Ochrona danych osobowych - wybrane informacje ogólne

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L. z 2016 r., Nr 119. s. 1, ogólne rozporządzenie o ochronie danych) obowiązuje w Polsce od dnia 25 maja 2018 roku.

Rozporządzenie to ma zastosowania również do przetwarzania danych osobowych przez sądy administracyjne, z tym zastrzeżeniem, iż w zakresie, w którym sądy te sprawują wymiar sprawiedliwości, niektóre regulacje RODO zostały wyłączone, zaś w ich miejsce obowiązują procedury wynikające z ustawy – Prawo o postępowaniu przed sądami administracyjnymi (analogicznie jak w odniesieniu do sądów powszechnych zasady przetwarzania danych osobowych określają przepisy ustaw szczególnych, np. Kodeks postępowania cywilnego). W pozostałych obszarach działania sądów administracyjnych przepisy RODO obowiązują w pełnym zakresie.

Przepisy europejskiego rozporządzenia o ochronie danych osobowych nakładają szereg nowych wymagań oraz obowiązków na administratorów danych osobowych, a w szczególności:

  • nowe podejście do ochrony danych osobowych – RODO nie określa niezbędnych warunków organizacyjnych i technicznych służących przetwarzaniu danych osobowych (jest technologicznie neutralne). Administratorzy danych zyskali więc swobodę w określaniu tych warunków, jednakże przy uwzględnieniu konieczności zapewnienia adekwatnego poziomu zabezpieczeń - nie przestała bowiem obowiązywać potrzeba zgodnego z przepisami przetwarzania danych osobowych i ich skutecznego zabezpieczania przed przypadkowym lub niezgodnym z prawem utraceniem, zniszczeniem, modyfikacją, nieuprawnionym dostępem, przetwarzaniem lub ujawnieniem;
  • w nowym ujęciu ochrona danych osobowych oparta jest o analizę ryzyka uwzględniającą charakter, zakres, kontekst i cele przetwarzania oraz związane z tym przetwarzaniem ryzyko naruszenia praw i wolności osób fizycznych. Na tej podstawie każdy administrator rozpoczynając lub kontynuując przetwarzanie, samodzielnie decyduje o rodzaju i zakresie wdrażanych procedur i technicznych rozwiązań obiegu informacji oraz o rodzaju wybranych zabezpieczeń. Przyjęta konstrukcja prawna gwarantuje zawsze aktualne dopasowanie stosowanych zabezpieczeń danych osobowych do bieżącego rozwoju technologii oraz dopasowanie do odrębnej specyfiki przetwarzania danych np. w różnych obszarach działalności gospodarczej;
  • zgodnie z RODO, każda czynność związana z przetwarzaniem danych osobowych z założenia ma być dla tych danych bezpieczna. Począwszy od planowania nowych usług lub działań, a także w trakcie ich realizacji - konieczna jest dbałość o przestrzeganie zasad wynikających z nowych przepisów prawa (takie podejście nazywane jest privacy by design);
  • jeżeli w procesie przetwarzania danych osobowych są wykorzystywane narzędzia teleinformatyczne to ich podstawowe (domyślne) ustawienia muszą być z założenia ustawieniami zapewniającymi bezpieczeństwo przetwarzanych informacji.  Realizuje się to nie tylko poprzez wprowadzanie skomplikowanych haseł i szyfrowanie danych, ale także poprzez konfigurację urządzeń i programów tak, aby możliwe było przetwarzanie przy ich użyciu tylko niezbędnego i zgodnego z celem zakresu danych (taki sposób korzystania z narzędzi IT jest spełnieniem zasady privacy by default);
  • podejście oparte na ryzyku stanowi uzasadnienie dla zaprojektowanych i wprowadzanych w życie środków organizacyjnych i technicznych zapewniających zgodność z RODO. Udokumentowanie tego procesu spełnia zasadę rozliczalności zawartą w nowych przepisach. Zasada ta wymaga, aby każdy administrator danych mógł udowodnić, że spełnia wymagania RODO;
