Informacja publiczna, otwarte dane i ochrona tajemnic

Jest nam niezmiernie miło poinformować, że po raz kolejny zostaliśmy docenieni w międzynarodowym rankingu The Legal 500 EMEA. Przyznane wyróżnienia świadczą nie tylko utrzymaniu wysokiego poziomu naszych usług, ale również o nieustannym rozwoju Kancelarii Traple Konarski Podrecki i Wspólnicy.

Jedną z naczelnych zasad ogólnego rozporządzenia o ochronie danych (RODO)^[1] jest tzw. zasada przejrzystości^[2], o której mowa w art. 5 ust. 1 lit. a) RODO. Zgodnie z tym przepisem dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą^[3]. Emanację tej zasady stanowią w szczególności normy zawarte w art. 13 i 14 RODO, dotyczące realizacji obowiązków informacyjnych wobec osób, których dotyczą dane. W przepisach tych znajduje się zakres informacji, jakie administrator danych jest zobligowany przekazać osobie, której dane dotyczą, w związku z rozpoczęciem przetwarzania jej danych osobowych.

Dla administratorów danych szczególnie problematyczne wydają się te sytuacje, w których dane nie są zbierane bezpośrednio od osoby, której dotyczą, lecz z innego źródła. Wiążą się one bowiem z koniecznością realizacji tzw. wtórnego obowiązku informacyjnego (art. 14 RODO).

W przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą (art. 13 RODO), realizacja pierwotnego obowiązku informacyjnego w większości przypadków nie wydaje się bardzo kłopotliwa – właściwą klauzulę zazwyczaj łatwo przekazać w momencie zbierania danych, np. na formularzu służącym do ich zebrania. Poza tym pewnym ułatwieniem dla administratorów danych może być także „warstwowy” sposób realizowania obowiązku informacyjnego (tj. przekazanie w pierwszej kolejności najbardziej istotnych informacji dotyczących przetwarzania, takich jak tożsamość administratora, cele przetwarzania i przysługujące osobie prawa, wraz z odesłaniem do miejsca, w którym znajdują się informacje szczegółowe), pozytywnie zaopiniowany przez Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych (znaną szerzej pod nazwą Grupa Robocza Artykułu 29 – dalej jako „GR”) w wytycznych dotyczących przejrzystości^[4]. Inaczej będzie jednak wyglądała sytuacja, w której dane pozyskiwane są z innego źródła, gdy administrator zmuszony jest do podjęcia dodatkowego wysiłku w celu skontaktowania się z osobą, której te dane dotyczą, i przekazania jej wymaganych przez art. 14 RODO informacji. W warunkach, w których administrator i tak musi skontaktować się z taką osobą (często wyłącznie w tym celu), wątpliwe może być stosowanie „warstwowych” klauzul informacyjnych. Ponadto trzeba mieć na uwadze, że – zgodnie z art. 14 ust. 3 lit. a) RODO – informacje, o których mowa w art. 14 ust. 1 i 2 RODO, powinny być przekazane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od pozyskania jej danych, co także stanowi pewnego rodzaju utrudnienie. Wypada także zauważyć, że niezależnie od literalnego brzmienia art. 14 ust. 3 lit. b) RODO, zgodnie z którym wtórny obowiązek informacyjny należy spełnić przy pierwszym kontakcie z osobą, której dotyczą dane, termin miesięczny nie może zostać przekroczony. Stanowisko takie prezentowane jest zarówno przez GR („jeżeli pierwsza komunikacja z osobą, której dane dotyczą, ma miejsce ponad miesiąc po pozyskaniu danych osobowych, wówczas artykuł 14 ust. 3 lit. a) nadal ma zastosowanie, tak że informacje z artykułu 14 muszą być podane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od ich pozyskania”)^[5], jak i przez przedstawicieli doktryny („należy skłonić się do wniosku, że w każdym przypadku obowiązek informacyjny powinien być wykonany najdalej w przeciągu miesiąca albo wcześniej przy pierwszej komunikacji, albo przy pierwszym ujawnieniu danych”^[6]). Osoba, której dane dotyczą, w większości przypadków może bowiem w ogóle nie zdawać sobie sprawy z tego, że jej dane osobowe zostały udostępnione innemu podmiotowi oraz jakie prawa przysługują jej w związku z przetwarzaniem jej danych osobowych. Już w poprzednim stanie prawnym, tj. na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., realizacja wtórnego obowiązku informacyjnego sprawiała wiele kłopotów administratorom danych. Trudno oczekiwać, że sytuacja ta istotnie się teraz zmieni. Tym bardziej należy więc przeanalizować wszystkie przypadki, w których przepisy RODO dopuszczają możliwość wyłączenia wtórnego obowiązku informacyjnego, gdyż w tym akurat zakresie przepisy uległy zmianie.

Z uwagi na szczególną specyfikę sytuacji, w których dane osoby pozyskiwane są ze źródeł innych niż ta właśnie osoba, w przepisach trafnie przyjęto, że prawo tej osoby do uzyskania informacji o przetwarzaniu jej danych osobowych nie ma charakteru absolutnego. W praktyce mogą zaistnieć różnego rodzaju okoliczności, w których wtórny obowiązek informacyjny będzie wyłączony. Kwestie te uregulowano w art. 14 ust. 5 RODO.

Każdy administrator danych, który pozyskuje dane ze źródła innego niż osoba, której te dane dotyczą, powinien zatem starannie rozważyć, czy w jego przypadku nie znajdzie zastosowania któreś z wyłączeń wskazanych w tym przepisie. Warto także zauważyć, że niektóre wyłączenia będą miały charakter całkowity, co oznacza, że administrator w żadnym razie nie będzie mógł udzielić informacji wskazanych w art. 14 ust. 1 i 2 RODO z własnej inicjatywy (w szczególności w przypadkach, w których informacje objęte są niektórymi tajemnicami zawodowymi), inne zaś – charakter częściowy, co oznacza, że administrator, stwierdziwszy, że spełniona została określona przesłanka wyłączająca obowiązek informacyjny, może uznać, że z uwagi na możliwość zastosowania wyłączenia nie będzie go spełniał, nawet jeśli w niektórych przypadkach byłoby to technicznie możliwe (gdyż np. osoba dysponuje już stosownymi informacjami lub udzielenie informacji wymagałoby niewspółmiernie dużego wysiłku). W takim przypadku osoba, której dotyczą dane, nadal jest jednak uprawniona do uzyskania informacji związanych z przetwarzaniem jej danych osobowych, a w przypadku wyłączenia, o którym mowa w art. 14 ust. 5 lit. b), może się z nimi zapoznać w inny sposób (np. na stronie internetowej).

RODO przewiduje aż cztery wyłączenia, z których każde ma charakter niezależny i powinno być traktowane osobno.

• Osoba, której dotyczą dane, dysponuje już wszystkimi informacjami, które powinien jej przekazać administrator.

Wyłączenie to (podobnie jak wyłączenie wynikające z art. 13 ust. 4 RODO) opiera się na założeniu, że osobie, która posiada już wszystkie informacje, jakie powinien jej przekazać administrator, nie trzeba ich dostarczać ponownie.

Wydaje się, że praktyczne znaczenie tego wyłączenia w przypadku wtórnego obowiązku informacyjnego będzie raczej niewielkie. Po pierwsze, osoba, której dotyczą dane, musiałaby faktycznie posiadać wszystkie informacje, o których mowa w art. 14 ust. 1 i 2 RODO, aby obowiązek był wyłączony w całości. Po drugie, ciężar udowodnienia, że osoba ta dysponuje wszystkimi informacjami, o których mowa powyżej, zgodnie z zasadą rozliczalności spoczywa na administratorze danych. W praktyce trudno zatem wyobrazić sobie sytuacje, w których taki obowiązek można skutecznie w całości wyłączyć, a administrator będzie w stanie wykazać, że osoba dysponuje wszystkimi stosownymi informacjami. Poza tym w praktyce niejednokrotnie mogą zaistnieć sytuacje, w których administrator danych posiada już pewne informacje na temat konkretnej osoby fizycznej, otrzymane bezpośrednio od niej, jednak następnie pozyskuje na jej temat dane (w tym samym lub w innym celu) z innego źródła^[7]. Jeśli osoba ta nie jest tego świadoma (tj. nie przekazano jej dotychczas wszystkich informacji wymaganych na podstawie art. 14 RODO), należałoby uznać, że zachodzi konieczność realizacji wtórnego obowiązku informacyjnego także w zakresie odnoszącym się do przetwarzania danych dodatkowych (choćby z uwagi na wymóg przekazania informacji o źródle danych).

• Brak możliwości realizacji obowiązku informacyjnego lub niewspółmiernie duży wysiłek po stronie administratora danych.

Z praktycznego punktu widzenia najbardziej użyteczne dla administratorów danych może być wyłączenie, o którym mowa w art. 14 ust. 5 lit. b) RODO.

Zgodnie z tym przepisem wtórny obowiązek informacyjny jest wyłączony, gdy „udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 [RODO], lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu [art. 14 RODO], może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie”.

Należy zwrócić uwagę, że z cytowanego przepisu wynika, iż wyjątek ten znajduje zastosowanie przede wszystkim w przypadkach przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. W żadnym razie nie można jednak odrzucić całkowicie możliwości powołania się na ten wyjątek w innych sytuacjach, wskazany katalog przykładów ma bowiem charakter otwarty. Niemniej jednak ocena, czy zachodzi „niewspółmiernie duży wysiłek” powinna być dokonywana in concreto – w odniesieniu do konkretnego administratora danych i konkretnego procesu przetwarzania danych osobowych.

Wydaje się, że we wszystkich sytuacjach, w których administrator nie posiada bezpośrednich danych kontaktowych osoby fizycznej, której dane pozyskał z innego źródła, zasadne jest przyjęcie, że realizacja wtórnego obowiązku informacyjnego nie jest możliwa. Wyłączenie wtórnego obowiązku informacyjnego wydaje się w takich przypadkach jak najbardziej trafne. Stanowisko takie – jeszcze w poprzednim stanie prawnym – zajął także ówczesny organ nadzorczy (GIODO), wskazując, że w razie braku danych kontaktowych osoby fizycznej wystarczającą formą spełnienia obowiązku informacyjnego w stosunku do osób, których dane dotyczą, może być umieszczenie stosownych informacji na stronie internetowej administratora danych^[8].

Jako przykład (zob. ww. decyzja GIODO) można podać pozyskanie (np. do celów prowadzonej działalności gospodarczej) danych osób reprezentujących spółki prawa handlowego (członków organów, prokurentów itp.), które znajdują się w KRS. Kwestią otwartą pozostaje, na ile takie dane w ogóle będą stanowić dane osobowe podlegające pod reżim RODO, a na ile dane te można uznać za dane kontaktowe osób prawnych, o których mowa w motywie 14 preambuły RODO, a tym samym potencjalnie w całości wyłączyć stosowanie RODO. W tym zakresie pomocne byłoby z pewnością zajęcie stanowiska przez organ nadzorczy (PUODO). Niezależnie od powyższego należy jednak z całą pewnością stwierdzić, że w przypadku pozyskania danych osoby reprezentującej spółkę z rejestru przedsiębiorców KRS nie posiadamy danych kontaktowych takiej osoby, a jedynie dane kontaktowe spółki. Nie jest zatem możliwe spełnienie obowiązku informacyjnego względem osoby fizycznej, której takie dane dotyczą. Powyższe może dotyczyć także innych przypadków, w których administrator danych nie posiada bezpośrednich danych kontaktowych osoby fizycznej, przez co realizacja wtórnego obowiązku informacyjnego nie jest możliwa.

Warto mieć przy tym na uwadze, że zgodnie z zasadą minimalizacji danych administrator nie może przetwarzać więcej danych, niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 5 ust. 1 lit. c) RODO). W tym duchu należy także odczytywać motyw 57 preambuły RODO: „jeżeli dane osobowe przetwarzane przez administratora nie pozwalają mu zidentyfikować osoby fizycznej, nie powinien on mieć obowiązku uzyskania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do przepisów niniejszego rozporządzenia”. Per analogiam w przypadku gdy administrator nie posiada danych kontaktowych osoby fizycznej, nie tylko nie ma on żadnego obowiązku, ale wręcz nie powinien pozyskiwać dodatkowych danych tylko w celu realizacji obowiązku informacyjnego.

W praktyce występować będą także sytuacje, w których administrator danych posiada dane kontaktowe danej osoby fizycznej, jednak można przyjąć, że zachodzi przesłanka niewspółmiernie dużego wysiłku przy jego realizacji (tzw. nadmierna uciążliwość),  a obowiązek może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania, wobec czego powinien być on wyłączony. Przykładowo: banki niejednokrotnie będą przetwarzały dane kontaktowe odbiorcy przelewu (imię i nazwisko oraz adres), a zatem będą miały (przynajmniej teoretycznie) możliwość realizacji wtórnego obowiązku informacyjnego względem tej kategorii osób. Należy przyjąć, że odbiorca przelewu, co do zasady, nie posiada wszystkich informacji, o których mowa w art. 14 ust. 1 i 2 RODO (chociażby tych, które dotyczą celów czy podstaw prawnych przetwarzania jego danych), przy czym trudno wobec niego zastosować także wyłączenie realizacji obowiązku informacyjnego z uwagi na tajemnicę bankową (jako beneficjenta tej tajemnicy, o czym poniżej). Niemniej jednak w praktyce nie sposób wyobrazić sobie skuteczne realizowanie przez bank wtórnego obowiązku informacyjnego wobec tysięcy osób, których dane pozyskuje od swoich klientów na okoliczność składanych dyspozycji przelewów. Jedynym rozsądnym rozwiązaniem w takiej sytuacji wydaje się więc wyłączenie wtórnego obowiązku informacyjnego właśnie z uwagi na nadmierną uciążliwość, mimo że dane nie są przetwarzane do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych ani do celów statystycznych.

Niewątpliwie warto rozważyć zastosowanie wyłączeń z art. 14 ust. 5 lit. b) RODO także w innych przypadkach, w których realizacja obowiązku informacyjnego byłaby (przynajmniej teoretycznie) technicznie możliwa, jednak z przyczyn związanych z nadmierną uciążliwością nie jest zasadna. Jako przykład może posłużyć pozyskiwanie danych kontaktowych przedsiębiorców, pracowników lub współpracowników przedsiębiorców, w sytuacji gdy przetwarzany jest bardzo ograniczony zakres tzw. danych wizytówkowych (służbowych), takich jak imię i nazwisko, stanowisko, służbowy adres e-mail czy służbowy numer telefonu. Bezpośrednia realizacja wtórnego obowiązku informacyjnego w normalnych kontaktach biznesowych (jakkolwiek niekiedy praktykowana) nie tylko wydaje się w takich sytuacjach sztuczna, ale wręcz utrudnia zwyczajne kontakty biznesowe w obrocie gospodarczym, gdzie firmy często udostępniają dane kontaktowe swoich pracowników lub współpracowników w umowach, ofertach, zapytaniach itp. Rozsyłanie ogromnych ilości e-maili zawierających klauzule informacyjne czy to w treści głównej, czy to w nadmiernie rozbudowanej stopce wiadomości należy uznać za uciążliwe nie tylko dla nadawców, ale przede wszystkim dla odbiorców takich komunikatów.

