RODO

RODO a gospodarka odpadami komunalnymi

Czy rozporządzenie o ochronie danych (RODO), które od jakiegoś czasu budzi wiele wątpliwości, jest tak straszne jak się je powszechnie postrzega? Czy ma ono wpływ na podmioty zajmujące się gospodarką odpadami komunalnymi?

Od tego nośnego ostatnio tematu i od próby odpowiedzi na ww. pytania dzielenie się swoimi spostrzeżeniami i doświadczeniami związanymi z szeroko rozumianą gospodarką odpadami komunalnymi z czytelnikami portalu rozpoczyna Kancelaria Radców Prawnych K. Materna, A. Ossowska w Poznaniu.

RODO – akt bardzo ogólnikowy

Specjaliści od RODO, a mówiąc dokładnie od Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, nie zawsze potrafią wytłumaczyć sens wprowadzenia tego bardzo ogólnikowego aktu prawnego. Za najbardziej przekonywujący należy uznać jednak argument, że w obecnej rzeczywistości, w której pojawiają się wciąż nowe technologie, rozwiązania informatyczne czy aplikacje, żaden ustawodawca nie jest w stanie nadążyć z dostosowywaniem szczegółowych przepisów o ochronie danych osobowych. Dlatego ustanowienie ogólnych zasad w tej materii może gwarantować pewną ich ponadczasowość i uniwersalność. Takie generalne zasady od dawna przewiduje także Konstytucja RP w art. 51:

„Art. 51. [Prawo ochrony danych osobowych]

1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa”.

Co więcej, celem RODO jest także ujednolicenie przepisów w krajach unijnych oraz zwrócenie uwagi osób administrujących danymi osobowymi nie tylko na obowiązek informacyjny, podstawy (umowy, zgody itd.) oraz zasady przetwarzania tych danych, ale przede wszystkim na podjęcie działań mających na celu ochronę danych osobowych, w tym w szczególności zabezpieczenia pomieszczeń, nośników, transferów przetwarzanych danych.

Bez zrozumienia zarówno ww. celu wprowadzenia tych przepisów, jak i istoty RODO, zasadniczo znanego już od ponad dwóch lat (tj. od jego podpisania 27 kwietnia 2016 r. i opublikowania w maju 2016 r.) nie można właściwie wywiązywać się z obowiązków zawartych w ww. rozporządzeniu. Wielu uważnych uczestników licznych szkoleń czy czytelników artykułów i opracowań RODO zwróciło na pewno uwagę, że ww. europejskie przepisy dotyczące ochrony danych osobowych nie zawierają wielu konkretnych norm (mimo aż 173 motywów poprzedzających sam tekst rozporządzenia i 99 artykułów), a jedynie precyzują ogólnikowe zasady, na podstawie których należy samodzielnie dokonać audytu i analizy danych osobowych i procesów ich przetwarzania, stworzyć samodzielnie katalog dokumentów, czynności czy zaniechań mających na celu wykazanie zachowania właściwego, wymaganego przez RODO stopnia ochrony danych osobowych, a więc nie tylko zadbanie o wywiązanie się z obowiązku informacyjnego, ale też zabezpieczenie np. szaf, w których przechowywane są dokumenty zawierające dane osobowe, przed dostępem osób trzecich, zabezpieczenie nośników (sprawdzenie, gdzie np. jest serwer, z którego korzysta administrator danych, i czy jest on odpowiednio zabezpieczony), zaszyfrowanie haseł, dostępów i wdrożenie do codziennego użytku sporządzonych procedur zabezpieczania danych osobowych, tzw. polityk bezpieczeństwa itp., czy faktycznego szyfrowania samych danych osobowych.

Niewątpliwie pomocne mogą się okazać opinie i wytyczne tzw. Grupy Roboczej artykułu 29, w których można znaleźć wiele zalecanych praktyk i cennych interpretacji tych przepisów.

Zasada rozliczalności – podstawa RODO

Warto podkreślić, że kluczową zasadą RODO jest rozliczalność (art. 5 ust. 2 RODO), zgodnie z którą administrator danych nie tylko jest odpowiedzialny za przestrzeganie zasad przetwarzania danych osobowych (ust. 1), ale przede wszystkim musi być w stanie wykazać ich przestrzeganie. Innymi słowy, należy tak postępować, by w przypadku kontroli Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który zastępuje dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych (GIODO), administrator „wybronił” się ze stosowanych praktyk, działań czy zaniechań dotyczących danych osobowych, jakie przetwarza. Czas pokaże, na ile polscy administratorzy, na których będzie spoczywał ciężar dowodowy w ww. kwestiach, poradzą sobie w świetle tak niedookreślonych wymogów, przy jednoczesnych przewidzianych wysokich karach z tego tytułu. Pozostałe zasady, często wymieniane i omawiane na szkoleniach, to – zgodnie z art. 5 ust. 1 RODO:

a) przetwarzanie zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbieranie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzanie dalej w sposób niezgodny z tymi celami (…) („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane dane („minimalizacja danych”);
d) prawidłowe i – w razie potrzeby – uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywanie w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne, wymagane na mocy niniejszego rozporządzenia, w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzanie w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Ponowne uzyskiwanie zgód na przetwarzanie danych osobowych

Warto zwrócić uwagę, że – w świetle zasady zgodności z prawem – całkowicie niezasadne jest ponowne uzyskiwanie tzw. zgód na przetwarzanie danych osobowych, mimo uzyskania ich jeszcze przed wejściem w życie RODO.