  • kolejną grupą zmian w RODO jest obszerny katalog uprawnień dla osób wobec swoich danych osobowych. Poza dotychczas obowiązującymi uprawnieniami, od wejścia w życie RODO osoby fizyczne mają prawo do przenoszenia swoich danych. W przypadku przetwarzania danych w sposób zautomatyzowany na podstawie umowy lub zgody, ich właściciel ma prawo do otrzymania tych danych w ustrukturyzowanym formacie nadającym się do odczytu maszynowego. Może także zażądać przekazania tych danych innemu administratorowi;
  • nowym uprawnieniem jest także tzw. prawo do bycia zapomnianym (faktycznie: prawo do usunięcia danych). Właściciele danych w określonych przypadkach mogą zażądać od administratora niezwłocznego usunięcia swoich danych osobowych. Prawo to ma zastosowanie, gdy właściciel cofnie zgodę na przetwarzanie danych lub znajdzie się szczególnej sytuacji uzasadniającej skorzystanie z tego uprawnienia. Innym uzasadnieniem do skorzystania z prawa do bycia zapomnianym mogą być sytuacje, gdy przetwarzanie będzie niezgodne z prawem lub cel przetwarzania danych zostanie osiągnięty;
  • modyfikacji uległa forma prawna wyrażenia zgody na przetwarzanie danych osobowych. Od wejścia w życie RODO taką zgodę stanowi dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie oświadczenia woli lub działania przyzwalającego do przetwarzania danych;
  • zmiany wynikające z wejścia w życie RODO dotknęły także sfery samej dokumentacji przetwarzania danych osobowych w organizacji. Ich skutkiem jest koniec obowiązku prowadzenia polityki bezpieczeństwa informacji i instrukcji zarządzania systemem informatycznym, a także związanych z nimi rejestrów i ewidencji. Oczywiście nie oznacza to, że organizacje nie będą prowadziły żadnych dokumentacji związanych z ochroną danych osobowych. Wymaga tego chociażby konieczność spełnienia wspomnianej już zasady rozliczalności, czy choćby zasada tzw. dobrych praktyk, na mocy której dotychczas obowiązująca, niejednokrotnie kompletna dokumentacja przetwarzania danych osobowych w organizacji może stanowić fundament nowej sprawnej, efektywnej ochrony danych w zakresie wymagań RODO;
  • dokumenty związane z analizą ryzyka, oceną skutków przetwarzania i jej bieżącą oceną, a także wprost wymienione w RODO dokumentacje naruszeń bezpieczeństwa  stanowią podstawę do uzasadnienia przyjętych na potrzeby ochrony danych osobowych rozwiązań organizacyjnych i technicznych;
  • rozporządzenie (RODO) nakłada na większość administratorów obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Zakres zawartych w nim informacji jest zbliżony do zakresu prowadzonego rejestru zbiorów danych osobowych. Rejestr czynności zawiera: dane o administratorze i współadministratorach, celu przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, kategorii odbiorców, którym dane były lub będą ujawniane, informacji o przekazywaniu danych do państwa trzeciego, a także - jeżeli to możliwe - opis technicznych i organizacyjnych środków bezpieczeństwa oraz wskazanie, jeśli to możliwe, planowanego terminu zakończenia przetwarzania;
  • kolejnym obowiązkiem wszystkich administratorów jest konieczność informowania organu nadzorczego o naruszeniach ochrony danych. Oznacza to, że zawsze gdy w organizacji dojdzie do naruszenia bezpieczeństwa będącego przypadkowym lub niezgodnym z prawem: utraceniem, ujawnieniem, zniszczeniem, dostępem lub zmodyfikowaniem danych będzie trzeba o tym fakcie poinformować organ nadzorczy. Natomiast w przypadku, gdy incydent będzie zagrażał prawom i wolnościom właścicieli danych, konieczne będzie także poinformowanie ich o możliwych zagrożeniach związanych z danym incydentem;
  • rozszerzone zostały także zasady powierzania danych osobowych. Czynności tej można dokonać na podstawie umowy powierzenia danych lub innego instrumentu prawnego. Nałożono także obowiązek na administratora danych osobowych, aby powierzał przetwarzanie danych jedynie takim podmiotom, które zapewniają spełnienie wszystkich wymagań RODO.

