD
38
Wnętrze RCPD
38
Zakończenie RCPD
42
Drugi sposób prowadzenia rejestru
43
Forma dokumentu
44
(Numerowanie stron rejestru)
46
Kolejne strony RCPD
54
Realizacja zasad
55
Możliwe błędy
55
Upoważnienie do przetwarzania danych osobowych
57
Źródło obowiązku
57
377
Rzymowski_RODO.indd 377
21.08.2019 09:30:57
Treść dokumentu
58
Forma dokumentu
60
Elementy nadmiarowe upoważnienia
64
Upoważnienie w formie listy
65
Nadanie uprawnień do nadawania upoważnień do przetwarzania danych osobowych
67
Osoba nadająca upoważnienia
70
Nadawanie upoważnień do przetwarzania danych osobowych przez inspektora ochrony danych
70
Uchylanie/ustanie upoważnienia do przetwarzania danych osobowych inaczej dokument: uchylenia, odebrania, wycofania, stwierdzenia nieważności upoważnienia do przetwarzania danych osobowych
72
Uprawnienie do uchylania upoważnień do przetwarzania danych osobowych
75
Realizacja zasad
77
Możliwe błędy
78
Polecenie przetwarzania danych osobowych
79
Źródło obowiązku
79
Treść dokumentu
80
Forma dokumentu
81
Polecenie w formie listy
83
Realizacja zasad
85
Możliwe błędy
85
Uprawnienie do wydawania poleceń przetwarzania danych osobowych
86
Ustanie polecenia przetwarzania danych osobowych
87
Źródło obowiązku
87
Treść dokumentu
88
Nadanie uprawnień do uchylania poleceń przetwarzania danych osobowych
90
378
Rzymowski_RODO.indd 378
21.08.2019 09:30:57
Upoważnienia i polecenia – czy na pewno trzeba je nadawać.
92
Upoważnienia w ustawie z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2019 poz. 730)
96
Ustawa 730. Problematyka nadawania upoważnień.
99
Rejestr upoważnień do przetwarzania danych osobowych, (rejestr osób upoważnionych), rejestr poleceń przetwarzania danych osobowych
102
Upoważnienie i polecenie, administrator danych i podmiot przetwarzający
103
Wskazanie osób uprawnionych do odwrócenia pseudonimizacji
107
Źródło obowiązku
107
Treść dokumentu
108
Forma dokumentu
109
Dokument nadania uprawnień do wskazywania osoby uprawnionej do odwrócenia pseudonimizacji
110
Realizacja zasad
111
Możliwe błędy
112
Zgoda osoby, której dane dotyczą
113
Źródło obowiązku
113
Treść dokumentu
114
Forma dokumentu
114
Realizacja zasad
118
Możliwe błędy
119
Wycofanie zgody na przetwarzanie danych osobowych
120
Źródło obowiązku
120
379
Rzymowski_RODO.indd 379
21.08.2019 09:30:57
Treść dokumentu
120
Realizacja zasad
122
Dokument udostępnienia informacji o szczegółach przetwarzania danych osobowych na podstawie art. 13 RODO.
123
Źródło obowiązku
123
Treść dokumentu
123
Artykuł 6 RODO jako uzupełnienie artykułu 9 RODO
130
Forma dokumentu
138
Sposób udostępnienia informacji
142
Możliwe błędy
144
Realizacja zasad.