Warto mieć także na uwadze, że w przypadku skorzystania z tego wyłączenia administrator jest zobowiązany podjąć odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnić informacje publicznie (np. poprzez zamieszczenie klauzuli informacyjnej na stronie internetowej).

• Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą

Wyłączenie, o którym mowa w art. 14 ust. 5 lit. c) RODO, może powodować spore wątpliwości interpretacyjne (podobnie jak wyłączenie, o którym mowa w art. 14 ust. 5 lit. b) RODO). O ile stosunkowo łatwo stwierdzić, że w niektórych sytuacjach pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem Unii Europejskiej lub prawem państwa członkowskiego, o tyle powstaje pytanie, co należy rozumieć przez „odpowiednie środki chroniące prawnie uzasadnione interesy osób, których dotyczą dane”. Wydaje się jednak, że postulat dotyczący konieczności zapewnienia „odpowiednich środków”, o których mowa powyżej, powinien być adresowany w pierwszej kolejności do prawodawcy. Trudno bowiem oczekiwać, aby – przykładowo – administratorzy danych zobowiązani na mocy stosownych przepisów do przetwarzania (pozyskiwania lub ujawniania) danych osobowych mieli ponosić negatywne konsekwencje niedoskonałości tych przepisów czy zaniedbań po stronie prawodawcy. Zasadne wydaje się zatem przyjęcie, że wyłączenie wtórnego obowiązku informacyjnego powinno znaleźć zastosowanie we wszystkich przypadkach, w których przepisy obligują podmioty (nie tylko publiczne) do pozyskiwania określonych danych osobowych nie od osoby, której dane dotyczą, lub ujawniania tych danych. Trudno jednak stwierdzić, czy taki punkt widzenia podzieli organ nadzorczy.

Jednocześnie warto zauważyć, że w poprzednio obowiązującym stanie prawnym przepisy niekiedy przewidywały całkowite wyłączenie wtórnego obowiązku informacyjnego (por. art. 25 ust. 1 ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.). Jako przykład można podać art. 41 ust. 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (który prawdopodobnie zostanie niebawem uchylony).

W obecnej wersji projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679[^9] takie wyłączenie przewidziano wyłącznie w ograniczonym zakresie w art. 7 ust. 4 Ustawy z dnia 25 lutego 2016 r. o ponownym wykorzystaniu informacji sektora publicznego^[10].

• Tajemnice zawodowe

Ostatnie z wyłączeń określonych w RODO związane jest z koniecznością zapewnienia poufności danych osobowych z uwagi na zapisany w prawie Unii lub w prawie państwa członkowskiego obowiązek zachowania tajemnicy zawodowej, w tym z uwagi na ustawowy obowiązek zachowania tajemnicy. Z całą pewnością będzie ono dotyczyć osób zawodowo świadczących usługi prawne, takich jak adwokaci czy radcowie prawni (z uwagi na tajemnicę adwokacką i radcowską, o których mowa odpowiednio w art. 6 ustawy Prawo o adwokaturze^[11] i art. 3 ustawy o radcach prawnych^[12]). Przepis ten może oczywiście znaleźć zastosowanie m.in. w odniesieniu do osób świadczących usługi detektywistyczne (z uwagi na art. 12 ust. 1 ustawy o usługach detektywistycznych^[13]) czy też w wszędzie tam, gdzie określone przepisy wprowadzają obowiązek zachowania tajemnicy zawodowej, jak np. tajemnica dotycząca postępowania przygotowawczego, określona w art. 102 par. 1 ustawy Prawo o prokuraturze^[14].

Należy mieć jednak na uwadze, że w przypadku niektórych tajemnic zawodowych wyłączenie, o którym mowa w art. 14 ust 5 lit. d) RODO, nie znajdzie zastosowania wobec wszystkich osób, których dotyczą dane. W niektórych sytuacjach osobę, której dane dotyczą, należy bowiem traktować jako beneficjenta tajemnicy zawodowej, a tym samym osobę uprawnioną do uzyskania informacji na własny temat. Przykładowo – zgodnie z art. 104 ust. 3 ustawy Prawo bankowe^[15] – banku nie obowiązuje, z zastrzeżeniem ust. 4 i 4a, zachowanie tajemnicy bankowej wobec osoby, której dotyczą informacje objęte tajemnicą (np. osoby będącej odbiorcą przelewu bankowego).

Podobnie ma się rzecz w przypadku tajemnicy ubezpieczeniowej – art. 35 ust. 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (dalej jako „u.d.u.r.”)^[16] wyłącza tajemnicę ubezpieczeniową wobec określonych kategorii podmiotów, w tym „ubezpieczającego, ubezpieczonego, a w przypadku zgłoszenia wystąpienia zdarzenia losowego, z którym umowa wiąże odpowiedzialność zakładu ubezpieczeń – także uprawnionego z umowy ubezpieczenia” (art. 35 ust. 2 pkt 20) u.d.u.r.). Wydaje się zatem, że wobec niektórych kategorii osób (w szczególności ubezpieczonego) nie ma możliwości wyłączenia wtórnego obowiązku informacyjnego z uwagi na tajemnicę ubezpieczeniową. Na wniosek ubezpieczonego dane objęte tajemnicą ubezpieczeniową mogą być mu ujawnione, tym samym nie sposób zastosować w stosunku do niego wyłączenia, o którym mowa w art. 14 ust. 5 lit. d) RODO.

^[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1).

^[2] Wszystkie wyróżnienia w tekście, w tym także w obrębie cytatów, pochodzą od autora.

^[3] Zob. Grupa Robocza Artykułu 29 ds. Ochrony Danych, „Wytyczne dotyczące przejrzystości na mocy rozporządzenia 2016/679”,  https://uodo.gov.pl/pl/10/434, dostęp: 16.11.2018.

^[4] Tamże.

^[5] Tamże.

^[6] Byrski J., Outsourcing w działalności dostawców usług płatniczych, CH Beck, Warszawa 2018, s. 390.

^[7] Przykładem może być pozyskiwanie danych klienta wnioskującego o kredyt przez bank z Biura Informacji Kredytowej w celu oceny zdolności kredytowej kredytobiorcy.

^[8] Zob.: Decyzja GIODO z dnia 12 lipca 2016 r., DIS/DEC-587/16/62309.

^[9] Projekt z 22 października 2018 r. Zob. https://legislacja.rcl.gov.pl/projekt/12302951.

^[10] Tekst jedn.: Dz. U. z 2018 r., poz. 1243 ze zm.

^[11] Ustawa z dnia 26 maja 1982 r. Prawo o adwokaturze (tekst jedn.: Dz. U. z 2018 r., poz. 1184 ze zm.).

^[12] Ustawa z dnia 6 lipca 1982 r. o radcach prawnych (tekst jedn.: Dz. U. z 2018 r., poz. 2115).

^[13] Ustawa z dnia 6 lipca 2001 r. o usługach detektywistycznych (tekst jedn.: Dz. U. z 2017 r., poz. 556 ze zm.).

^[14] „Prokurator jest obowiązany zachować w tajemnicy okoliczności sprawy, o których w postępowaniu przygotowawczym, a także poza jawną rozprawą sądową, powziął wiadomość ze względu na swoje stanowisko prokuratora”.

^[15] Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jedn.: Dz. U. z 2017 r., poz. 1876 ze zm.).

^[16] Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (tekst jedn.: Dz. U. z 2018 r., poz. 999 ze zm.).

Ministerstwo Sprawiedliwości przedstawiło nowy projekt zmian w ustawie o zwalczaniu nieuczciwej konkurencji (dalej jako „Projekt”), będących implementacją dyrektywy UE nr 2016/943 w sprawie ochrony niejawnego know–how i niejawnych informacji handlowych (dalej jako „Dyrektywa”)^[1]. Regulacja ta jest niezwykle istotna, gdyż w zasadzie każdy przedsiębiorca posiada informacje, które mogą stanowić tajemnice przedsiębiorstwa – choć niestety nie każdy podmiot rynkowy ma tego świadomość i podejmuje odpowiednie działania, by informacje te chronić. Skuteczna ochrona nie jest zaś możliwa bez znajomości obowiązujących przepisów. Dlatego też poniżej omówiono planowane zmiany w regulacjach. Na wstępie warto zaznaczyć, że komentowany Projekt jest już drugą propozycją przedstawioną w tym zakresie przez Ministerstwo i uwzględnia część uwag zgłoszonych w toku konsultacji społecznych. Biorąc to pod uwagę, można zakładać, że Projekt najprawdopodobniej trafi do Sejmu w obecnym kształcie i że istnieją duże szanse na jego uchwalenie.

Co nowego przynosi projekt nowelizacji

Projekt wprowadza zmiany przede wszystkim w trzech ważnych dla ochrony tajemnicy przedsiębiorstwa obszarach:

I. Po pierwsze, zmodyfikowana ma zostać dotychczasowa definicja tajemnicy przedsiębiorstwa. Zgodnie z jej nowym brzmieniem (zawartym w art. 11 ust. 2 Projektu) „przez tajemnicę przedsiębiorstwa rozumie się informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów, nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności”.

Zmiana w tym zakresie jest kluczowa dla całego systemu ochrony tajemnicy przedsiębiorstwa, jako że to właśnie na definicji – jako na fundamencie – system ten się opiera. Jej modyfikacja (a także jej „przeniesienie” z art. 11 ust. 4 obowiązującej ustawy o zwalczaniu nieuczciwej konkurencji  do art. 11 ust. 2) powoduje konieczność weryfikacji zarówno dotychczas zawartych umów, jak i wzorów umów (klauzul poufności, pracowniczych regulaminów ochrony know–how itp.), jako że co do zasady umowy te odwołują się do obowiązującej definicji ustawowej. (Szerzej na temat skutków oraz wagi zmiany definicji tajemnicy przedsiębiorstwa zobacz tutaj).

II. Po drugie, Projekt wprowadza – za implementowaną Dyrektywą – wyjątki od ochrony tajemnicy przedsiębiorstwa. Wyjątki te zasadniczo nie są obecne w obowiązującej ustawie. Mają one natomiast duże znaczenie dla zakresu ochrony i powinny być uwzględnione na etapie kształtowania strategii ochrony tajemnicy przedsiębiorstwa. Wyjątki rodzą bowiem ryzyka prawne, że nawet w sytuacji odpowiedniego zabezpieczenia umownego tajemnicy przedsiębiorstwa w relacjach z pracownikiem, kontrahentem lub innym podmiotem może dojść do ujawnienia tej tajemnicy bez naruszenia prawa. Takie zdarzenie nie będzie traktowane przez ustawę jako bezprawne, jeśli nastąpiło:

• w celu ochrony uzasadnionego interesu chronionego prawem lub
• w ramach korzystania ze swobody wypowiedzi lub w celu ujawnienia nieprawidłowości, uchybienia, działania z naruszeniem prawa dla ochrony interesu publicznego (wyjątek dotyczący ochrony tzw. sygnalisty czy whistleblowera), lub
• wobec przedstawicieli pracowników w związku z pełnieniem przez nich funkcji na podstawie przepisów prawa i było niezbędne dla prawidłowego wykonywania tych funkcji.

Można zauważyć, że ryzyko wynikające z powyższych wyjątków polega również na tym, iż zawierają one wiele przesłanek ogólnych, których interpretacja może się ukształtować dopiero w przyszłości.

III. Po trzecie, Projekt implementuje nowe roszczenia przysługujące w wypadku naruszenia tajemnicy przedsiębiorstwa. Za najistotniejsze z nich należy uznać nieobecne dotychczas w ustawie tzw. ryczałtowe odszkodowanie za naruszenie tajemnicy przedsiębiorstwa. Zgodnie z proponowanym art. 18 ust. 5 Projektu w razie dokonania czynu nieuczciwej konkurencji polegającego na naruszeniu tajemnicy przedsiębiorstwa uprawniony będzie mógł żądać, zamiast odszkodowania na zasadach ogólnych, „naprawienia szkody przez zapłatę sumy pieniężnej w wysokości odpowiadającej wynagrodzeniu, które w chwili jego dochodzenia byłoby należne tytułem udzielenia przez uprawnionego zgody na korzystanie z informacji stanowiących tajemnicę przedsiębiorstwa”. Brak tego rozwiązania był dotychczas istotnym utrudnieniem w dochodzeniu roszczeń adekwatnych do naruszeń tajemnicy przedsiębiorstwa, które miały miejsce.

Jakie mogą być skutki proponowanych zmian

Powołane zmiany z jednej strony stworzą potrzebę audytu dotychczas zawartych umów oraz modyfikacji wzorów umów stosowanych przez przedsiębiorców, a z drugiej strony przełożą się na przyszłe postępowania sądowe oraz roszczenia, których będzie mógł dochodzić podmiot uprawniony.

W Projekcie zawarta jest jeszcze jedna zmiana, która może mieć ogromne znaczenie dla praktyki obrotu. Chodzi o usunięcie dotychczasowego art. 11 ust. 2 u.z.n.k., przewidującego  odpowiedzialność za naruszenie tajemnicy przedsiębiorstwa po stronie pracownika lub współpracownika, który na mocy tego przepisu był zobowiązany do przestrzegania zakazu ujawnienia, wykorzystania lub przekazania informacji stanowiących tajemnicę przedsiębiorstwa przez okres trzech lat od dnia ustania stosunku pracy lub innego stosunku prawnego, na podstawie którego świadczył pracę na rzecz przedsiębiorcy. Nie uwzględniając tego przepisu w Projekcie, Projektodawca pominął, że art. 11 ust. 2 u.z.n.k. wskazuje jednoznacznie, iż odpowiedzialność za czyn nieuczciwej konkurencji w postaci naruszenia tajemnicy przedsiębiorstwa „stosuje się również do osoby, która świadczyła pracę na podstawie stosunku pracy lub innego stosunku prawnego”. Analogicznych postanowień brak natomiast w przypadku innych czynów nieuczciwej konkurencji opisanych w ustawie o zwalczaniu nieuczciwej konkurencji (która poza naruszeniem tajemnicy przedsiębiorstwa reguluje szereg innych działań naruszających uczciwą konkurencję, np. nieuczciwą reklamę). W literaturze prezentowany jest na gruncie u.z.n.k. pogląd, zgodnie z którym – poza przepisami wyraźnie rozszerzającymi zakres odpowiedzialności, jak właśnie dotychczasowy art. 11 ust. 2 u.z.n.k. – czyny nieuczciwej konkurencji mogą być popełnione wyłącznie przez przedsiębiorcę^[2]. Pracownicy – co do zasady – nie mogą być zaś uznani za przedsiębiorców w rozumieniu ustawy. Tym samym, opierając się na wyżej wskazanym poglądzie, nieuwzględnienie w Projekcie art. 11 ust. 2 u.z.n.k. prowadziłoby do wyłączenia pracowników z kręgu podmiotów, którym można postawić zarzut naruszenia tajemnicy przedsiębiorstwa, a co za tym idzie – do istotnego zawężenia zakresu jej ochrony. Taka wykładnia jest trudna do pogodzenia z postulatem wykładni prounijnej (i treścią Dyrektywy), niemniej jednak może rodzić ryzyka w praktyce sądowej wykładni ustawy. Mając to na uwadze, przedsiębiorcy, którzy dotychczas opierali ochronę swoich tajemnic względem pracowników na art. 11 ust. 2 u.z.n.k., w związku ze zmianami powinni się zabezpieczyć poprzez wprowadzenie odpowiednich umów lub regulaminów zobowiązujących pracowników do przestrzegania i honorowania tajemnic przedsiębiorstwa.

