Rozmowa z radcą prawnym Dominikiem Lubaszem z kancelarii Lubasz i Wspólnicy

Krzysztof Sobczak: Jakie zmiany RODO wprowadza w odniesieniu do przesłanek przetwarzania danych osobowych? To ważny element tej regulacji?
Dominik Lubasz:
Bardzo ważny, ponieważ związany jest z jedną z podstawowych zasad przetwarzania danych osobowych, a mianowicie zasadą legalności. A ta zasada wskazuje w szczególności to, kiedy i na jakich podstawach możemy przetwarzać dane osobowe. Uszczegółowienie tej zasady ma miejsce w artykułach 6 i 9 rozporządzenia ogólnego. A artykule 6 zawarty jest katalog przesłanek legalizacyjnych danych osobowych zwykłych kategorii, a w artykule 9 ust. 2 szczególnych kategorii danych, które ujęte są w katalogu zamkniętym, zawartym w ustępie pierwszym tego artykułu.

Czy jeśli ktoś zna te przesłanki, także dlatego, że już przetwarza dane osobowe, to może stwierdzić, że wszystko wie i nie musi się martwić?
Rzeczywiście, wielkiej rewolucji w tej dziedzinie nie ma, ale raczej nie zalecałbym takiej postawy, że wszystko wiem. To fakt, że te przesłanki, które dotychczas mieliśmy w ustawie o ochronie danych osobowych, są zbliżone w swojej konstrukcji do tych, które będą obowiązywały na gruncie RODO. Są jednak różnice, a niektóre nawet dość istotne. I dlatego warto wiedzieć, co należy uczynić, by mające obecnie miejsce przetwarzanie danych osobowych, które będzie kontynuowane po 25 maja, było zgodne z przepisami RODO. Bo jak wiemy RODO nie zawiera przepisów przejściowych, a więc nie mówi, że to co robiliśmy dotychczas zgodnie z przepisami, możemy też robić w przyszłości. Stanowi natomiast, że do 25 maja nasze procesy musimy dostosować nowych zasad, również pod względem oceny spełnienia przesłanek legalności.

Czego konkretnie to może dotyczyć?

Na przykład tego, o czym mówi się od wielu miesięcy, czyli oceny legalności dotychczas odbieranych zgód na przetwarzanie danych. Jeśli one były zgodne z dotychczasową ustawą, to teraz trzeba ustalić, czy będą też zgodne z rozporządzeniem. Dyskusja na ten temat wciąż trwa.



I nie ma jednej odpowiedzi na pytanie, czy trzeba teraz występować o nowe zgody. Eksperci najczęściej stwierdzają, że to zależy od pewnych okoliczności.
To rzeczywiście zależy od wielu czynników. Wypowiadała się na ten unijna grupa robocza w projekcie wytycznych dotyczących zgody, wypowiadał się polski organ nadzorczy, czyli GIODO, ale nadal sprawa nie jest jednoznacznie rozstrzygnięta. Bowiem są przesłanki skuteczności zgody na gruncie rozporządzenia, które nie występowały w dotychczasowym stanie prawnym. Na przykład obowiązek poinformowania podmiotu danych, czyli osoby której one dotyczą o tym, że zgoda jest wycofywalna i jakie są skutki wycofania zgody. W dotychczasowym stanie prawnym zgoda była wycofywalna, ale nie było obowiązku informacyjnego dotyczącego takiej możliwości. I z tego powodu niektórzy, szczególnie ci, którzy dotychczas nie informowali o możliwości wycofania zgody, mogą się poruszać w tej szarej strefie oceny, czyli niepewności co do tego, czy te ich zgody będą funkcjonowały również na gruncie rozporządzenia ogólnego. Ja nie wypowiadam się tak jednoznacznie w tej sprawie, że te zgody są nieskuteczne, raczej idę w kierunku uzupełnienia obowiązku informacyjnego. Ale na pewno rzecz jest dyskusyjna.

A jeśli jakiś nowy obowiązek powinien być wprowadzony, albo jak w tym przypadku, uzupełniony, to powinno to być wykonane przed 25 maja? Czy może też później, na przykład przy najbliższym kontakcie z klientem?

Nie ma na to pytanie odpowiedzi wprost, ale moim zdaniem skoro 25 maja jest datą graniczną przygotowania do RODO, to jeśli coś powinniśmy zrobić, żeby zapewnić zgodność z tą regulacją, to powinniśmy to zrobić przed tą datą. A nie po 25 maja, kiedy będziemy już okresie, w którym mamy bezwzględny obowiązek postępować zgodnie z nową regulacją.

Dużo jest w RODO takich obowiązków, które powinny być wykonane przed 25 maja?
Całkiem sporo jest takich zobowiązań, które w fazie przygotowawczej do stosowania RODO powinniśmy wykonać by prawidłowo się przygotować. Jest bowiem szereg nowych obowiązków informacyjnych w odniesieniu procesów trwających, co do których w doktrynie jest trochę kontrowersji, czy powinny być spełniane. Ja stoję na stanowisku, że tak. Są obowiązki przygotowawcze w szczególności infrastrukturalne i organizacyjnych dla celu zapewnienia realizacji zgodności. Są obowiązki, które trzeba niewątpliwie spełnić, związane z przetwarzaniem danych osobowych na zlecenie, czyli gdy powierzamy dane osobowe podmiotom przetwarzającym, tzw. procesorom. Jest dużo szerszy katalog i wymogi dotyczące samej umowy i zasad wyboru takiego procesora. To wszystko trzeba załatwić przed wejściem nowych przepisów w życie, czyli przed 25 maja. Także przed tą datą administrator powinien przeprowadzić audyt i zweryfikować trwające u niego procesy, żeby je przygotować i przystosować do realizacji praw podmiotów danych osobowych. Pojawiają się bowiem nowe prawa podmiotów, jak na przykład prawo przenoszenia, albo prawo do niepodlegania profilowaniu, które w pewnym zakresie wprowadza ograniczenia, czy uzależnia pewien typ profilowania od zgody.

I tę zgodę trzeba uzyskać.
Tak, trzeba ją przed 25 maja uzyskać, albo zaprzestać stosowania takiej praktyki.

Więcej na ten temat dr Dominik Lubasz będzie mówił podczas zaplanowanego na 6 kwietnia br. Kongresu RODO>>