Newsy


O RODO powiedziano już dużo różnych, czasem dziwnych rzeczy. Wokół stosowania tego aktu prawnego narosło wiele mitów – często absurdalnych, przeczących logice. RODO stało się też świetną wymówka dla niekompetencji braku wiedzy czy po prostu zwykłego lenistwa osób, które na każde postawione im pytanie odpowiadają, że czegoś nie mogą zrobić (zwykle nie mogą udzielić informacji) bo przecież RODO zabrania.

Łatwo było przewidzieć, że przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony  osób  fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – czyli RODO właśnie – napotkają wiele trudności interpretacyjnych.



Ze stosowaniem RODO w praktyce jest pewien problem: RODO obrosło mitami oraz zupełnie irracjonalnymi obawami. Warto zatem –  chociaż w podstawowym zakresie –  z ową „rodowską mitologią” się zmierzyć – aby spać spokojniej i być co najmniej ostrożnym wobec ofert firm, które najpierw roztaczają przed nami czarne wizje, związane głównie z wysokością kar finansowych, grożących za nieprzestrzeganie zapisów RODO, po to, aby za chwilę złożyć kosztowną propozycję przeprowadzenia przez proces dostosowania naszej praktyki do nowych wymogów ochrony danych osobowych.

W niniejszym tekście postaram się krótko przedstawić najważniejsze informacje o tym jak będzie wyglądać postępowanie kontrolne, związane z ochroną danych osobowych oraz odpowiedzieć na zasadnicze pytanie:  jak to jest z tymi karami?



30 października 2018 ochrona danych / RODO0

Konieczność ochrony danych osobowych po wejściu w życie RODO nie może doprowadzić do wyłączenia prawa do informacji publicznej. Wejście w życie przepisów RODO nie skutkuje wyłączeniem stosowania przepisów krajowych, zawierających gwarancje dostępu do informacji publicznej.

Każdy podmiot wykonujący działalność publiczną powinien zatem podjąć działania zmierzające do udostępnienia informacji publicznej  na skutek złożonego wniosku – jeżeli podlega przepisom ww. ustawy – w taki sposób, aby jednocześnie nie doprowadzić do naruszenia ww. regulacji RODO. Przypomnieć w tym miejscu trzeba, że prawo do informacji publicznej podlega ograniczeniu m.in. ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy.



Po wejściu w życie przepisów RODO pojawia się szereg pytań i wątpliwości. Jednym z najczęściej zadawanych jest pytanie o możliwość przetwarzania danych biometrycznych pracownika (wizerunek twarzy, odciski palców) przez pracodawcę. 

Pracodawca może przetwarzać dane biometryczne pracownika wyłącznie za jego zgodą w ściśle określonym celu np. w celu elektronicznego ewidencjonowania obecności w pracy, czy umożliwienia dostępu do określonych pomieszczeń.

Szerzej o tym problemie można przeczytać w zakładce opinie prawne – zachęcam  zatem do lektury.

Karol Kolankiewicz 

Prezes Zarządu ISPOZ



Obowiązek informacyjny został uregulowany w art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – dalej RODO. Nie jest to obowiązek nowy, gdyż istniał on już wcześniej na mocy art. 23 oraz 24, nieobowiązującej już ustawy z 29.08.1997 r. o ochronie danych osobowych. Jednakże obecnie obowiązujące przepisy RODO znacząco rozbudowały ów obowiązek.



Zgodnie z przepisami RODO osobie, której dane osobowe są przetwarzane przysługują w szczególności następujące uprawnienia:

  1. prawo dostępu do danych, w szczególności do uzyskania od administratora danych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące (art. 15 RODO)
  2. prawo do żądania sprostowania swoich danych osobowych, w tym ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia (art. 16 RODO)
  3. prawo do żądania usunięcia („do bycia zapomnianym”), m.in. jeżeli uważa, że dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, jak również wtedy gdy osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania (art. 17 RODO);
  4. prawo żądania ograniczenia przetwarzania danych, m.in. wówczas, gdy kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych (art. 18 RODO);
  5. do przenoszenia danych jeżeli przetwarzanie odbywa się na podstawie zgody oraz w sposób zautomatyzowany – ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe (art. 20 RODO);
  6. wniesienia sprzeciwu wobec przetwarzania – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi) lub art. 6 ust. 1 f) RODO (przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią), w tym profilowania na podstawie tych przepisów (art. 21 RODO).
  7. wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych w Warszawie, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza RODO (art. 77 RODO)
  8. do odszkodowania – jeżeli poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO (art. 82 RODO).

            Należy jednak pamiętać, że opisane w skrócie powyżej – przewidziane w RODO – m.in. prawo do usunięcia danych, ograniczenia przetwarzania danych oraz do wniesienia sprzeciwu wobec takiego przetwarzania w ochronie zdrowia są mocno ograniczone z uwagi na treść szczególnych przepisów, które nakazują osobie wykonującej działalność leczniczą przechowywanie określonych danych. Pierwszym z brzegu przykładem jest art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, który nakazuje każdemu podmiotowi wykonującemu działalność leczniczą przechowywanie danych zgromadzonych w dokumentacji medycznej przez określony czas (przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu -jako zasada).

                                                                                               Adwokat Karol Kolankiewicz


ISPOZ 2017. Wszystkie prawa zastrzeżone.