Czy Ministerstwo pamiętało o wszystkich przepisach Dyrektywy

Na zakończenie należy również zaznaczyć, że Projekt w obecnym kształcie niestety nie implementuje wszystkich przepisów Dyrektywy. Implementowany nie został art. 9 Dyrektywy, zawierający bardzo ważną i pożądaną przez polskich przedsiębiorców regulację dotyczącą ochrony tajemnic przedsiębiorstwa przedstawianych jako dowody w postępowaniach sądowych.

Zagadnienia te zostały szerzej opisane tutaj.

Za implementację przepisów proceduralnych nie może zostać uznany proponowany w Projekcie nowy przepis karny, zgodnie z którym odpowiedzialności karnej podlega każdy, „kto ujawnia lub wykorzystuje informację stanowiącą tajemnicę przedsiębiorstwa, z którą zapoznał się, biorąc udział w rozprawie lub innych czynnościach postępowania sądowego dotyczącego roszczeń z tytułu czynu nieuczciwej konkurencji polegającego na naruszeniu tajemnicy przedsiębiorstwa albo poprzez dostęp do akt takiego postępowania, jeżeli w postępowaniu tym została wyłączona jawność rozprawy”. Podkreślano to w toku konsultacji społecznych, jednak projektodawca przedmiotowych uwag nie uwzględnił. Należy mieć nadzieję, że zmiany w tym zakresie zostaną wprowadzone w dalszym toku prac legislacyjnych, gdyż w przeciwnym razie Projekt będzie musiał być uznany za wadliwą implementację Dyrektywy.

Kiedy zmiany zostaną uchwalone

Termin implementacji Dyrektywy upływa 9 czerwca 2018 r. Należy zatem zakładać, że Projekt zostanie uchwalony przed tą datą.

^[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know–how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem (Dz. Urz. UE L 157 z 15.06.2016, s. 1).

^[2] Por. np. M. Szydło, Komentarz do art. 2 u.z.n.k. [w:] Ustawa o zwalczaniu nieuczciwej konkurencji. Komentarz, red. M. Sieradzka, M. Zdyb, System Informacji Prawnej LEX.

Definicja tajemnicy przedsiębiorstwa jest fundamentalnym elementem całego systemu ochrony informacji poufnych. Decyduje ona przede wszystkim o tym, które informacje i pod jakimi warunkami mogą być chronione. Uchwalona niedawno dyrektywa UE 2016/943, dotycząca tajemnic przedsiębiorstwa, zawiera natomiast definicję tego pojęcia brzmiącą inaczej niż aktualnie obowiązująca w polskim prawie. Rodzi się w związku z tym pytanie, czy ta różnica wywoła trzęsienie ziemi w dziedzinie ochrony know-how?

 ****

Na początku warto zadać pytanie, jakie skutki miałaby zmiana ustawowej definicji tajemnicy przedsiębiorstwa. Przede wszystkim mogłaby ona spowodować konieczność audytu wszystkich uprzednio zawartych umów, a także modyfikacji strategii ochrony informacji poufnych. Umowy dotyczące ochrony i transferu know-how, porozumienia NDA, regulaminy pracownicze czy też umowy badawczo-rozwojowe często odnoszą się bowiem – określając przedmiot ochrony – do ustawowej definicji tajemnicy przedsiębiorstwa. Strony opisują w takich kontraktach np. konkretne przesłanki ustawowe i dostosowują je do potrzeb i danej sytuacji. A zatem zmiana definicji i przesłanek będzie wymagała co najmniej refleksji nad tym, czy zakładana ochrona nadal obowiązuje, a także czy nie jest konieczna zmiana dotychczasowych porozumień i regulaminów obowiązujących w przedsiębiorstwie.

Znaczenie definicji tajemnicy przedsiębiorstwa

Definicja tajemnicy przedsiębiorstwa jest niezmiernie istotna dla każdego podmiotu rynkowego, który opiera swoją działalność o know-how i informacje poufne. Z jakich przyczyn? Po pierwsze, oczywiście dlatego że wyznacza ona zakres informacji, które są chronione z mocy prawa. Po drugie, pojęcie to pojawia się w każdym przepisie regulującym ochronę know-how w obecnym stanie prawnym – zarówno w charakteryzującym ochronę cywilnoprawną art. 11 ustawy o zwalczaniu nieuczciwej konkurencji (dalej jako „u.z.n.k.”)^[1], który mówi m.in., że „[c]zynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy”, jak i w przewidującym sankcje karne art. 23 u.z.n.k. Po trzecie, jak zasygnalizowano na wstępie, pojęcie to i jego obecna definicja często występują w umowach obowiązujących w obrocie. Warto bowiem mieć na uwadze, że w drodze umownej ochrony tajemnicy przedsiębiorstwa niektórym informacjom strony przyznają ochronę równą ustawowej, choć mogłaby ona być wątpliwa na podstawie samego brzmienia legalnej definicji.

Tym samym nie można myśleć o skutecznej ochronie know-how i informacji poufnych bez oparcia jej o ustawową definicję tajemnicy przedsiębiorstwa. O fundamentalnym charakterze definicji tajemnicy przedsiębiorstwa świadczy to, że na gruncie dyrektywy nr 2016/943 (dalej jako „Dyrektywa”)^[2] z pojęcia tajemnicy przedsiębiorstwa uczyniono podstawowy element regulacji, od którego uzależniony jest zarówno zakres ochrony know-how, jak i sankcje przysługujące uprawnionym.

Różnice definicyjne między ustawą o zwalczaniu nieuczciwej konkurencji a Dyrektywą

Źródłem analizowanego problemu są rozbieżności między obowiązującą regulacją ochrony tajemnicy przedsiębiorstwa a przepisami Dyrektywy. By te różnice lepiej dostrzec, aktualną definicję tajemnicy przedsiębiorstwa, zawartą w art. 11 ust. 4 u.z.n.k., warto podzielić na trzy kluczowe części – przez tajemnicę tę rozumieć należy:

• nieujawnione do wiadomości publicznej
• informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą,
• co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności .

Definicję zawartą w Dyrektywie sformułowano odmiennie i stąd pojawia się pytanie, czy w związku z implementacją Dyrektywy konieczna będzie zmiana definicji tajemnicy przedsiębiorstwa w u.z.n.k. Zgodnie z art. 2 pkt 1 Dyrektywy „«tajemnica przedsiębiorstwa» oznacza informacje, które spełniają wszystkie następujące wymogi:

1. są poufne w tym sensie, że jako całość lub w szczególnym zestawie i zbiorze ich elementów nie są ogólnie znane lub łatwo dostępne dla osób z kręgów, które zwykle zajmują się tym rodzajem informacji;
2. mają wartość handlową dlatego, że są objęte tajemnicą;
3. poddane zostały przez osobę, która zgodnie z prawem sprawuje nad nimi kontrolę, rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich w tajemnicy”.

Choć widoczne są elementy zbieżne w obu definicjach, to jednak gdy próbuje się odpowiedzieć na pytanie, czy ta dotychczasowa jest wystarczająca, na pierwszy plan wychodzą różnice. Można wskazać dwie podstawowe:

• Po pierwsze, z obecnie obowiązującej definicji nie wynika jednoznacznie, że tajemnicą przedsiębiorstwa może być określony, szczególny zestaw danych, które jako taki zbiór nie są ogólnie znane lub łatwo dostępne. Chodzi tutaj o sytuację, gdy poszczególne informacje są szerzej dostępne, ale jednocześnie są częścią unikatowego zbioru, który jako całość stanowi know-how wyłącznie jednego „właściciela”. Przykładowo publicznie dostępne i regularnie publikowane dane o sprzedaży konkretnego tygodnika lub innego czasopisma nie mogą być objęte ochroną. Jednak gdy te informacje zestawi się z posiadanymi przez wydawcę danymi na temat nakładów na promocję tytułu i kosztów utrzymania redakcji, powstanie zestaw (zbiór) informacji poufnych, które umożliwiają analitykę opłacalności i wzajemnego wpływu poszczególnych czynników, a przez to będą się cechowały istotną wartością gospodarczą. Innym przykładem może być cena produktu dostępnego w sklepie, która – co oczywiste – jest informacją publicznie dostępną. Połączenie tej informacji, dostępnej każdemu klientowi, z poufnymi danymi przedsiębiorstwa, które wpływają na politykę kształtowania cen, może natomiast skutkować powstaniem zbioru chronionego.
• Po drugie, można stwierdzić różnicę pomiędzy istniejącym obecnie wymogiem, zgodnie z którym, aby tajemnica była chroniona, przedsiębiorca musi podjąć jedynie „niezbędne działania w celu zachowania ich poufności”, a obowiązkiem podjęcia działań „rozsądny[ch], w danych okolicznościach”, o których mówi Dyrektywa. Przesłanka z Dyrektywy wydaje się bardziej rygorystyczna. Trudno jest zakładać, aby przy tak sformułowanym wymogu jakikolwiek sąd mógł orzec, że do realizacji tej przesłanki wystarczy samo poinformowanie pracownika o poufnym charakterze informacji (zob. np. wyrok Sądu Najwyższego z dnia 6 czerwca 2003 r., sygn. akt IV CKN 211/01).

Wydaje się, że z uwagi na wyżej wskazane okoliczności zmiana legislacyjna w zakresie definicji tajemnicy przedsiębiorstwa jest wskazana w celu uzyskania zgodności z przepisami Dyrektywy. Wprawdzie można tutaj przywołać wiążącą Polskę definicję z porozumienia TRIPS, która jest zbliżona do tej zawartej w Dyrektywie, niemniej jednak w oparciu o tę definicję nie był tworzony cały system ochrony, jak ma to miejsce w Dyrektywie. Z tej przyczyny uzasadnione jest obecnie zmodyfikowanie definicji tajemnicy przedsiębiorstwa. Zmiana definicji ustawowej będzie natomiast rodzić opisane we wstępie istotne skutki dla przedsiębiorców korzystających z know-how.

Na zakończenie należy dodać, że powyższa zmiana nie będzie jedyną konsekwencją uchwalenia Dyrektywy w zakresie zasad i zakresu ochrony know-how. Przepisy Dyrektywy powinny być implementowane do polskiego ustawodawstwa przed 9 czerwca 2018 r.

^[1] Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jedn.: Dz. U. z 2003 r. nr 153, poz. 1503 ze zm.).

^[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem (Dz. Urz. UE L 157 z 15.06.2016, s. 1).

Modele ochrony innowacji w przedsiębiorstwach według raportu unijnego urzędu własności intelektualnej (EUIPO) i wnioski z niego dla polskiego rynku.

****

Ochrona innowacyjnych rozwiązań w dużym uproszczeniu sprowadza się do odpowiedniego wyważenia ochrony płynącej z przepisów dotyczących tajemnicy przedsiębiorstwa (ang. trade secrets) oraz ochrony wynikającej z praw własności intelektualnej, w szczególności patentów. Z uwagi na duże zróżnicowanie unormowań prawnych dotyczących ochrony tajemnicy przedsiębiorstwa w poszczególnych państwach członkowskich Unii Europejskiej dotychczas model ochrony stosowany w ramach danego przedsiębiorstwa często był efektem konkretnej regulacji krajowej (co do zasady nie był to problem Polski ze względu na relatywnie rozbudowaną regulację ochrony informacji niejawnych). Sytuacja ta ulegnie zmianie na poziomie UE w rezultacie uchwalenia dyrektywy nr 2016/943 w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa), która ma prowadzić do harmonizacji prawa w zakresie ochrony tajemnicy przedsiębiorstwa. W przededniu implementacji tej dyrektywy Urząd Unii Europejskiej ds. Własności Intelektualnej (EUIPO) opublikował interesujący raport na temat modeli ochrony innowacyjnych rozwiązań rynkowych stosowanych w praktyce przez przedsiębiorstwa zarejestrowane w UE (Protecting innovation through trade secrets and patents: determinants for European Union firms – dalej jako: „Raport”[1]).

Założenia i ogólne wnioski z Raportu

Punkt wyjścia Raportu stanowią ankiety wypełnione przez blisko 200 tysięcy przedsiębiorstw działających w różnych państwach członkowskich. Informacje, które w nim zgromadzono i poddano analizie, pozwalają na wyciągnięcie wniosków odnośnie do innowacyjności przedsiębiorstw w poszczególnych krajach UE (w tym również w zestawieniu dużych przedsiębiorstw z MŚP), formuł ochrony innowacji stosowanych w tych przedsiębiorstwach, a także modeli ochrony innowacji stosowanych w poszczególnych branżach (sektorach rynku).

Na wstępie warto również zwrócić uwagę, że Raport i zawarte w nim analizy opierają się na szerokim rozumieniu pojęcia innowacji. Przez innowację rozumie się wdrożenie nowego lub znacząco udoskonalonego produktu (wyrobu lub usługi) lub procesu, nowej metody marketingowej lub nowej metody organizacyjnej w praktyce gospodarczej, miejscu pracy lub stosunkach z otoczeniem. Tym samym w analizie uwzględniane były zarówno innowacje produktowe, jak i innowacje procesowe, obejmujące np. organizację i sposób świadczenia danej usługi.

Pierwszym, bardzo ciekawym wnioskiem płynącym z zebranych danych jest to, że w ankietowanych przedsiębiorstwach, które wprowadziły w ostatnich latach swojej działalności innowacyjne rozwiązania (produktowe lub procesowe), to ochrona w oparciu o reżim tajemnicy przedsiębiorstwa była podstawowym instrumentem prawnym chroniącym innowacje. Na tajemnicy handlowej polega się w większym stopniu niż na patentach w większości firm, we wszystkich badanych sektorach gospodarki i we wszystkich państwach członkowskich. Tendencja do preferowania ochrony w oparciu o tajemnicę przedsiębiorstwa jest ponadto niezależna od wielkości firm i obserwuje się ją zarówno w większych przedsiębiorstwach (69,1% w porównaniu do 52,8% w przypadku patentów), jak i w MŚP (51,2% i 30,4% w przypadku patentów). Dotyczy to również przedsiębiorstw polskich, w przypadku których te narzędzia były wskazywane znacznie częściej jako stosowane w praktyce (tzn. w odniesieniu do blisko 50% firm) niż ochrona wynikająca z praw własności intelektualnej.