145
Dokumentowanie realizacji art. 13 RODO, realizacja zasady rozliczalności
146
Dokument udostępnienia informacji o szczegółach przetwarzania danych osobowych na podstawie art. 14 RODO
147
Źródło obowiązku
147
Treść dokumentu
147
Stanowisko pierwsze
151
Stanowisko drugie
152
Wnioski z rozumowań różniących: „Stanowisko pierwsze” i „Stanowisko drugie”
154
Uwaga dodatkowa. Informacja o źródle danych
154
Artykuł 6 RODO jako uzupełnienie artykułu 9 RODO
157
Forma dokumentu
165
Sposób udostępnienia informacji
168
Możliwe błędy
171
Realizacja zasad
172
Dokumentowanie realizacji art. 14 RODO. Realizacja zasady rozliczalności
173
380
Rzymowski_RODO.indd 380
21.08.2019 09:30:57
Dokument umożliwiający realizację obowiązku wykazania realizacji obowiązku udostępnienia osobie, której dane dotyczą, informacji o szczegółach przetwarzania danych osobowych
175
Źródło obowiązku
175
Treść dokumentu
175
Forma dokumentu
181
Możliwe błędy
184
Realizacja zasad
185
Dokumentowanie realizacji art. 15 RODO – realizacja zasady rozliczalności
186
Dokument umożliwiający realizację obowiązku wykazania realizacji obowiązku dostarczenia kopii danych
187
Źródło obowiązku
187
Treść dokumentu
187
Forma dokumentu
191
Możliwe błędy
192
Realizacja zasad
193
Sprostowanie danych – uprawnienia korekcyjne
195
Dokument umożliwiający realizację prawa żądania sprostowania danych
195
Źródło obowiązku
195
Treść dokumentu
195
Forma dokumentu
197
Możliwe błędy
198
Realizacja zasad
199
Dokumentowanie realizacji art. 16 RODO. Realizacja zasady rozliczalności
200
Dokument potwierdzający realizację prawa żądania sprostowania danych.
202
Źródło obowiązku
202
381
Rzymowski_RODO.indd 381
21.08.2019 09:30:57
Treść dokumentu
203
Forma dokumentu
203
Możliwe błędy
206
Realizacja zasad
206
Dokumentowanie realizacji art. 16 RODO. Realizacja zasady rozliczalności
207
Prawo do bycia zapomnianym
209
Dokument umożliwiający realizację prawa żądania usunięcia danych osobowych.
209
Źródło obowiązku.
209
Żądanie usunięcia danych a usuniecie danych – uwaga wstępna
209
Schemat realizacji prawa do bycia zapomnianym
209
Treść dokumentu
211
Forma dokumentu
212
Możliwe błędy
224
Realizacja zasad
232
Ograniczenie przetwarzania
235
Dokument umożliwiający realizację prawa żądania ograniczenia przetwarzania
235
Źródło obowiązku
235
Przykładowe metody ograniczenia przetwarzania
235
Definicja ograniczenia przetwarzania
235
Treść dokumentu
236
Forma dokumentu
236
Możliwe błędy
238
Schemat ograniczenia przetwarzania
238
Dokument potwierdzający ograniczenie przetwarzania
241
Źródło obowiązku
241
382
Rzymowski_RODO.indd 382
21.08.2019 09:30:57
Możliwości kontrolne
241
Treść dokumentu
241
Forma dokumentu
242
Możliwe błędy
243
Informacja skierowana do osoby, której dane dotyczą, która żądała ograniczenia na mocy art. 18 ust 1 RODO, o uchyleniu ograniczenia przetwarzania
244
Źródło obowiązku
244
Treść dokumentu
244
Forma dokumentu
246
Możliwe błędy
246
Dokument uchylenia ograniczenia przetwarzania
247
Źródło obowiązku
247
Treść dokumentu
247
Forma dokumentu
248
Możliwe błędy
248
Realizacja zasad
249
Sprzeciw wobec przetwarzania danych osobowych, w związku ze szczególną sytuacją osoby, której dane dotyczą
251
Dokument umożliwiający wykazanie umożliwienia wniesienia sprzeciwu wobec przetwarzania danych, z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą
251
Źródło obowiązku
251
Treść dokumentu
251
Treść dokumentów i kolejność czynności
251
Forma dokumentu
253
Sprzeciw a uprawnienie ADO do przetwarzania danych osobowych
254
Sprzeciw a inne żądania
255
