Wraz z wejściem w życie przepisów RODO pojawiło się tak wiele mitów na ich temat, że część przedsiębiorców, w tym radców prawnych, zaczęła w nie wierzyć. Tymczasem nowe regulacje nie wprowadziły rewolucyjnych zmian do przepisów o ochronie danych osobowych, chociaż niewątpliwie nałożyły na administratorów kilka nowych obowiązków. Warto je przypomnieć, obalając przynajmniej część wątpliwości.

Mimo że minęło już pół roku obowiązywania RODO i nowej ustawy o ochronie danych osobowych, stosowanie ich przepisów wciąż budzi kontrowersje. – Dla przedsiębiorców problematyczna jest zarówno konieczność samodzielnego określenia celu gromadzenia danych, ustalenia, kiedy i w jakim zakresie oraz jak długo będą je przetwarzać, ale również jak zamierzają je chronić – mówi Martyniusz Rak, radca prawny w Kancelarii Prawnej ENSIS, zajmujący się m.in. obsługą prawną i szkoleniem przedsiębiorców w zakresie RODO. Jednak największym problemem przedsiębiorców jest dla nich określenie, kiedy są administratorem danych (w tym korzystającym z udostępnionych danych), a kiedy podmiotem przetwarzającym. Wątpliwości te ma również część radców prawnych prowadzących kancelarie.

Niektórzy uznają, że skoro jakaś firma ma umowę o współpracy z kancelarią, to na jej podstawie kancelaria przetwarza powierzone dane klientów i kontrahentów tej firmy i jest konieczne zawarcie umowy powierzenia. Nie powinniśmy tak do tego podchodzić. W relacji kancelaria–klient kancelaria powinna być uznana za odrębnego administratora, ponieważ umowa powierzenia przewidywałaby np. możliwość przeprowadzenia audytu w kancelarii, a taki audyt w wykonaniu klienta kancelarii byłby totalną pomyłką. Należy więc uznać, że jest to udostępnienie danych osobowych – argumentuje Martyniusz Rak. Jego zdaniem kancelaria może potencjalnie być uznana za podmiot przetwarzający jedynie w sytuacji, gdy radca przygotowuje opinię prawną, w której ma tylko dane swojego klienta, co wymagałoby jednak odpowiedniego ograniczenia uprawnień klienta w umowie powierzenia.

Przedsiębiorcy mają także problemy, gdy ktoś chce skorzystać z uprawnień przewidzianych w RODO, w tym z prawa dostępu do danych lub z prawa do bycia zapomnianym. Przepisy nie są w tym zakresie jednoznaczne, zwłaszcza gdy obowiązki wynikające z RODO ścierają się z przepisami innych ustaw. Efekt jest taki, że administratorzy nie wiedzą, jak postąpić, gdy np. były pracownik zażąda dostępu do dokumentów, w których jego dane osobowe widnieją, ale są to umowy z kontrahentami – udostępnić, odmówić ich udostępnienia czy też udostępnić je w okrojonym zakresie? W praktyce działania kancelarii radcowskiej problem ten również istnieje.

Ze względu na tajemnicę zawodową stosowanie przepisów RODO jest wtedy mocno ograniczone, ale nie wiadomo jeszcze w jakim zakresie – na to pytanie oraz wiele innych odpowie dopiero ustawa o zmianie niektórych ustaw w związku z zapewnianiem stosowania RODO, na którą nadal czekamy – podkreśla mec. Rak.

Liczy się każdy klient

Jego zdaniem dla kancelarii prawnej podstawowym zadaniem wynikającym z RODO jest ustalenie, jak realizować uprawnienia osób, których danymi dysponuje, jak może je przetwarzać i jak – w razie kontroli – będzie mogła udowodnić, że przestrzega przepisów. Najpierw jednak warto zadać pytanie, czy kancelaria, która obsługuje tylko kilku klientów i tylko w zakresie określonym umową, musi zadbać o ich zgody na przetwarzanie danych i wdrożyć jakiś szczególny sposób postępowania?

Co do zasady zgody nie powinny, a nawet nie mogą być pobierane. W przypadku kancelarii prawnej taką podstawą przetwarzania są najczęściej niezbędność wykonania zawartej umowy oraz podjęcie działań na żądanie osoby, której dane dotyczą, przed jej zawarciem. Kiedy zatem potencjalny klient przychodzi do kancelarii, omawia problem i prosi o zajęcie się sprawą, to jest to samoistna podstawa do przetwarzania danych w zakresie niezbędnym do realizacji zawartej z klientem umowy. Osobna zgoda nie będzie nam też potrzebna w celu realizacji obowiązków prawnych, np. księgowych czy podatkowych, wynikających z prowadzonej działalności (do wystawienia klientowi faktury itp.). Te podstawy legalności przetwarzania wynikają z art. 6 ust. 1 RODO i jedna z nich musi wystąpić, by możliwe było przetwarzanie danych osobowych – wyjaśnia mec. Rak.

Zatem gdybyśmy chcieli poinformować klientów np. o rozszerzeniu zakresu działalności, to dopiero wtedy musielibyśmy uzyskać ich osobną zgodę na przesłanie oferty wykraczającej poza dotychczasową usługę. Bez niej stanowiłoby to naruszenie przepisów.

Warto też pamiętać, że obowiązek poinformowania osoby o przetwarzaniu jej danych (art. 13 RODO) powstaje bez względu na podstawę prawną przetwarzania. To obowiązek, który musi być spełniony przez każdy podmiot, który pobiera dane osobowe, najpóźniej w momencie ich pozyskiwania. Ważne jest również, by pamiętać, że nie ma znaczenia, czy mamy dwóch, czy 2 tys. klientów – to jest obowiązek bezwzględny, za którego naruszenie grozi nałożenie najwyższych kar.