Ponadto z Raportu wynika, że:

• innowacyjne firmy opierają ochronę swoich produktów i rozwiązań – co do zasady – zarówno na tajemnicy przedsiębiorstwa, jak i na ochronie patentowej (stosując komplementarne formuły ochrony);
• stosowanie kumulacyjnej ochrony obejmującej zarówno tajemnice przedsiębiorstwa, jak i ochronę patentową jest szczególnie powszechne w firmach posiadających wewnętrzne działy badań i rozwoju (R&D) oraz w firmach przeznaczających duże nakłady na innowacje;
• tajemnice przedsiębiorstwa (samodzielnie lub w połączeniu z patentami) znajdują często zastosowanie w celu utrzymania lub zwiększenia konkurencyjności innowacji wprowadzonej przez spółki uczestniczące w otwartych praktykach innowacji, takich jak współpraca w zakresie badań, w szczególności z partnerami odległymi (spoza Europy);
• istnieje tendencja do preferowania ochrony płynącej z regulacji tajemnicy przedsiębiorstwa nad patentami na rynkach charakteryzujących się intensywną konkurencją cenową (w szczególności w sektorze usług IT);
• jednocześnie istnieje też tendencja do relatywnie wysokiego poziomu ochrony i do stosowania zarówno tajemnic przedsiębiorstwa, jak i patentów na rynkach o ostrej konkurencji w zakresie jakości (w szczególności na rynku farmaceutycznym, chemicznym oraz w motoryzacji);
• można także wskazać branże, w których poziom stosowanej ochrony (w oparciu zarówno o tajemnice przedsiębiorstwa, jak i o prawa własności intelektualnej) jest niski – dotyczy to m.in. branży odzieżowej.

W Raporcie znajduje się ponadto kilka wniosków, które wydają się oczywiste, jak choćby silniejsza tendencja do patentowania innowacji dotyczących produktów niż tych dotyczących usług.

Wnioski z Raportu dla polskich firm

Niezależnie od powyższych wniosków, analiza Raportu prowadzi również do kilku ciekawych informacji dotyczących polskich przedsiębiorstw. W szczególności uwagę zwraca to, że odsetek przedsiębiorstw, które wdrożyły w swej działalności innowacje w okresie poprzedzającym ankietę, był w Polsce zdecydowanie niższy niż średnia unijna – stanowił on niecałe 50% tej wartości (należy jednak zaznaczyć, że ankietę przeprowadzono w roku 2012, i można przypuszczać, że sytuacja ta uległa od tego czasu zmianie). Co istotne, polską średnią zaniżały małe i średnie przedsiębiorstwa, podczas gdy odsetek innowacji w dużych przedsiębiorstwach był zbliżony do średniej unijnej.

Podczas gdy odsetek innowacji w polskich przedsiębiorstwach był daleki od średniej unijnej, rozkład formuł ochrony tych innowacji był już bardziej zbliżony do przeciętnego dla całej UE. Blisko 50% polskich przedsiębiorców innowacyjnych opiera ochronę innowacji na tajemnicy przedsiębiorstwa (średnia UE wyniosła 52,3%), a ok. 25% na ochronie patentowej (średnia UE – 31,7%). Niezależnie od tego dane te wskazują, że istotna część polskich przedsiębiorstw innowacyjnych nadal nie stawia na ochronę prawną swoich osiągnięć rynkowych, co jest zastanawiające. Oczywiste jest bowiem, że innowacje pochłaniają określone (często istotne) nakłady związane z ich stworzeniem oraz wdrożeniem. Amortyzacja tych nakładów bez ochrony prawnej może natomiast okazać się bardzo utrudniona lub niemożliwa.

Kolejny płynący z Raportu wniosek dla polskiego rynku jest taki, że na bardziej rozwiniętych innowacyjnie rynkach UE powszechnie stosowanym modelem ochrony innowacji jest komplementarne stosowanie ochrony tajemnicy przedsiębiorstwa i praw wyłącznych (patentów i innych praw własności intelektualnej). Komplementarność ochrony dla jej pełnego wykorzystania wymaga natomiast zastanowienia i refleksji strategicznej, szczególnie gdy portfel innowacji w danym przedsiębiorstwie jest (lub docelowo ma być) rozbudowany. Wynika to przede wszystkim z faktu, że preferowana ochrona innowacji jako tajemnic przedsiębiorstwa nie jest samoistna i dla jej uzyskania i utrzymania trzeba przedsięwziąć odpowiednie kroki i stosować właściwe procedury. Zgodnie z art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej konkurencji[2] ochronie podlegają bowiem tylko te informacje poufne, „co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności”, w szczególności ograniczając i zabezpieczając dostęp do nich w drodze umów i regulaminów wewnętrznych, a także środków fizycznych, takich jak zabezpieczenia systemów IT, sejfy itp. Dlatego też należy pamiętać, że sama wola ustanowienia ochrony tajemnicy przedsiębiorstwa nie jest wystarczająca dla jej uzyskania. Powstaje zatem pytanie, czy wszystkim spośród licznych przedsiębiorców, którzy powołują się na ochronę swoich innowacyjnych rozwiązań płynącą z reżimu tajemnicy przedsiębiorstwa, taka ochrona przysługuje.

Duża rola ochrony tajemnicy przedsiębiorstwa wskazywana przez przedsiębiorców sprawia wreszcie, że ostateczny kształt implementacji dyrektywy UE nr 2016/943 dotyczącej tajemnic przedsiębiorstwa i niejawnego know-how, której termin upływa w połowie 2018 r., będzie niezwykle istotny dla rynku. Można również zastanowić się, czy w sektorach rynku, w których to jest możliwe, implementacja tej dyrektywy nie spowoduje dalszego wzmocnienia tendencji do preferowania ochrony za pośrednictwem przepisów o tajemnicy przedsiębiorstwa. Po implementacji dyrektywy we wszystkich państwach członkowskich – inaczej niż dotychczas – regulacje będą zbliżone w całej UE, co pozwoli ujednolicić procedury i ograniczyć koszty transakcyjne „obrotu” know-how.

^[1] Streszczenie Raportu w języku polskim dostępne jest na stronie: https://euipo.europa.eu/tunnel-web/secure/webdav/guest/document_library/observatory/documents/reports/Economics_and_Statistics_Trade_Secrets_and_Patents_Executive_Summary_pl.pdf.

^[2] Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jedn.: Dz. U. z 2003 r. nr 153, poz. 1503 ze zm.).

4 kwietnia 2017 r. Grupa Robocza przyjęła projekt wytycznych w zakresie oceny skutków dla ochrony danych osobowych (WP 248), która zostaje wprowadzona w art. 35 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1, dalej: RODO). Konsultacje publiczne nad projektem trwają do 23 maja 2017 r.

****

Jaki jest cel wydania wytycznych?

Od dnia 25 maja 2017 r. administrator przed rozpoczęciem przetwarzania danych osobowych zobowiązany będzie dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych (ang. Data Protection Impact Assessment – DPIA), jeżeli dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co wynika z art. 35 RODO. Przeprowadzenie oceny skutków nie jest obligatoryjne w każdym przypadku przetwarzania danych osobowych.

Wytyczne przestawione przez Grupę Roboczą Art. 29 mają na celu wyjaśnienie administratorom przepisów w tym zakresie, aby umożliwić im prowadzenie działalności zgodnie z prawem oraz uzyskanie pewności co do sytuacji, w których DPIA jest obowiązkowe. Jest to istotne, gdyż art. 35 ust.3 zawiera wyłącznie przykładowe niewyczerpujące wyliczenie sytuacji, w których ocena skutków dla ochrony danych jest obowiązkowa. Ponadto, brak przeprowadzenia DPIA, gdy jest to obowiązkowe (art. 35 ust. 1 i 3 RODO) lub też przeprowadzenie DPIA niewłaściwie (art. 35 ust. 2, 7 i 9 RODO) lub też nieprzeprowadzenie konsultacji z organem nadzorczym, gdy jest to wymagane (art. 36 ust. 3 lit. e RODO), zagrożone jest administracyjną karą pieniężną w wysokości do 10 mln Euro, a w przypadku przedsiębiorstw w wysokości do 2% całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Kiedy DPIA jest obowiązkowe?

Dokument zawiera wykaz kryteriów, które należy brać pod uwagę w celu sprawdzenia, czy ocena skutków jest wymagana w konkretnym przypadku. Jednocześnie Grupa Robocza Art. 29 zastrzega, że w przypadkach, gdy nie jest jednoznaczne, czy DPIA jest wymagane, rekomendowane jest jego przeprowadzenie, chociażby ze względu na to, że jest to narzędzie pomocne dla administratorów w celu zachowania zgodności z przepisami o ochronie danych osobowych.

Jak wynika z wyżej powołanego art. 35 ust. 1 RODO, DPIA jest wymagane, jeżeli przetwarzanie danych osobowych „może powodować wysokie ryzyko” naruszenia praw lub wolności osób fizycznych. Zgodnie z art. 35 ust. 3 RODO ocena skutków jest wymagana w szczególności w następujących przypadkach, które nie stanowią jednak katalogu zamkniętego:

1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Ponadto na podstawie art. 35 ust. 1, art. 35 ust. 3 lit. a-c), motywów 71, 75 oraz 91 preambuły RODO, Grupa Robocza art. 29 wskazała kryteria, które należy brać pod uwagę przy ocenie ryzyka dla naruszenia praw lub wolności osób fizycznych:

1. ocena i scoring, w tym profilowanie i przewidywanie, w szczególności dotyczące takich aspektów podmiotu danych jak świadczenie pracy, sytuacja ekonomiczna, zdrowie, osobiste preferencje, zainteresowania, wiarygodność, zachowanie, lokalizacja czy poruszanie się,
2. zautomatyzowane podejmowanie decyzji wywołujące skutki prawne lub wpływające na podmiot danych w podobny sposób (dalsze wyjaśnienia co do profilowania Grupa Robocza art. 29 zamieści w odrębnych wytycznych, które zostaną opublikowane w późniejszym terminie. Zagadnienie profilowania zostanie na pewno poruszone na blogu),
3. systematyczne monitorowanie mające na celu obserwowanie, monitorowanie lub kontrolowanie podmiotu danych, w tym systematyczne monitorowanie miejsc dostępnie publicznych,
4. przetwarzanie tzw. danych wrażliwych,
5. dane przetwarzane na dużą skalę,
6. dane osobowe podlegające łączeniu lub dopasowywaniu,
7. dane dotyczące wrażliwych podmiotów danych,
8. wykorzystanie do przetwarzania danych innowacyjnych rozwiązań technicznych lub organizacyjnych,
9. transfer danych poza granice Unii Europejskiej,
10. jeżeli przetwarzanie danych samo w sobie utrudnia podmiotom danych wykonywanie przysługujących im praw lub korzystanie z usługi lub z umowy.

Grupa Robocza art. 29 wskazuje, że im więcej kryteriów zostanie spełnionych, tym większe jest prawdopodobieństwo, że przetwarzanie danych przez administratora może powodować wysokie ryzyko naruszenia praw lub wolności podmiotu danych. Natomiast jeżeli administrator danych uważa, że przetwarzanie danych nie narusza praw i wolności, mimo że zostały spełnione określone kryteria, to powinien tę okoliczność dokładnie udokumentować.

Ponadto, zgodnie z treścią art. 35 ust. 4 RODO organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz operacji przetwarzania danych podlegających wymogowi dokonania oceny skutków dla ochrony danych. Dodatkowo, organ nadzorczy fakultatywnie może ustanowić i podać do publicznej wiadomości wykaz operacji przetwarzania danych niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. W praktyce okaże się, na ile wykazy te będą przydatne dla administratorów i podmiotów przetwarzających.

Grupa Robocza art. 29 rekomenduje, aby oceny skutków dla dotychczasowego przetwarzania danych osobowych dokonać przed majem 2018 r., mimo że formalnie wymóg ten będzie dotyczył operacji przetwarzania danych, które rozpoczęto po rozpoczęciu stosowania RODO po 25 maja 2018 r. W sytuacji, gdy w trakcie przetwarzania danych dojdzie do zmiany technologii, czy też celu przetwarzania wskazane jest powtórne przeprowadzenie DPIA, które pozwoli na zachowanie odpowiedniego poziomu ochrony danych osobowych w zmieniających się warunkach.

Jak przeprowadzić DPIA?

Po pierwsze DPIA powinno zostać przeprowadzone przez rozpoczęciem przetwarzania, już na etapie projektowania operacji przetwarzania danych, nawet jeżeli wszystkie planowane operacje nie są jeszcze znane. Administrator jest odpowiedzialny za wynik DPIA, ale może je zlecić zarówno podmiotowi w ramach organizacji, jak i podmiotowi zewnętrznemu. Jeżeli w danej organizacji powołano inspektora ochrony danych (DPO), to administrator zobowiązany jest się z nim skonsultować (art. 35 ust. 2 RODO). DPO natomiast jest zobowiązany do udzielania na żądanie zaleceń co do DPIA oraz następnie monitorowania ich wykonania (art. 39 ust. 1 lit. c RODO).

W przypadkach gdy przetwarzanie będzie przeprowadzane przez podmiot przetwarzający w całości lub części, powinien on brać udział w DPIA i udzielać koniecznych informacji. W stosownych przypadkach administrator zobowiązanych jest zasięgnąć opinii podmiotów danych lub też ich przedstawicieli w sprawie zamierzonego przetwarzania (art. 35 ust. 9 RODO).

Jaką metodą przeprowadzić DPIA?

DPIA powinno zawierać co najmniej (art. 35 ust. 7 RODO):

1. systematyczny opis planowanych operacji przetwarzania danych i celów przetwarzania,
2. ocenę niezbędności i proporcjonalności przetwarzania w stosunku do celów,
3. ocenę ryzyka naruszenia praw i wolności podmiotów danych,
4. środki planowane w celu zaradzenia ryzyku oraz wykazanie zgodności operacji przetwarzania danych z RODO.

Oceniając do celów DPIA skutki przetwarzania przez administratora lub podmiot przetwarzający uwzględnia się przestrzeganie przez taki podmiot zatwierdzonych kodeksów podstępowania z art. 40 RODO. RODO umożliwia administratorom elastyczność co do określenia formy DPIA, która będzie pasować do obecnych metod pracy. Grupa Robocza zachęca jednocześnie do tworzenia metod DPIA dla poszczególnych sektorów. Załącznik nr 1 do projektu wytycznych zawiera przykłady obecnie funkcjonujących DPIA, a załącznik nr 2 kryteria wymagane dla DPIA. Grupa Robocza wskazuje, że nie ma prawnego wymogu, aby wynik przeprowadzonego DPIA został opublikowany, lecz publikacja może pomóc w budowie zaufania do administratora, w szczególności gdy przetwarzanie są dane opinii publicznej, w tym przez władzę publiczną. Grupa podkreśla, że administrator może opublikować wyłącznie podsumowanie DPIA, a nie całość dokumentacji.

Kiedy administrator powinien skonsultować DPIA z organem nadzorczym?