Dokument umożliwiający wykazanie realizacji obowiązku przyjęcia
256
383
Rzymowski_RODO.indd 383
21.08.2019 09:30:57
sprzeciwu wobec przetwarzania danych, z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą Źródło obowiązku
256
Treść dokumentu
258
Możliwe błędy
261
Błąd a zgoda i sprzeciw
262
Realizacja zasad
262
Sprzeciw wobec przetwarzania danych osobowych w celu marketingowym
265
Źródło obowiązku
265
Treść dokumentu
265
Forma dokumentu
266
Dokument umożliwiający wykazanie realizacji obowiązku przyjęcia sprzeciwu wobec przetwarzania danych na potrzeby marketingu bezpośredniego
269
Źródło obowiązku
269
Treść dokumentów i kolejność czynności
269
Możliwe błędy
272
Błąd a zgoda i sprzeciw
273
Realizacja zasad
273
Dokument umożliwiający wykazanie uwzględnienia ochrony danych w fazie projektowania
275
Dokument umożliwiający wykazanie uwzględnienia ochrony danych w ustawieniach domyślnych
275
Źródło obowiązku
275
Treść dokumentu
275
Możliwe błędy
276
Realizacja zasad
276
384
Rzymowski_RODO.indd 384
21.08.2019 09:30:57
Dokument oceny ryzyka
279
Źródło obowiązku
279
Treść dokumentu
279
Metoda badania ryzyka naruszenia praw lub wolności przez ocenę zagrożeń dla realizacji zasad
281
Metoda badania ryzyka naruszenia praw lub wolności przez ocenę zagrożeń wymienionych w art. 32 ust. 2 RODO
285
Realizacja zasad
291
Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa
293
Źródło obowiązku
293
Treść dokumentu
294
Forma dokumentu
297
Dokument wdrożenia technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO
304
Źródło obowiązku
304
Treść dokumentu
304
Tytuły dokumentu
305
Forma dokumentu
306
Realizacja zasad
308
Możliwe błędy
309
Ocena skutków dla ochrony danych
311
Źródło obowiązku
311
Źródło obowiązku c. d.
313
Kiedy przygotowywać dokument
316
Treść dokumentu
317
Tytuł dokumentu
317
Realizacja zasad
320
Możliwe błędy
320
385
Rzymowski_RODO.indd 385
21.08.2019 09:30:58
Treść dokumentu c.d.
321
Polityka ochrony
325
Źródło obowiązku
325
Treść dokumentu
326
Realizacja zasad przez realizację przepisów
326
Forma dokumentu
326
Komentarz skrócony do art. 5 ust. 2 RODO, w zakresie zasady odpowiedzialności ADO
327
Komentarz skrócony do art. 5 ust. 2 RODO, w zakresie zasady rozliczalności przetwarzania danych
328
Rozliczalność – praktyczna realizacja zasady
328
Polityka ochrony jako narzędzie rozliczalności
329
Dodatkowe narzędzia rozliczalności
330
Polityka ochrony jako narzędzie, odwrócenia ciężaru dowodu
330
Komentarz skrócony do art. 5 ust. 1 lit b RODO
336
Komentarz skrócony do art. 5 ust. 1 lit d RODO
342
Komentarz skrócony do art. 5 st. 1 lit f RODO w zakresie zasady integralności
346
Komentarz skrócony do art. 5 ust. 1 lit. f RODO w zakresie zasady poufności
348
Dokument wdrożenia polityki ochrony danych, o której mowa w art. 25 ust. 2 RODO
350
Źródło obowiązku
350
Treść dokumentu
350
Tytuły dokumentu
351
Forma dokumentu
351
Możliwe błędy
352
Realizacja zasad
352
Dokumenty związane z naruszeniem ochrony danych osobowych
353
386
Rzymowski_RODO.indd 386
21.08.2019 09:30:58
Źródło obowiązku
353
Przenikanie „in action” art. 33 RODO i art. 34 RODO
353
Co to jest: „naruszenie ochrony danych osobowych”
353
Forma dokumentu i treść dokumentu
354
Jakie konkretnie prawa lub wolności oceniać pod kątem oceny naruszenia
356
Możliwe błędy
369
Realizacja zasad I
369
Realizacja zasad II
370
Obowiązek powiadomienia o sprostowaniu lub o usunięciu danych osobowych lub o ograniczeniu przetwarzania
373
Źródło obowiązku
373
Omówienie przepisu
373
Treść dokumentu
374
Możliwe błędy
374
Realizacja zasad
375
387
Rzymowski_RODO.indd 387
21.08.2019 09:30:58