Czy kancelaria przetwarza zbiory
danych?

Każdy z nas tworzy zbiory danych i je przetwarza, nawet jeśli tylko je przechowuje. Zgodnie bowiem z art. 4 pkt 2 RODO przetwarzaniem danych osobowych jest każda operacja wykonywana na nich, a więc zbieranie, utrwalanie czy modyfikowanie, ale także przechowywanie. A to powoduje, że archiwizowanie danych to ich przetwarzanie.

Wniosek nasuwa się sam: danych nie przetwarzamy tylko wtedy, kiedy ich nie mamy. Zbiory danych istnieją nawet, jeśli nie prowadzimy odpowiedniego rejestru, tylko nie zostały one usystematyzowane – podkreśla Martyniusz Rak. – A zgodnie z przepisami RODO przedsiębiorca musi mieć rejestr czynności przetwarzania razem z innymi wymaganymi dokumentami, bo jako administrator powinien wykazać, że przestrzega wszystkich zasad przetwarzania danych.

Rejestr może mieć formę pisemną lub pliku komputerowego, musi jednak dotyczyć konkretnego zbioru osób – na przykład zbioru klientów, kontrahentów, pracowników lub współpracowników. W rejestrze wskazujemy obowiązkowo, jakie kategorie danych się w nim znajdują – imię, nazwisko, adres zamieszkania, adres e-mail, nr telefonu czy numer NIP do wystawiania faktur. – Jeśli określimy zbiory, to spełnimy obowiązek rozliczalności i jesteśmy bezpieczni. Nie jest przy tym istotne, jak my te dokumenty nazwiemy – czy będzie to jeden rozbudowany czy też kilka odrębnych dokumentów. Ważne jest, żeby je mieć podkreśla mec. Rak.

Klauzula informacyjna

Każda osoba, której dane przetwarzamy, powinna też zostać zapoznana z klauzulą informacyjną. – Nie jest istotne, w jaki sposób to zrobimy, ale dobrze jest mieć wzór takiej klauzuli dla klientów, kontrahentów, współpracowników, pracowników – podpowiada Martyniusz Rak. I dodaje, że jeśli dochodzi do podawania danych, to powinniśmy przedstawić tę klauzulę, ale jej podpisywanie nie jest konieczne. – Pobieranie oświadczeń z podpisami jest zwykłą nadgorliwością. Podpis i forma pisemna nie są bowiem narzucone przez przepisy – podkreśla.

Informacja o przetwarzaniu danych może być wysłana e-mai­lem (w jego treści lub jako załącznik czy link do klauzuli), a nawet przekazana ustnie – RODO daje w tym zakresie administratorom pełną swobodę. Warunkiem jest jednak, że musi być ona skierowana do osoby, której dane będą przetwarzane, w taki sposób, żeby miała ona szansę się z nią zapoznać, a administrator musi fakt poinformowania później udowodnić.

Przypadków nadgorliwości w stosowaniu przepisów RODO jest wiele. Wielokrotnie przedsiębiorcy, różne instytucje i organy administracji żądają od nas nadmiernej ilości informacji, naruszając tym samym zasadę minimalizacji. Najczęściej polega to na wymuszaniu zgód czy oświadczeń, które nie są potrzebne. Te sytuacje zdarzają się również w kancelariach. Mieliśmy takiego klienta, którego kontrahent zażyczył sobie umowy o pracę wszystkich pracowników wskazanych jako osoby kontaktowe – wskazuje Martyniusz Rak.

Zapomnij o mnie

Na prawo do bycia zapomnianym trzeba patrzeć jak na postulat, bo usunięcie danych nie zawsze jest możliwe, a w przypadku przestrzeni internetowej praktycznie nieosiągalne.

Jeśli mamy podstawy do przetwarzania danych, to nie może być mowy o ich usuwaniu. Trudno sobie wyobrazić, by spełnić takie żądanie złożone przez klienta kancelarii. To prawo jest wówczas wyłączone, przede wszystkim ze względu na tajemnicę zawodową oraz trwanie okresu przedawnienia roszczeń. Ponadto jest to uzasadnione interesem publicznym, gdyż wykonujemy zawód zaufania publicznego – argumentuje mec. Rak.

W takiej sytuacji powinniśmy odmówić usunięcia tych danych, powołując się na przepisy wskazujące, na jakiej podstawie je przetwarzamy. Zgodnie z przepisami RODO mamy na to miesiąc z możliwością przedłużenia do trzech miesięcy w określonych przypadkach. Taką osobę powinniśmy też – odmawiając usunięcia – poinformować o możliwości złożenia skargi do PUODO i dochodzenia swoich praw przed sądem. Usunięcia danych można również odmówić w sytuacji, gdy mimo zastosowania procedury weryfikacyjnej (warto ją mieć) nie uda nam się potwierdzić tożsamości osoby, która o to występuje.

Administrator, czyli kto? Na koniec warto jeszcze wyjaśnić, że jeśli kancelarię prowadzi radca w formie jednoosobowej działalności gospodarczej, to jest on administratorem. Jeżeli mamy do czynienia z kancelarią prowadzoną w formie spółki – to tym administratorem jest spółka, a nie każdy z partnerów. Kancelaria prawna – bez względu na swoją wielkość, nie ma obowiązku posiadania inspektora ochrony danych, ponieważ jej główną działalnością nie jest przetwarzanie danych wrażliwych. Może go jednak powołać lub wyznaczyć osobę, która będzie znała zasady przechowywania i przetwarzania danych, ustali procedury i w razie konieczności będzie mogła reprezentować spółkę w sprawach dotyczących danych osobowych, np. w trakcie kontroli.