Zgodnie z art. 36 ust. 1 RODO, jeżeli DPIA wykaże, że przetwarzanie spowodowałoby wysokie ryzyko dla praw i wolności osób, których dane dotyczą, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem tego przetwarzania administrator danych zobowiązany jest skonsultować się z organem nadzorczym.

Do kiedy trwają konsultacje publiczne nad projektem wytycznych?

Obecna wersja wytycznych nie jest ich tekstem ostatecznym. Uwagi do projektu wytycznych należy zgłaszać do 23 maja 2017 r. na adres JUST-ARTICLE29WP-SEC@ec.europa.eu lub presidenceg29@cnil.fr.

TSUE w wyroku z 9 marca 2017 r. uznał, że nie istnieje prawo do bycia zapomnianym w odniesieniu do danych osobowych zawartych w publicznych rejestrach spółek. Niemniej jednak, po upływie wystarczająco długiego czasu od rozwiązania danej spółki, państwa członkowskie mogą przewidzieć w wyjątkowych przypadkach ograniczenie dostępu osób trzecich do takich danych.

****

Stan faktyczny sprawy C-398/15 oraz pytania prejudycjalne

Wyrok TSUE w sprawie C-398/15 (Manni) wydany został na kanwie sporu włoskiego przedsiębiorcy, p. Salvatore Manniego, przeciwko włoskiej izbie handlowej w Lecce, prowadzącej rejestr spółek. Salvatore Manni twierdził, iż nie udawało mu się sprzedać wybudowanych przez niego nieruchomości, ponieważ z rejestru spółek wynikało, że był on w przeszłości zarządcą i likwidatorem innej spółki, której upadłość ogłoszono w 1992 r. i która została zlikwidowana w 2005 r.

W ramach wniesionego powództwa p. Manni podniósł, że jego dane osobowe zawarte w rejestrze spółek były przetwarzane przez spółkę wyspecjalizowaną w gromadzeniu i przetwarzaniu informacji gospodarczych i w ocenie ryzyka (dokonującej tzw. background checks), a ponadto pomimo złożonego w tym względzie wniosku izba handlowa w Lecce nie dokonała ich wykreślenia.

Wystąpił on do sądu w Lecce, aby ten nakazał rejestrowi usunięcie, anonimizację lub zablokowanie danych kojarzących go z upadłą spółką oraz zasądził odszkodowanie.

Sąd w Lecce przychylił się do wniosku p. Salvatore Manniego i nakazał anonimizację danych łączących pana Manniego z tamtą upadłością oraz zasądził odszkodowanie, twierdząc, że „wpisy łączące nazwisko osoby fizycznej z okresem nieprawidłowości w działaniu spółki (jak upadłość) nie mogą być wieczne w wypadku braku specjalnego interesu publicznego w ich przechowywaniu i rozpowszechnianiu” (pkt 28 wyroku).

Jednakże włoski sąd II instancji zwrócił się do TSUE z pytaniami prejudycjalnymi, sprowadzającymi się do rozstrzygnięcia kwestii czy dyrektywa w sprawie ochrony danych osób fizycznych (Dyrektywa 95/46), jak też dyrektywa w sprawie jawności dokumentów spółek (Dyrektywa 68/151) sprzeciwiają się temu, aby dowolna osoba mogła, beż żadnego ograniczenia czasowego, uzyskać dostęp do danych dotyczących osób fizycznych figurujących w rejestrze spółek.

Zastosowanie Dyrektywy 95/46

W pierwszej kolejności należy zauważyć, iż Trybunał zaznaczył, że jego rozważania nie dotyczą kwestii późniejszego przetwarzania spornych danych (w tym wypadku przez spółkę wyspecjalizowaną w dziedzinie „ratingu”), a jedynie możliwości udostępniania osobom trzecim takich danych ujawnionych w rejestrze (pkt 31 wyroku).

Dla wyjaśnienia wątpliwości oraz uporządkowania wywodu TSUE potwierdził, iż postanowienia Dyrektywy 95/46 znajdują w tym przypadku zastosowanie, gdyż dane p. Manniego ujawnione w rejestrze stanowiły dane osobowe (pkt 34 wyroku), a organ odpowiedzialny za prowadzenie tego rejestru jest „administratorem danych”, który “przetwarza dane osobowe” poprzez “wpisywanie i przechowywanie owych informacji w rejestrze, a także ujawnianie ich, w stosownym wypadku, na wniosek osób trzecich” (pkt 35 wyroku).

Zasady przetwarzania danych oraz kryteria legalności w kontekście zapewniania wysokiego poziomu ochrony podstawowych praw i wolności

TSUE zaznacza, iż celem Dyrektywy 95/46 jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a  w szczególności prawa do prywatności w zakresie przetwarzania danych osobowych. Ponadto, postanowienia tej Dyrektywy winny być interpretowane z punktu widzenia praw zagwarantowanych w Karcie Praw Podstawowych Unii Europejskiej, w tym przede wszystkim art. 7, czyli prawa do poszanowania życia prywatnego oraz art. 8, przewidującego prawo do ochrony danych osobowych.

Trybunał zaznacza, iż “z zastrzeżeniem dozwolonych na mocy art. 13 wskazanej dyrektywy [95/46 – przypis P.J.] ]odstępstw każda operacja przetwarzania danych osobowych musi być zgodna z jednej strony z wyrażonymi w art. 6 tej dyrektywy zasadami odnoszącymi się do charakteru danych, a z drugiej strony – z jednym z kryteriów legalności przetwarzania danych wymienionych w art. 7 owej dyrektywy” (pkt 41 wyroku oraz wskazane tam orzecznictwo).

Dokonując analizy legalności przetwarzania danych przez organ odpowiedzialny za prowadzenie rejestru, można wskazać, iż przetwarzanie to odpowiada trzem kryteriom, a mianowicie: (i) wykonywaniu zobowiązania prawnego; (ii) wykonywaniu władzy publicznej lub realizacji zadania wykonywanego w interesie publicznym; oraz (iii) potrzeb wynikających z uzasadnionych interesów administratora danych lub osób trzecich, którym dane są ujawniane.

Prawo do usunięcia czy prawo do sprzeciwu wobec przetwarzania danych

Dyrektywa 95/46 wymaga, aby dane osobowe były przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane. W wypadku niespełnienia ww. wymogu, państwa członkowskie zapewniają każdej osobie, której dane dotyczą, prawo do uzyskania od administratora danych, odpowiednio, sprostowania, usunięcia lub zablokowania spornych danych.

Dodatkowo, państwa członkowskie przyznają osobie, której dane dotyczą, w szczególności w przypadkach, o których mowa w art. 7 lit. e) i f) Dyrektywy 95/46, “w dowolnym czasie, z ważnych i uzasadnionych przyczyn wynikających z jej konkretnej sytuacji, prawo sprzeciwu wobec przetwarzania dotyczących jej danych, z zastrzeżeniem odmiennych postanowień ustawodawstwa krajowego” (pkt 47 wyroku).

TSUE ponadto wyjaśnia, iż wyważenie praw i interesów, którego należy dokonać w ramach zastosowania prawa sprzeciwu wobec przetwarzania danych, “umożliwia więc bardziej szczegółowe uwzględnienie wszystkich okoliczności konkretnej sytuacji osoby, której dane dotyczą. W przypadku uzasadnionego sprzeciwu przetwarzanie danych przez ich administratora nie może już obejmować tych danych.” (pkt 47 wyroku). Podobnie orzekł Trybunał w wyroku z dnia 13 maja 2014 r., w sprawie Google Spain i Google (C‑131/12), który to wyrok usankcjonował tzw. prawo do bycia zapomnianym.

Trybunał zwrócił także uwagę na niezwykle istotną rolę celu, w jakim dokonywane jest ujawnienie danych, będące przedmiotem sporu. Stwierdzono, iż “aby ustalić, czy państwa członkowskie mają obowiązek (…) ustanowić, dla osób fizycznych (…) prawo do domagania się od organu odpowiedzialnego za prowadzenie rejestru wykreślenia lub zablokowania, po upływie pewnego okresu, wpisanych w rejestrze danych osobowych, lub ograniczenia dostępu do tych danych, należy przede wszystkim zbadać, w jakim celu dane te zostały wpisane do rejestru” (pkt 48 wyroku).

Dokonując analizy Dyrektywy 68/151, TSUE zauważył, iż ma ona na celu przede wszystkim “ochronę interesów osób trzecich w stosunkach ze spółkami akcyjnymi i spółkami z ograniczoną odpowiedzialnością, gdyż jedyną gwarancją, jaką podmioty te oferują osobom trzecim, jest majątek spółki”, a osoby trzecie powinny mieć możliwość zapoznania się z podstawowymi   dokumentami spółki oraz danymi osób, które są uprawnione do nabywania praw i zaciągania zobowiązań w jej imieniu (pkt 49 wyroku). Powyższe ma zapewnić pewność obrotu, w szczególności w kontaktach międzynarodowych.

Ponadto, w wyroku zaznaczono, iż Dyrektywa 68/151 nie podejmuje kwestii konieczności ujawniania danych osobowych osób fizycznych po zaprzestaniu przez daną spółkę działalności  lub po jej likwidacji. Niemniej jednak, co zostało także dostrzeżone w opinii Rzecznika Generalnego w tej sprawie, “nie ma wątpliwości co do tego, że nawet po rozwiązaniu spółki dotyczące jej prawa i stosunki prawne mogą trwać nadal” (pkt 53 wyroku).

Podsumowując tę część rozważań Trybunał uznał, iż “ze względu na dużą liczbę możliwych sytuacji, w których mogą uczestniczyć podmioty z kilku państw członkowskich, oraz ze względu na zasygnalizowane przez Komisję znaczące rozbieżności w zakresie terminów przedawnienia przewidzianych w różnych uregulowaniach krajowych i w różnych dziedzinach prawa w obecnym stanie rzeczy wydaje się, że nie jest możliwe ustalenie jednolitego terminu, biegnącego od dnia rozwiązania spółki, po upływie którego wpis rzeczonych danych w rejestrze i ich jawność nie byłyby już konieczne” (pkt 55 wyroku).

Podsumowując: brak prawa do bycia zapomnianym, ale możliwe jest wniesienie sprzeciwu

Trybunał orzekł, iż w okolicznościach przedmiotowej sprawy  państwa członkowskie nie mogą zagwarantować osobom fizycznym, o których mowa w art. 2 ust. 1 lit. d) i j) Dyrektywy 68/151, “prawa do tego, aby po upływie określonego terminu od dnia likwidacji danej spółki dotyczące ich dane osobowe, (…) były z zasady wykreślane lub aby ich jawność była blokowana” (pkt 56 wyroku). TSUE uznał także, iż taka interpretacja przedmiotowych przepisów nie stanowi “nieproporcjonalnej ingerencji w prawa podstawowe osób, których dane te dotyczą”.

Wydając taki wyrok, Trybunał wziął pod uwagę fakt, iż Dyrektywa 68/151 wymaga jawności jedynie w odniesieniu do ograniczonego zakresu danych osobowych. Co warte podkreślenia, “wydaje się zasadne, aby osoby fizyczne, które postanowiły uczestniczyć w wymianie handlowej za pośrednictwem spółek [takich jak spółki akcyjne czy spółki z ograniczoną odpowiedzialnością – przypis P.J.], były zobowiązane do upublicznienia danych dotyczących ich tożsamości i funkcji, jakie sprawują w spółce, zwłaszcza że osoby te mają świadomość istnienia takiego obowiązku w chwili, gdy decydują się na podjęcie tego rodzaju działalności” (pkt 59 wyroku).

Jednakowoż, “nie można wykluczyć ewentualności zaistnienia sytuacji szczególnych, w których przeważające i uzasadnione względy dotyczące konkretnego przypadku osoby, której dotyczą dane, uzasadniają wyjątkowo, aby dostęp do figurujących w rejestrze danych osobowych dotyczących tej osoby został ograniczony, po upływie wystarczająco długiego okresu od daty likwidacji danej spółki, do kręgu osób trzecich mających konkretny, uzasadniony interes w uzyskaniu wglądu do tych danych” (pkt 60 wyroku). Trybunał zaznaczył także, iż ocena konkretnego przypadku zawsze będzie zależała od regulacji krajowych, obowiązujących w poszczególnych państwach członkowskich.

W przypadku ustalenia przez sądy krajowe, iż lokalne ustawodawstwo zezwala na takie żądania, sąd odsyłający będzie zobowiązany do ustalenia:

• w świetle wszystkich istotnych okoliczności
• przy uwzględnieniu okresu, jaki upłynął od dnia likwidacji spółki, o której mowa
• czy istnieją ewentualnie przeważające i uzasadnione względy, które w stosownym wypadku mogłyby wyjątkowo usprawiedliwić ograniczenie dostępu osób trzecich do danych osobowych p. Manniego ujawnionych w rejestrze spółek, z których wynika, że był on jednoosobowym zarządcą i likwidatorem spółki.

Odnosząc się do przypadku p. Manniego, TSUE uznał ponadto, iż “należy zaznaczyć, że sama okoliczność, iż spółka (…), której S. Manni jest obecnie jednoosobowym zarządcą, nie jest w stanie, jak się twierdzi, sprzedać nieruchomości (…), ponieważ potencjalni nabywcy tych nieruchomości mają dostęp do tych danych w rejestrze spółek, nie może stanowić takiego względu, zważywszy na uzasadniony interes, jaki nabywcy ci mają w uzyskaniu owych informacji” (pkt 63 wyroku).

Komentarz

Nie ulega wątpliwości, że ujawnianie danych osobowych przedsiębiorców w rejestrach gospodarczych ogranicza ich prawo do prywatności, w tym także i prawo do bycia zapomnianym. Jak trafnie zauważył Michał Romanowski, jeszcze przed wydanie wyroku w przedmiotowej sprawie “rozstrzygnięcie konfliktu między realizacją interesu publicznego, tj. zasadą jawności, a ochroną interesu prywatnego, czyli prawem do prywatności, sprowadza się do określenia czasu, w którym interes publiczny może ograniczać interes prywatny” (M. Domagalski, TSUE: kiedy można wykreślić z rejestru informację o bankructwie, Rzeczpospolita, 8. 12. 2015 r., artykuł dostępny jest tutaj).

Wydaje się, iż niezwykle istotnym aspektem przedmiotowego wyroku jest podkreślenie wagi oceny celu przetwarzania danych, a także zaakcentowanie doniosłości dokonywania wyważenia praw i interesów.

Uchwalenie unijnej dyrektywy nr  2016/943 w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) zapowiada bardzo istotne dla przedsiębiorców zmiany odnośnie zasad i zakresu ochrony know – how. Niemniej istotne zmiany Dyrektywa niesie dla sądownictwa w obszarze ochrony tajemnic przedsiębiorstwa w ramach postępowań sądowych. Przepisy Dyrektywy w pewnym sensie spełniają tutaj oczekiwania przedsiębiorców, którzy wyczekiwali zmian w tym zakresie.

Niski poziom ochrony tajemnicy przedsiębiorstwa obecnie.