RODO w Sądach Administracyjnych

Przetwarzanie danych osobowych przez sądy administracyjne dotyczy dwóch obszarów działalności, tj. sprawowania wymiaru sprawiedliwości oraz obszaru działalności pozaorzeczniczej. W obu tych obszarach sądy dokładają najwyższej staranności w celu chronienia przetwarzanych danych osobowych, niezależnie od podstaw prawnych i zakresu przetwarzania - należy bowiem zwrócić uwagę na odmienności podstaw i zasad przetwarzania danych w tych obszarach:

Przetwarzanie danych osobowych w obszarze działalności orzeczniczej sądów administracyjnych:

  • w sądach administracyjnych, w ramach sprawowania przez nie wymiaru sprawiedliwości, przetwarzanie danych osobowych ma miejsce zarówno w sposób tradycyjny (biurowość sądowa), jak i w wykorzystywanych do tego systemach informatycznych (np. system Obsługi Spraw Orzekanych, system Centralnej Bazy Orzeczeń i Informacji o Sprawach). Administratorami danych przetwarzanych w tym zakresie są poszczególne wojewódzkie sądy administracyjne oraz Naczelny Sąd Administracyjny;
  • przetwarzanie danych osobowych w postępowaniu sądowoadministracyjnym, w zakresie, w którym postanowienia RODO nie mają zastosowania, określają przepisy ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2017 r. poz. 1369 z późn. zm.). Ustawa ta w sposób precyzyjny określa procedury oraz cele przetwarzania danych osobowych przez sądy administracyjne, określając przy tym zasady dostępu do akt spraw i poszczególnych rejestrów oraz zasady dokonywania zmian w treści akt (sprostowania danych). Ponieważ przetwarzanie to odbywa się celu realizacji obowiązków prawnych, dostęp do danych może mieć miejsce wyłącznie na zasadach określonych przywołana ustawą, zaś usuwanie danych z akt jest niedopuszczalne (przepisy określają terminy przechowywania akt sądowych i urządzeń ewidencyjnych). Dostęp do wymienionych powyżej systemów informatycznych mają zaś wyłącznie upoważnione osoby;
  • w projektowanych przepisach prawa krajowego, wprowadzających postanowienia RODO przewiduje się wyłączenia stosowania niektórych regulacji RODO w odniesieniu do przetwarzania danych osobowych na potrzeby sprawowanego przez sądy administracyjne wymiaru sprawiedliwości. Wyłączenia te dotyczą: obowiązków informacyjnych nałożonych na administratora danych osobowych w związku ze zbieraniem danych, prawa dostępu przysługującego osobie, której dane dotyczą, prawa do sprostowania danych, prawa do ograniczenia przetwarzania danych, obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania, prawa do przenoszenia danych oraz prawa do sprzeciwu wobec przetwarzania danych;
  • wyłączenia te są zgodne z art. 23 ust 1  (lit. f oraz lit. i) RODO,  zgodnie z którym prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym m.in. ochronie niezależności sądów i postępowania sądowego, a także ochronie osoby, której dane dotyczą oraz ochronie praw i wolności innych osób;
  • nie oznacza to oczywiście, że przetwarzanie danych osobowych w tym zakresie odbywa się w sposób dowolny – obowiązki w tym zakresie wynikają z przywołanej powyżej ustawy - Prawo o postępowaniu przed sądami administracyjnymi;
  • należy również zauważyć, iż postępowań sądowych nie dotyczy wynikający z RODO zakaz przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej oraz danych dotyczących zdrowia, seksualności i orientacji seksualnej tych osób (art. 9 ust. 2 lit. f RODO);
  • przetwarzanie danych osobowych przez sądy administracyjne w ramach sprawowania przez nie wymiaru sprawiedliwości nie podlega nadzorowi sprawowanemu przez Urząd Ochrony Danych Osobowych (art. 55 ust. 3 RODO). Nadzór ten zostanie powierzony na podstawie przepisów prawa krajowego wyznaczonym organom wymiaru sprawiedliwości (motyw 20 RODO).

Przetwarzanie danych osobowych w obszarze działalności pozaorzeczniczej sądów administracyjnych:

Przetwarzanie danych osobowych w zakresie nie związanym z działalnością orzeczniczą Naczelnego Sądu Administracyjnego podlega w pełnym zakresie pod regulacje RODO, co oznacza w szczególności, iż:

  • dane osobowe wykorzystywane są wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane, z tym że dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami;
  • w przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, dane te podlegają anonimizacji;
  • osoby, od których dane osobowe są pozyskiwane, informowane są o:
  1. danych Administratora i adresie siedziby Sądu, pod którym dane są zbierane i przetwarzane, a także dane kontaktowe swojego przedstawiciela;
  2. danych kontaktowych Inspektora Ochrony Danych;
  3. celu przetwarzania danych oraz podstawie prawnej przetwarzania;
  4. prawnie uzasadnionych interesach realizowanych przez Administratora lub przez stronę trzecią - w przypadku przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit f) RODO;
  5. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalenia tego okresu;
  7. przysługujących im prawach, w tym o:
  1. prawie do żądania od Administratora dostępu do dotyczących ich danych osobowych,  ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania, a także prawie do przenoszenia danych;
  2. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO -  prawie do wycofania zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  3. ewentualnym zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 RODO;
  4. prawie wniesienia skargi do organu nadzorczego.
  • w przypadku zbierania danych osobowych nie bezpośrednio od osoby, której one dotyczą, osoby te są dodatkowo informowane o kategoriach odnośnych danych osobowych oraz źródle pochodzenia tych danych, a gdy ma to zastosowanie - o pochodzeniu przedmiotowych danych ze źródeł powszechnie dostępnych;
  • w przypadku, gdy podstawę przetwarzania danych osobowych stanowi zgoda osoby, której dane dotyczą, od osoby tej pozyskiwane jest oświadczenie o wyrażeniu zgody na przetwarzanie dotyczących ją danych osobowych. Osoba ta ma prawo w dowolnym momencie wycofać wyrażoną zgodę;
  • dane osobowe udostępnianie są wyłącznie osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa;
  • osoba, której dane dotyczą może wystąpić z żądaniem:
  1. sprostowania danych, o którym mowa w art. 16 RODO, poprzez poprawienie nieprawidłowych danych, uzupełnienie niekompletnych danych lub uzupełnienie o nowe dane;
  2. usunięcia danych, w przypadku zajścia okoliczności wskazanych w art. 17 ust. 1 RODO;
  3. ograniczenia przetwarzania danych, w przypadku zajścia okoliczności wskazanych w art. 18 ust. 1 RODO;
  4. przesłania danych osobowych do innego administratora, w przypadkach określonych w art. 20 RODO;
  • osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw -
    z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO.
  • o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, które dokonane zostały zgodnie z art. 16, art. 17 ust.1 i art. 18 RODO, informowany jest każdy odbiorca, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Osoba, której dane dotyczą - jeżeli tego zażąda - informowana jest o tych odbiorcach.