Trzeba uznać, że obecne przepisy i praktyka proceduralna w Polsce nie pozwalają na ochronę tajemnic przedsiębiorstwa w toku postępowań sądowych w stopniu zadowalającym, a tym bardziej gwarantującym bezpieczeństwo ujawnianych informacji. Jak natomiast słusznie zaznaczono w preambule nowej Dyrektywy „Perspektywa ujawnienia tajemnicy przedsiębiorstwa w trakcie postępowania sądowego często zniechęca prawowitych posiadaczy tajemnicy przedsiębiorstwa do wszczynania postępowania sądowego w celu ochrony swoich tajemnic przedsiębiorstwa, zagrażając tym samym skuteczności przyjętych (…) procedur i środków prawnych”. W chwili obecnej, z niewielkimi wyjątkami (przede wszystkim odnośnie postępowań przed Sądem Ochrony Konkurencji i Konsumentów, co reguluje art. 479³³ k.p.c.) nie można uznać, aby przepisy proceduralne w sposób adekwatny chroniły tajemnicę przedsiębiorstwa zarówno stron sporu, jak i osób trzecich. Dotyczy to w szczególności procedury cywilnej, która jest fundamentalną formułą postępowania mającego na celu ochronę know – how.

Co nakazuje Dyrektywa 2016/943?

Powstaje zatem pytanie jakie zmiany przyniesie Dyrektywa 2016/943 w tym zakresie? Przede wszystkim, należy zaznaczyć, że ostatecznie o charakterze zmian zdecyduje polski ustawodawca, który ma czas na transpozycję Dyrektywy do 9 czerwca 2018 r. Niemniej jednak, aby implementacja była poprawna będzie ona musiała objąć co najmniej regulację zobowiązującą strony postępowań dotyczących naruszenia tajemnicy przedsiębiorstwa (a także ich przedstawicieli, świadków i inne osoby biorące udział w postępowaniu) do niewykorzystywania i nieujawniania jakiejkolwiek informacji, którą sąd – w odpowiedzi na należycie uzasadniony wniosek – określi jako poufną. Zobowiązanie do zachowania tych informacji w poufności ma pozostawać w mocy po zakończeniu postępowania sądowego, o ile sąd w toczącym się postępowaniu nie uzna, że konkretne informacje nie stanowiły tajemnicy przedsiębiorstwa lub informacje te nie staną się powszechnie znane lub łatwo dostępne osobom, które zwykle mają do czynienia z tego rodzaju informacjami.

Ponadto, art. 9 ust. 2 Dyrektywy nakazuje, aby – na należycie uzasadniony wniosek – mogły być zastosowane szczególne środki  niezbędne do zachowania w poufności wszelkich tajemnic przedsiębiorstwa wykorzystywanych w trakcie postępowania sądowego dotyczącego naruszenia know – how. Te, szczególne środki mają obejmować co najmniej możliwość ograniczenia do wąskiego grona osób:

1. a) dostępu do przedkładanych przez strony lub osoby trzecie dokumentów zawierających tajemnice przedsiębiorstwa (w całości lub w części); a także
2. b) dostępu do rozpraw i posiedzeń, podczas których mogą zostać ujawnione tajemnice przedsiębiorstwa oraz do protokołów lub zapisów z takich rozpraw i posiedzeń.

W sytuacjach zastosowania wymienionych, szczególnych środków, do ogólnej wiadomości udostępnione mogłoby być wyłącznie orzeczenie w wersji nieopatrzonej klauzulą poufności, z którego usunięto lub przeredagowano fragmenty zawierające tajemnice przedsiębiorstwa.

Jak Dyrektywa wpłynie na poziom ochrony tajemnicy przedsiębiorstwa w postępowaniach sądowych?

Mając na uwadze powyższe postanowienia, obligatoryjne zmiany przewidywane przez Dyrektywę w istotny sposób zwiększałyby bezpieczeństwo proceduralne dla stron, którym zależy na ochronie know – how. Warto jednak zwrócić uwagę, ze Dyrektywa przewiduje konieczność wprowadzenia opisanych środków tylko w ramach postępowań dotyczących stricte ochrony tajemnicy przedsiębiorstwa. Z uwagi na zasygnalizowane na wstępie braki obecnie obowiązującej procedury cywilnej, nowoprojektowane polskie przepisy nie powinny być jednak ograniczane wyłącznie do postępowań dotyczących zarzutów naruszenia tajemnicy przedsiębiorstwa. Nie ma uzasadnienia dla takiego ograniczenia ochrony know – how w toku postępowań i wydaje się, że takie ograniczenie byłoby sprzeczne z zamysłem ustawodawcy europejskiego, który przyświecał uchwaleniu Dyrektywy. Ostateczna decyzja w tym zakresie będzie jednak należała do polskiego ustawodawcy – należy mieć nadzieję, że decyzja ta będzie odpowiadała zapotrzebowaniu przedsiębiorców i rynku.

Grupa Robocza Art. 29 przygotowała wytyczne dotyczące obowiązkowego wyznaczania inspektora ochrony danych (IOD), a także jego statusu i zadań. Wytyczne mają na celu ułatwienie administratorom oraz podmiotom przetwarzającym określenie, czy po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych będą mieli obowiązek wyznaczenia inspektora.

****

Wyznaczenie inspektora

Zgodnie z art. 37 ust. 1 RODO, wyznaczenie inspektora będzie obowiązkowe w trzech przypadkach:

1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

3) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).

Szczególne wątpliwości dotyczyły sformułowań takich jak „główna działalność”, „duża skala przetwarzania”, „regularne i systematyczne monitorowanie”. Wszystkie te pojęcia zostały omówione w wytycznych.

Główna działalność polegająca na przetwarzaniu danych osobowych powinna być interpretowana dość szeroko i obejmować sytuacje, kiedy przetwarzanie danych jest nierozerwalnie związane z działalnością danego podmiotu. Dla przykładu, główna działalność szpitala polega na zapewnianiu opieki medycznej, jednak wykonywanie tych usług jest niemożliwe bez przetwarzania danych osobowych, np. dokumentacji medycznej i historii choroby pacjenta.

Jednakże za działalność poboczną uznano przetwarzanie danych w celu prowadzenia listy płac czy też korzystania z obsługi IT. Zatem samo przetwarzanie danych osobowych pracowników nie będzie określane jako przetwarzanie będące elementem głównej działalności podmiotu.

Jeśli chodzi o dużą skalę przetwarzania, Grupa Robocza nie wskazała żadnej konkretnej wartości dotyczącej liczby podmiotów danych czy też rozmiaru zbioru danych, która determinowałaby „dużą skalę”.

W wytycznych przedstawione są następujące kryteria, które powinny być brane pod uwagę przy określaniu, czy przetwarzanie następuje na „dużą skalę”:

• liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
• zakres przetwarzanych danych osobowych;
• okres, przez jaki dane są przetwarzane;
• zakres geograficzny przetwarzania danych osobowych.

Grupa Robocza podała także przykłady przetwarzania danych na dużą skalę:

• przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
• przetwarzanie danych osób korzystających ze środków komunikacji miejskiej (np. śledzenie
• za pośrednictwem ‘kart miejskich’);
• przetwarzanie danych geo-lokalizacyjnych w czasie rzeczywistym przed wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
• przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
• przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
• przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Przykłady przetwarzania niemieszczącego się w definicji „dużej skali”:

• przetwarzanie danych pacjentów – klientów, dokonywane przez pojedynczego lekarza;
• przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokatalub radcę prawnego.

Grupa Robocza podała też swoją interpretację regularnego i systematycznego monitorowania osób.

Monitorowanie osób jest „regularne” spełnia jedno lub więcej poniższych kryteriów:

• stałe albo występujące w określonych odstępach czasu przez ustalony okres;
• cykliczne albo powtarzające się w określonym terminie;
• odbywające się stale lub okresowo.

Monitorowanie „systematyczne” spełnia jedno lub więcej z następujących kryteriów:

• występujące zgodnie z określonym systemem;
• zaaranżowane, zorganizowane lub metodyczne;
• odbywające się w ramach generalnego planu zbierania danych;
• przeprowadzone w ramach określonej strategii.

Grupa Robocza podaje następujące przykłady regularnego i systematycznego monitorowania osób:

• obsługa sieci telekomunikacyjnej;
• świadczenie usług telekomunikacyjnych;
• przekierowywanie e-mail;
• profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy);
• śledzenie lokalizacji, na przykład w aplikacjach telefonicznych;
• programy lojalnościowe;
• reklama behawioralna;
• monitorowanie danych o stanie zdrowia za pośrednictwem urządzeń przenośnych;
• monitoring wizyjny;
• urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, etc.

Powyższe wytyczne nie dają konkretnych odpowiedzi na pytanie, kiedy administrator lub podmiot przetwarzający powinien wyznaczyć inspektora ochrony danych. Bezpiecznym rozwiązaniem wydaje się jednak wyznaczenie IOD w każdej sytuacji, o której mowa w wytycznych, o ile spełnione jest kryterium dużej skali.

Jeśli chodzi o podmioty publiczne, Grupa Robocza rekomenduje, aby IOD był wyznaczany nie tylko przez organy władzy publicznej, ale także przez podmioty prywatne realizujące zadania publiczne lub sprawujące władzę publiczną (np. usługi transportowe, dostawa energii elektrycznej, wody, itp.).

Dopuszczalne jest wyznaczenie jednego IOD dla kilku podmiotów, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Możliwe jest także wyznaczenie wspólnego inspektora organów władzy publicznej, przy czym należy uwzględnić ich strukturę organizacyjną i wielkość. Grupa Robocza stwierdziła, że w takiej sytuacji należy zapewnić, aby IOD wyznaczony dla kilku podmiotów był w stanie starannie wykonywać swoje zadania we wszystkich tych podmiotach (np. aby miał na to wystarczająco dużo czasu). Poza tym należy zapewnić, aby pracownicy wszystkich podmiotów mogli łatwo porozumiewać się z IOD – może to być zapewnione przez osobisty kontakt z IOD w siedzibie podmiotu, ale także przez telefon lub inny bezpieczny sposób komunikacji zdalnej. Ponadto inspektor powinien mówić w języku lub językach używanych przez pracowników oraz przez właściwe organy nadzorcze.

Wiedza fachowa i umiejętności inspektora

Poziom wiedzy fachowej IOD powinien być odpowiedni w stosunku do „wrażliwości” danych, skomplikowania operacji oraz ilości danych przetwarzanych przez daną organizację. Na przykład, jeżeli przetwarzanie jest szczególnie skomplikowane i dotyczy dużej ilości danych „wrażliwych”, IOD powinien mieć większą wiedzę.

Jeśli chodzi o kwalifikacje zawodowe, IOD powinien mieć wiedzę w zakresie europejskiego i krajowego prawa ochrony danych oraz praktyk ochrony danych, a także szczegółową wiedzę na temat RODO. Przydatne jest także zrozumienie czynności przetwarzania dokonywanych przez organizację i znajomość sektora, w którym działa organizacja. Wskazana jest także wiedza na temat systemów informatycznych służących do przetwarzania, a także potrzeb organizacji co do zabezpieczania danych osobowych.

Możliwe jest zawarcie umowy cywilnoprawnej dotyczącej wykonywania funkcji IOD, przy czym umowa może być zawarta zarówno z osobą fizyczną, jak i z organizacją (osobą prawną lub „ułomną” osobą prawną). W tym drugim przypadku każda osoba fizyczna wewnątrz takiej organizacji, która miałaby wypełniać zadania IOD, musi spełniać wszystkie wymogi, o których mowa w RODO.

Podawanie danych kontaktowych IOD do wiadomości publicznej

Dane kontaktowe IOD oznaczają adres pocztowy, numer telefonu przeznaczony tylko do kontaktu z IOD, adres email przeznaczony tylko do kontaktu z IOD. Tam, gdzie jest to przydatne, sposobem kontaktu z IOD dla podmiotów danych może być też specjalny formularz kontaktowy na stronie internetowej organizacji. Nie ma konieczności publikowania tożsamości (imienia i nazwiska) IOD. Grupa Robocza jako dobrą praktykę wskazuje jednak poinformowanie o tożsamości IOD organu nadzorczego oraz pracowników organizacji, w której IOD jest wyznaczony (np. poprzez umieszczenie informacji o jego imieniu i nazwisku oraz danych kontaktowych w intranecie).

Status inspektora w ramach organizacji

Inspektor powinien być angażowany we wszystkie sprawy dotyczące ochrony danych osobowych na jak najwcześniejszym etapie. Dotyczy to między innymi przeprowadzania oceny skutków dla ochrony danych. Ponadto IOD powinien być członkiem wszystkich grup roboczych w ramach organizacji, które zajmują się operacjami przetwarzania danych osobowych. IOD powinien regularnie brać udział w spotkaniach kierownictwa wyższego i średniego szczebla.

Jeśli chodzi o zasoby niezbędne IOD do wykonywania jego zadań i do utrzymania fachowej wiedzy, należy przez to rozumieć między innymi:

• aktywne wsparcie IOD przez wyższe kierownictwo organizacji;
• dawanie IOD odpowiednio dużo czasu na wypełnianie swoich zadań, szczególnie gdy IOD jest zatrudniony na część etatu;
• wsparcie IOD w zakresie zasobów finansowych, kadrowych oraz organizacyjnych (pomieszczenia, sprzęt);
• oficjalne poinformowanie pracowników o wyznaczeniu IOD, tak aby pracownicy mieli świadomość, że do takiej osoby mogą się zwrócić;
• umożliwianie IOD stałego poszerzania swojej wiedzy w zakresie ochrony danych osobowych, np. poprzez zachęcanie IOD do brania udziału w szkoleniach itd.;
• w niektórych przypadkach konieczne może być wyznaczenie zespołu inspektorów; wówczas zakres odpowiedzialności członków zespołu powinien być wyraźnie określony.

Inspektor nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań. Oznacza to, że administrator lub podmiot przetwarzający nie mogą mówić IOD, w jaki sposób powinien zajmować się konkretną sprawą, jaki powinien być wynik jego analizy, w jaki sposób przeprowadzić postępowanie wyjaśniające co do skargi lub czy należy się skonsultować z organem nadzorczym. Inspektor nie może też otrzymywać instrukcji co do tego, jaką interpretację prawa przyjąć.

Zakaz karania lub odwoływania IOD za wykonywanie swoich zadań dotyczy tylko sytuacji, w których ma to związek z wykonywaniem przez IOD zadań właśnie jako IOD, czyli ogólnie mówiąc zadań związanych z zapewnianiem przestrzegania przepisów o ochronie danych. Dla przykładu, jeżeli IOD uważa, że w pewnej sprawie należy przeprowadzić ocenę skutków dla ochrony danych, a administrator nie zgadza się z tą oceną, to z tego powodu administrator nie może odwołać (zwolnić) lub ukarać IOD.

Inspektor może wykonywać inne zadania i obowiązki, ale nie mogą one powodować konfliktu interesów. Oznacza to na przykład, że IOD nie może pełnić takiej roli, w której decydowałby o celach i środkach przetwarzania danych. Potencjalny konflikt interesów powinien być w każdej sytuacji rozważany oddzielnie. Niemniej jednak za funkcje, których nie powinno się łączyć roli IOD uważa się wyższe funkcje kierownicze (w tym w zakresie kierowania operacjami, finansami, marketingiem, HR, IT), ale także inne funkcje niżej w hierarchii, o ile ich pełnienie wiąże się z decydowaniem o celach i środkach przetwarzania danych.

Zadania inspektora

W ramach monitorowania przestrzegania prawa ochrony danych, IOD może na przykład zbierać informacje o operacjach przetwarzania danych, analizować i sprawdzać zgodność operacji przetwarzania z prawem, przygotowywać porady, opinie lub rekomendacje dla administratora lub podmiotu przetwarzającego.

W zakresie przeprowadzania oceny skutków dla ochrony danych, administrator powinien zwrócić się o opinię IOD między innymi w następujących kwestiach:

• czy należy przeprowadzić ocenę skutków dla ochrony danych;
• według jakiej metodologii przeprowadzić ocenę skutków;
• czy ocena skutków powinna być przeprowadzona wewnętrznie czy w ramach zlecenia jej przeprowadzenia na zewnątrz organizacji;
• jakie środki techniczne i organizacyjne powinny być zastosowane, aby zmniejszyć ryzyko naruszenia praw i wolności podmiotów danych;
• czy ocena skutków została przeprowadzona prawidłowo i czy jej wnioski są zgodne z RODO.

Jeżeli administrator nie zgadza się z rekomendacją IOD, dokumentacja oceny skutków powinna zawierać pisemne wyjaśnienie co do powodów, dla których rekomendacja IOD nie została przyjęta.

Inspektor może także zajmować się prowadzeniem rejestru czynności przetwarzania (obowiązek administratora i podmiotu przetwarzającego wynikający z art. 30 ust. 1-2 RODO). Nie jest to zadanie przypisane IOD w art. 39 RODO, jednakże lista zadań tam zawarta powinna być traktowana jako minimum. Nie ma więc przeszkód, aby to zadanie wykonywał IOD, tym bardziej, że rejestr czynności przetwarzania może być jednym z narzędzi, które ułatwiają IOD wykonywanie jego zadań w zakresie monitorowania zgodności przetwarzania z prawem.

****

Tekst wytycznych w języku angielskim można znaleźć tutaj.

Nieoficjalne tłumaczenie wytycznych przygotowane przez GIODO można znaleźć tutaj.

Zachęcamy także do zapoznania się z artykułami na temat wytycznych Grupy Roboczej art. 29 dotyczących prawa do przenoszenia danych tutaj oraz wiodącego organu nadzorczego tutaj.

W celu ustanowienia spójnego i zorganizowanego sposobu sprawowania nadzoru nad transgranicznym przetwarzaniem danych, zgodnie z postanowieniami Rozporządzenia ogólnego o ochronie danych (dalej “RODO”) jeden organ nadzorczy zostaje uznany za “wiodący organ nadzorczy”. Grupa Robocza art. 29 w swoich wytycznych z dnia 13 grudnia 2016 r. (WP 244, 16/EN, dostępne w języku angielskim tutaj, natomiast nieoficjalne tłumaczenie na język polski opublikowane na stronie GIODO dostępne jest tutaj) wyjaśnia kryteria, które powinny zostać wzięte pod uwagę przy ustalaniu wiodącego organu nadzorczego dla administratora lub podmiotu przetwarzającego.

 ****

Czym jest transgraniczne przetwarzanie danych osobowych?

Zagadnienie ustalenia wiodącego organu nadzorczego jest istotne tylko wówczas, gdy administrator lub podmiot przetwarzający prowadzą transgraniczne przetwarzanie danych osobowych, w przeciwieństwie do jedynie lokalnego przetwarzania danych.

Zgodnie z treścią art. 4 pkt 23 RODO “przetwarzanie transgraniczne” oznacza:

• “przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim” (np. spółka posiada jednostki organizacyjne we Francji i w Rumunii i przetwarzanie odbywa się w ramach działalności obu jednostek organizacyjnych); albo
• “przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim” (np. spółka jedynie prowadzi czynności przetwarzania w ramach działalności jednostki organizacyjnej we Francji, jednak przetwarzanie znacznie wpływa – lub może znacznie wpłynąć – na osoby, których dane dotyczą we Francji i Rumunii).

W celu stwierdzenia czy przetwarzanie może “znacznie wpłynąć” na osoby, których dane dotyczą w więcej niż jednym państwie członkowskim UE, podmioty dokonujące operacji przetwarzania danych powinny wziąć pod uwagę kontekst przetwarzania, rodzaj danych, cel przetwarzania oraz czynniki takie jak ustalenie czy przetwarzanie:

• powoduje lub może spowodować szkodę, krzywdę lub zaniepokojenie;
• ma lub może mieć rzeczywisty wpływ w zakresie ograniczenia praw lub pozbawienia możliwości;
• wpływa lub może wpłynąć na zdrowie, dobrobyt lub spokój ducha;
• wpływa lub może wpłynąć na status lub sytuację finansową lub ekonomiczną;
• naraża na dyskryminację lub niesprawiedliwe traktowanie;
• obejmuje analizę szczególnych kategorii danych osobowych lub innych danych wrażliwych, szczególnie danych osobowych dzieci;
• powoduje lub może spowodować znaczącą zmianę zachowania;
• ma nieprawdopodobne, nieprzewidywalne lub niechciane konsekwencje;
• powoduje zażenowanie lub inne negatywne skutki, w tym narażenie reputacji; lub
• obejmuje przetwarzanie szerokiego zakresu danych osobowych.

Fakt, że operacja przetwarzania danych może obejmować przetwarzanie nawet znacznej ilości danych osobowych osób, w licznych państwach członkowskich, niekoniecznie oznacza, że przetwarzanie ma lub może mieć znaczny wpływ. Przetwarzanie mające mały wpływ lub niemające żadnego wpływu nie stanowi przetwarzania transgranicznego na potrzeby drugiej części definicji “przetwarzania transgranicznego” (art. 4 pkt 23 lit. a) RODO), niezależnie od tego, na ile osób wpływa.

W jaki sposób ustalić, który organ nadzorczy powinien być wiodącym organem nadzorczym?

Zgodnie ze wskazówkami Grupy Roboczej art. 29 “wiodący organ nadzorczy” to organ, który jest w pierwszej kolejności odpowiedzialny za czynności transgranicznego przetwarzania danych, na przykład gdy osoba, której dane dotyczą, składa skargę na przetwarzanie jej danych osobowych. Ma on także koordynować postępowania, w które zaangażowane są inne organy nadzorcze, których sprawa dotyczy.

Ustalenie wiodącego organu nadzorczego zależy od ustalenia lokalizacji “głównej jednostki organizacyjnej” lub “pojedynczej jednostki administracyjnej” administratora w Unii Europejskiej.

Grupa Robocza wyjaśnia, iż podmioty powinny ustalać, który z podmiotów jest “główną jednostką organizacyjną”, a co za tym idzie, który z organów nadzorczych jest organem wiodącym zgodnie z poniższym:

• Jeśli podmiot ma jedną jednostkę organizacyjną w UE, ta jednostka jest jego główną jednostką organizacyjną (przy założeniu, że podmiot jest zaangażowany w transgraniczne przetwarzanie danych osobowych);
• Jeśli organizacja posiada jednostki organizacyjne w więcej niż jednym państwie członkowskim, główną jednostką organizacyjną jest miejsce, w którym znajduje się jego centralna administracja w UE; lub
• Jeśli organizacja posiada jednostki organizacyjne w więcej niż jednym państwie członkowskim, główną jednostką organizacyjną jest miejsce, w którym znajduje się jego centralna administracja w UE, chyba że decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej administratora w Unii Europejskiej, w którym to przypadku za główną jednostkę organizacyjną należy uznać tą drugą jednostkę organizacyjną.

W celu ustalenia, gdzie znajduje się główna jednostka organizacyjna, najpierw konieczne jest ustalenie, gdzie znajduje się centralna administracja administratora danych w UE (o ile taka istnieje), która oznacza miejsce, gdzie zapadają decyzje co do celów i sposobów przetwarzania danych osobowych.

Zgodnie z wyjaśnieniami Grupy Roboczej w przypadkach, w których w centralnej administracji w UE podejmowane są decyzje dotyczące różnych czynności przetwarzania transgranicznego, właściwym będzie jeden wiodący organ nadzorczy dla różnych czynności przetwarzania danych prowadzonych przez przedsiębiorstwo międzynarodowe. Jak zauważa jednak Grupa Robocza mogą mieć miejsce przypadki, w których jednostka inna niż miejsce, w którym znajduje się centralna administracja podejmuje niezależne decyzje dotyczące celów i sposobów dotyczących danej czynności przetwarzania, co będzie prowadziło do konkluzji, że  właściwym będzie można więcej niż jeden organ wiodący. Będziemy wtedy mieli do czynienia z wiodącymi organami nadzorczymi dla różnych czynności przetwarzania.

Grupa Robocza art. 29 wskazuje na poniższe czynniki jako pomocne przy ustaleniu lokalizacji głównej jednostki organizacyjnej administratora, w przypadkach gdy nie jest to lokalizacja jego centralnej administracji w UE:

• miejsce, w którym ostatecznie zatwierdzane są decyzje co do celów i sposobów przetwarzania;
• miejsce, w którym podejmowane są decyzje dotyczące działań biznesowych obejmujących przetwarzanie danych;
• ustalenie osoby, która ma uprawnienie do skutecznego wdrażania decyzji;
• miejsce, w którym znajduje się Dyrektor (lub Dyrektorzy), do którego należy ostateczna odpowiedzialność zarządcza za przetwarzanie transgraniczne;
• miejsce, w którym jest zarejestrowany administrator lub podmiot przetwarzający jako przedsiębiorstwo (jeżeli na jednym terytorium).

Należy zauważyć, że nie jest to lista wyczerpująca i także inne czynniki mogą być istotne, w zależności od konkretnego przypadku.

Hard cases – kiedy nie jest możliwe jednoznaczne wyznaczenie wiodącego organu nadzorczego?

Grupa Robocza zauważa, iż to administrator danych sam określa, gdzie znajduje się jego główna jednostka organizacyjna i w związku z tym, który organ nadzorczy jest jego organem wiodącym. Jednak później może to zostać zakwestionowane przez organ nadzorczy, którego sprawa dotyczy, a także w przypadku gdy organ nadzorczy ma powody by wątpić, czy jednostka organizacyjna ustalona przez administratora jest rzeczywiście główną jednostką organizacyjną, może on zażądać, aby administrator udzielił mu dodatkowych informacji.

Zgodnie z opinią Grupy Roboczej nieuniknione są sytuacje, kiedy jednoznaczne ustalenie, gdzie znajduje się główna jednostka organizacyjna czy miejsce, w którym podejmowane są decyzje dotyczące przetwarzania danych nie będzie łatwe.

Może to mieć miejsce, gdy prowadzone są czynności przetwarzania transgranicznego i administrator posiada jednostki organizacyjne w kilku państwach członkowskich, ale nie ma centralnej administracji w UE, a żadna z jednostek organizacyjnych w UE nie podejmuje decyzji co do przetwarzania (tj. decyzje są podejmowane poza UE). W takiej sytuacji Grupa Robocza rekomenduje wyznaczenie przez przedsiębiorstwo jednostki organizacyjnej, która będzie działać jako jego główna jednostka organizacyjna. Jak wskazuje Grupa Robocza, ta wyznaczona jednostka organizacyjna musi posiadać prawo do “wdrażania decyzji” co do czynności przetwarzania oraz do wzięcia odpowiedzialności za przetwarzanie, w tym posiadać “wystarczające środki”. Jak podkreślono w wytycznych, brak wyznaczenia jednostki organizacyjnej w ten sposób, spowoduje, iż nie będzie możliwe wyznaczenie organu wiodącego.

Rozporządzenie nie zezwala na tzw. “forum shopping”.  Zgodnie z opinią Grupy Roboczej, jeżeli w opinii przedsiębiorstwa jego główna jednostka organizacyjna mieści się w jednym z państw członkowskich, ale nie ma tam miejsca skuteczna i rzeczywista realizacja czynności zarządzania ani podejmowanie decyzji co do przetwarzania danych osobowych, właściwy organ nadzorczy (lub ostatecznie Europejska Rada Ochrony Danych) zadecyduje o tym, który organ nadzorczy jest organem wiodącym, stosując obiektywne kryteria i analizując dowody. Jak wskazuje Grupa Robocza ustalanie, gdzie znajduje się główna jednostka organizacyjna, może wymagać dochodzenia i współpracy ze strony organów ochrony danych. Obowiązek udowodnienia spoczywa na administratorach i podmiotach przetwarzających, w związku z czym rekomendowane jest, aby byli oni w stanie wykazać, gdzie rzeczywiście są podejmowane i wdrażane decyzje co do przetwarzania danych, w czym może okazać się pomocne rejestrowanie czynności przetwarzania.

Pozostałe kwestie związane z ustaleniem wiodącego organu nadzorczego

Organ nadzorczy, którego sprawa dotyczy

Zgodnie z treścią art. 4 pkt 22 RODO organem nadzorczym, którego sprawa dotyczy jest organ, którego dotyczy przetwarzanie danych osobowych, ponieważ:

• “administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkowskiego tego organu nadzorczego;
• przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub
• wniesiono do niego skargę”.

Pojęcie organu nadzorczego, którego sprawa dotyczy, ma zapewnić, aby model “organu wiodącego” nie pozbawił organów nadzorczych możliwości wypowiadania się w kwestii tego, jak rozpatrywana jest sprawa, gdy na przykład czynność przetwarzania danych ma znaczny wpływ na osoby mające miejsce zamieszkania poza jurysdykcją organu wiodącego.

Przedsiębiorstwa niemające jednostki organizacyjnej w UE

Jak wskazuje Grupa Robocza art. 29 mechanizm współpracy i spójności przewidziany w Rozporządzeniu dotyczy jedynie administratorów posiadających jednostkę organizacyjną lub jednostki organizacyjne w UE. Oznacza to w praktyce, że administratorzy niemający jednostki organizacyjnej w UE muszą mieć do czynienia z lokalnymi organami nadzorczymi w każdym państwie członkowskim, w którym działają, za pośrednictwem swoich lokalnych przedstawicieli.

Administrator a podmiot przetwarzający

Co więcej jak zauważa Grupa Robocza, zasady ustalania wiodącego organu nadzorczego są podobne dla administratorów danych oraz podmiotów przetwarzających. Jednak zgodnie z motywem 36 preambuły RODO, jeżeli sprawa dotyczy zarówno administratora, jak i podmiotu przetwarzającego, właściwym wiodącym organem nadzorczym powinien pozostać organ nadzorczy właściwy dla administratora, a organ nadzorczy podmiotu przetwarzającego powinien być uznawany za organ nadzorczy, którego sprawa dotyczy i powinien uczestniczyć w procedurze współpracy.

Jak celnie zauważa Grupa Robocza, właściwa identyfikacja głównej jednostki organizacyjnej leży w interesie administratorów i podmiotów przetwarzających, ponieważ zapewnia jasność co do tego, z którym organem nadzorczym te podmioty będą musiały mieć do czynienia, jeżeli chodzi o realizację obowiązków, wynikających z przepisów RODO. Choć wytyczne Grupy Roboczej nie rozwieją wszelkich wątpliwości, są one niezwykle cennym drogowskazem dla administratorów danych i podmiotów przetwarzających.

****

Wytyczne w języku angielskim dostępne są tutaj. Nieoficjalne tłumaczenie udostępnione przez GIODO dostępne jest tutaj.

Najczęściej zadawane pytania w języku angielskim dostępne są tutaj.

Zachęcamy także do zapoznania się z artykułami na temat wytycznych Grupy Roboczej art. 29 dotyczących inspektorów ochrony danych tutaj oraz prawa do przenoszenia danych tutaj.

Art. 20 RODO ustanawia prawo do przenoszenia danych (przysługujące podmiotom danych uprawnienie do otrzymywania od administratora danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz prawo do przesłania tych danych innemu administratorowi). W swoich ostatnich wytycznych Grupa Robocza art. 29 wyjaśniła najważniejsze wątpliwości dotyczące implementacji tego nowego uprawnienia.

****

Zgodnie z treścią art. 20 Rozporządzenia ogólnego o ochronie danych (dalej “RODO”) “osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe (…)”. Jak zauważa Grupa Robocza art. 29 w swoich wytycznych z dnia 13 grudnia 2016 r. (WP 242, 16/EN, dostępne w języku angielskim tutaj), to nowe uprawnienie ma umożliwić sprawowanie szerszej kontroli nad swoimi danymi przed podmioty danych, ułatwiając przeniesienie danych pomiędzy administratorami, co w konsekwencji ma wspierać swobodny przepływ danych w Unii Europejskiej i wzmacniać konkurencję pomiędzy dostawcami, a także ułatwiać wprowadzanie na rynek nowych usług zgodnie ze strategią Komisji Europejskiej, dotyczącą Jednolitego Rynku Cyfrowego.

W swoich wytycznych mających na celu interpretację charakteru tego nowego prawa oraz wskazówki dotyczące jego implementacji, Grupa Robocza odniosła się w szczególności do następujących zagadnień: (i) charakteru (elementów) prawa do przenoszenia danych; (ii) warunków, w jakich prawo do przenoszenia danych znajduje zastosowanie; (iii) prawo do przenoszenia danych a pozostałe uprawnienia podmiotów danych; (iv) w jaki sposób dane powinny zostać przekazane.

Jakie są główne elementy prawa do przenoszenia danych?

Zgodnie w wytycznymi Grupy Roboczej na prawo do przenoszenia danych składają się następujące elementy:

• Prawo do otrzymania danych osobowych – w pierwszej kolejności należy zaznaczyć, iż prawo do przenoszenia danych oznacza przede wszystkim prawo do otrzymania danych osobowych przetwarzanych przez administratora danych. Jest to prawo odmienne, acz komplementarne wobec prawa do dostępu do danych osobowych. W tym aspekcie oznacza ono, iż podmioty danych są uprawnione do żądania przekazania im swoich danych osobowych, aby to sami użytkownicy mogli przechowywać je w celach osobistych na prywatnych urządzeniach (bez przekazywania ich do kolejnego administratora), co ma umożliwić im samodzielne zarządzanie własnymi danymi oraz ich ponowne wykorzystanie. Jako przykład takiego ponownego wykorzystania danych Grupa Robocza wskazuje, iż użytkownik aplikacji poczty elektronicznej może być zainteresowany otrzymaniem swojej listy kontaktowej, aby przygotować listę gości, których chciałby zaprosić na przyjęcie weselne.

• Prawo do przeniesienia danych osobowych od jednego administratora danych osobowych do drugiego administratora – zgodnie z treścią art. 20 ust. 1 RODO podmiot danych uprawniony jest do przesłania “bez przeszkód” swoich danych osobowych do innego administratora danych osobowych. Grupa Robocza wyjaśnia, iż to prawo ma zapobiec zjawisku tzw. vendor “lock-in”, czyli uzależnienia od konkretnego dostawcy usług. Możliwość łatwego dostępu do danych i ich przeniesienia do innego usługodawcy służy także rozwojowi nowych, innowacyjnych modeli usług.

• Narzędzia służące przenoszeniu danych – według Grupy Roboczej administratorzy danych powinni zapewnić różnorodne możliwości skorzystania z prawa do przeniesienia danych. Przykładowymi rozwiązaniami może być udostępnienie bezpośredniej możliwości pobrania danych osobowych czy możliwość bezpośredniego przeniesienia danych do innego administratora, w tym poprzez udostępnienie odpowiedniego interfejsu (API).

• Status administratora danych – Grupa Robocza art. 29 zaznacza, iż administrator danych w przypadku wykonania prawa do przenoszenia danych przez podmiot danych, nie ponosi odpowiedzialności za przetwarzanie danych osobowych przez podmiot danych lub podmiot otrzymujący dane od podmiotu danych. Co istotne uprawnienie, o którym mowa nie nakłada na administratora obowiązku przechowywania danych osobowych przez czas dłuższy niż jest to konieczne lub niż wskazany uprzednio okres. Jednocześnie podmiot otrzymujący dane osobowe, będący ich nowym administratorem jest odpowiedzialny za zapewnienie, aby dane, które nie są istotne z punktu widzenia nowej operacji przetwarzania danych nie były przechowywane i przetwarzane. Podmiot otrzymujący dane, stając się nowym administratorem danych osobowych, jest zobowiązany do stosowania zasad, o których mowa w art. 5 RODO, w tym w szczególności musi “jasno i bezpośrednio” wskazać nowy cel przetwarzania danych przed zrealizowaniem żądania przeniesienia danych, a także nie powinien przetwarzać danych, które nie są niezbędne do realizacji nowego celu.

• Prawo do przenoszenia danych a pozostałe uprawnienia podmiotów danych – zgodnie z wyjaśnieniami Grupy Roboczej realizacja uprawnienia do przeniesienia danych następuje to bez uszczerbku dla innych praw przyznanych osobie, której dane dotyczą na mocy RODO. Wykonanie prawa do przeniesienia danych nie pociąga za sobą automatycznie usunięcia danych z systemów administratora danych ani nie powinno mieć wpływu na ustalony okres przechowywania danych, które były przedmiotem wykonywanego prawa do przenoszenia danych. Podmiot danych może wykonywać swoje uprawnienia tak długo, jak administrator przetwarza jego dane osobowe.

W jakich przypadkach prawo do przenoszenia danych znajduje zastosowanie?

Zgodnie z treścią art. 20 ust. 1 lit. a) RODO, prawo do przenoszenia danych znajduje zastosowanie wobec operacji przetwarzania danych na podstawie:

• zgody podmiotu danych;
• umowy, której podmiot danych jest stroną.

Ponadto, przetwarzanie to musi odbywać się w sposób zautomatyzowany, o czym stanowi art. 20 ust. 1 lit. b) RODO.

Grupa Robocza art. 29 wskazała, jakie rodzaje danych osobowych zostały objęte zakresem tego nowego prawa. Zgodnie z treścią art. 20 ust. 1 RODO, chodzi jedynie o (i) dane osobowe dotyczące podmiotu danych oraz (ii) które osoba, której dane dotyczą dostarczyła administratorowi danych. Dodatkowo, art. 20 ust. 4 RODO stanowi, że prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych. Wyżej wymienione kryteria zostały szczegółowo omówione przez Grupę Roboczą:

• Dane osobowe dotyczące podmiotu danych – zgodnie z wyjaśnieniami Grupy Roboczej dane zanonimizowane nie będą mieściły się w zakresie zastosowania art. 20 RODO, w przeciwieństwie do danych spseudonimizowanych, które wyraźnie mogą zostać powiązane z podmiotem danych. Ponadto, zwrócono uwagę na konieczność unikania zbyt restrykcyjnej interpretacji pojęcia “dane osobowe dotyczące podmiotu danych”.

• Dane dostarczone administratorowi danych przez osobę, której dane dotyczą – w opinii Grupy Roboczej, administrator danych powinien uwzględnić nie tylko dane “świadomie i aktywnie” dostarczone przez podmiot danych, ale także dane osobowe, które są generowane i zbierane w wyniku działalności użytkownika. Ta ostatnia kategoria jednakże nie powinna obejmować danych wygenerowanych wyłącznie przez administratora danych w wyniku przetwarzania danych, w tym na przykład danych dotyczących kategoryzacji użytkownika ani jego profilu opracowanego przez administratora.

• Prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych – Grupa Robocza art. 29 zauważa, iż o ile podmiot danych, który wykonuje swoje prawo do przenoszenia danych wyraził zgodę na przetwarzanie swoich danych osobowych przez nowego administratora danych lub zawarł z nim umowę, o tyle osoby trzecie, których dane są uwzględnione w zbiorze danych, który zostaje przeniesiony mogły nawet o tym nie wiedzieć. W takich przypadkach konieczne jest znalezienie innej podstawy przetwarzania takich danych. Podkreślono także, iż nowy administrator danych otrzymujący dane nie może wykorzystywać “przeniesionych” danych osób trzecich dla swoich własnych celów (np. marketingowych).

Prawo do przenoszenia danych a pozostałe uprawnienia podmiotów danych

Grupa Robocza art. 29 zaznacza, iż administrator danych jest zobowiązany informować podmioty danych o przysługującym im prawie do przenoszenia danych, zgodnie z postanowieniami art. 13 ust. 2 lit. b) oraz 14 ust. 2 lit. c) RODO. Rekomendowane jest precyzyjne wyjaśnienie różnic pomiędzy różnymi prawami przysługującymi osobom, których dane dotyczą, w tym w szczególności pomiędzy tym, jakie rodzaje danych podmiot danych może otrzymać w wyniku wykonania prawa dostępu do danych, a jakie w przypadku prawa do przenoszenia danych. Ponadto, sugeruje się, aby w ramach procedury zamknięcia konta w danej usłudze, użytkownik otrzymywał informacje na temat prawa do przenoszenia danych.

W odniesieniu do administratorów danych, którzy mają otrzymać “przenoszone” dane, Grupa Robocza rekomenduje, aby wskazywali oni, jakie rodzaje danych osobowych są istotne z punktu widzenia świadczonych przez nich usług. Pozwoli to na ograniczenie ryzyka związanego z przenoszeniem danych osób trzecich, a także zapobiegnie niepotrzebnej duplikacji danych osobowych, w przypadku gdy nie są one niezbędne do świadczenia danej usługi.

Zgodnie z treścią art. 12 ust. 3 RODO, administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 RODO. Termin ten może być przedłużony maksymalnie do trzech miesięcy z uwagi na skomplikowany charakter żądania lub liczbę żądań, pod warunkiem udzielenia informacji osobie, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia w ciągu miesiąca. Grupa Robocza zauważa, że administratorzy danych, którzy świadczą usługi drogą elektroniczną powinni co do zasady być w stanie spełniać żądania podmiotów danych w zakresie ich prawa do przenoszenia danych w stosunkowo krótkim czasie. Sugeruje także, aby administratorzy danych wskazywali czas, w którym przeciętnie realizowane są takie żądania. Terminy, o których mowa powyżej znajdują także zastosowanie w przypadku, gdy administrator odmawia spełnienia żądania podmiotu danych.

Grupa Robocza art. 29 stwierdza w swoich wytycznych, że administratorzy danych nie powinni pobierać opłat za realizację żądań podmiotów danych w zakresie prawa do przenoszenia danych osobowych, chyba że mogą wykazać, że żądania te są “oczywiście nieuzasadnione lub nadmierne, w szczególności ze względu na ich powtarzający się charakter”.

W jaki sposób dane powinny zostać przekazane?

O ile Rozporządzenie nie wskazuje żadnego szczególnego formatu, w jakim dane powinny być przesyłane w wyniku realizacji żądania z art. 20 RODO, dane te muszą być  udostępnione w “ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”, co ma na celu ułatwienie późniejszego ponownego wykorzystania tych danych. Jak wskazuje się w motywie 68 preambuły RORO, “administratorów danych należy zachęcać do opracowywania interoperacyjnych formatów, które umożliwiają przenoszenie danych”.

Grupa Robocza wskazuje także, że administratorzy danych powinni udostępniać jak najwięcej metadanych na jak największym poziomie szczegółowości, co ma pozwolić zachować dokładne znaczenie wymienianych danych, np. udostępnianie poczty elektronicznej w formacie .pdf nie byłoby celowe, gdyż metadane będą niezbędne do efektywnego wykorzystania udostępnionych danych. Jednakże przetwarzanie dodatkowych metadanych poza tymi, które są konieczne, tylko na wypadek żądania w zakresie prawa do przenoszenia danych, nie będzie stanowiło legalnej podstawy przetwarzania takich danych.

Na zakończenia, Grupa Robocza zaznacza, iż administartorzy danych są odpowiedzialni za bezpieczne przekazywanie danych, jednakże stosowane zabezpieczenia nie powinny stanowić utrudnień w przekazywaniu danych ani stanowić dodatkowego obciążenia finansowego po stronie podmiotu danych. Grupa Robocza rekomenduje, aby administratorzy danych informowali podmioty danych o możliwych do podjęcia środkach, mających na celu zabezpieczenie otrzymanych informacji (w tym dostępne formaty danych lub szyfrowanie).

Pomimo, iż opracowane przez Grupę Roboczą wytyczne nie odpowiadają na wszystkie pytania i z całą pewnością można stwierdzić, że w momencie, gdy Rozporządzenie zacznie być stosowane pojawią się nowe wątpliwości, należy uznać je za cenne wskazówki dla administratorów danych.

****

Wytyczne w języku angielskim dostępne są tutaj. Nieoficjalne tłumaczenie udostępnione przez GIODO dostępne jest tutaj.

Najczęściej zadawane pytania w języku angielskim dostępne są tutaj.

Zachęcamy także do zapoznania się z artykułami na temat wytycznych Grupy Roboczej art. 29 dotyczących inspektorów ochrony danych tutaj oraz wiodącego organu nadzorczego tutaj.

Podczas grudniowego spotkania kontynuowano prace związane z wdrożeniem ogólnego rozporządzenia o ochronie danych, w rezultacie których Grupa Robocza Art. 29 przyjęła następujące dokumenty zgodnie z przyjętym w lutym 2016 r. planem działania:

– Wytyczne i najczęściej zadawane pytania dotyczące prawa do przenoszenia danych,

– Wytyczne i najczęściej zadawane pytania dotyczące inspektorów ochrony danych oraz

– Wytyczne i najczęściej zadawane pytania dotyczące wiodącego organu nadzorczego.

W trakcie tego spotkania dyskutowano także na temat kwestii dotyczących „Tarczy prywatności UE-USA”, w tym dokumentów związanych z jej wdrożeniem opracowywanych przez Grupę Roboczą Art. 29.

Szczegółowe omówienie treści wytycznych zostanie przedstawione w styczniowym wydaniu TMT Legal Alert.