Administrator może kontynuować ich przetwarzanie także po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Ważne jest jednak przeanalizowanie, czy zgoda, którą dysponuje administrator danych, spełnia kryteria dobrowolności, konkretności, świadomości wyrażającego zgodę oraz jednoznaczności. Zgodnie bowiem z motywem 171 RODO, jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE (poprzednio obowiązująca dyrektywa), osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia. Administrator danych musi jednak być w stanie to wykazać jak również to czy przy wyrażonej zgodzie wskazano dane, jakie mają być przetwarzane i cel ich przetwarzania (zgodnie z zasadą rozliczalności).

W przeważającej większości przypadków, o ile nie we wszystkich sytuacjach, na każdym administratorze, który chce korzystać z wcześniej udzielonych zgód, będzie ciążył obowiązek poinformowania osoby, której dane dotyczą, o możliwości odwołania zgody. Ma to związek z zasadą przejrzystości i koniecznością poinformowania osób, których dane dotyczą, o sposobie realizacji ich praw (motyw 39 RODO wskazuje, że „osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”). Zagadnienie to zostało omówione szerzej w Wytycznych Grupy Roboczej Art. 29 dotyczących zgody (WP259).
Większość administratorów ochronę danych osobowych kojarzy właśnie ze zgodami na przetwarzanie danych osobowych, mimo że na podstawie art. 6 ust. 1 i 2 RODO „przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków, tj.:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

RODO i podmioty związane z gospodarką odpadami komunalnymi

W przypadku podmiotów związanych z gospodarką odpadami komunalnymi (zarówno przedsiębiorców, jak i organów jednostek samorządu terytorialnego czy związków międzygminnych) podstawą przetwarzania danych będą przede wszystkim podstawy wskazane w ww. ust. 1 lit b), c) i e). Każdy z tych podmiotów przetwarza dane osobowe i winien szczególną uwagę zwracać na zasadę minimalizacji danych.

Przykładowo, po długotrwałej wymianie pism i stanowisk pomiędzy GIODO a Ministrem Środowiska co do zakresu treści danych osobowych właścicieli nieruchomości, wymaganych w deklaracji o wysokości opłaty za gospodarowanie odpadami komunalnymi, Ustawą z dnia 28 listopada 2014 r. o zmianie ustawy o utrzymaniu czystości i porządku w gminach oraz niektórych innych ustaw (DzU z 2015 r. poz. 87) zmieniono art. 6m Ustawy z dnia 13 września 1996 r. o utrzymaniu czystości i porządku w gminach (t.j. DzU z 2017 r. poz. 1289, z późn. zm.) poprzez dodanie art. 6m ust. 1a i 1b określających dane, jakich może wymagać rada gminy (zgromadzenie związku międzygminnego), określając wzór ww. deklaracji.

Podobnie dane, jakie można przetwarzać, zgodnie z zasadami RODO, określa Ustawa z dnia 14 grudnia 2012 r. o odpadach (t.j. DzU z 2018 r. poz. 992, z późn. zm.). Na przykład w art. 67 ust. 3 (dane w dokumentach ewidencji odpadów), art. 102 ust. 2 pkt 2 (dane osób fizycznych oddających odpady metalowe do punktu ich zbierania) i inne dane, które mogą być wymagane od posiadaczy odpadów, od osób zgłaszających zmianę klasyfikacji odpadów itd. W toku prowadzonych postępowań administracyjnych należy też zwracać uwagę na zasadę minimalizmu, czyli żądać od stron czy świadków wyłącznie danych osobowych, niezbędnych do realizacji danego zadania, wydania decyzji administracyjnej czy wykonania ustawowych obowiązków wierzyciela.

W praktyce obsługi organów właściwych do wydawania decyzji określających wysokość opłaty za gospodarowanie odpadami komunalnymi pojawiają się już zapytania o podstawę prawną żądania danych osobowych, np. w postaci imienia i nazwiska najemcy od właściciela nieruchomości lokalowej, stanowiącej odrębną własność, czy danych osobowych osób zamieszkujących daną nieruchomość. W takich przypadkach warto dokładnie przeanalizować, czy – w świetle zasad minimalizmu i rozliczalności – żądanie określonych danych jest faktycznie uzasadnione i czy nie wystarczy przykładowo podanie samej liczby osób zamieszkujących daną nieruchomość. Każda taka sytuacja winna być jednak analizowana odrębnie, w świetle konkretnych okoliczności, i nie można stosować żadnych stałych reguł.

Dane osobowe pracowników i kandydatów do pracy

Warto także zauważyć, że zarówno każdy przedsiębiorca, jak i organ związany z gospodarką odpadami komunalnymi przetwarza dane osobowe swoich pracowników i osób ubiegających się o zatrudnienie (kandydatów do pracy). W tym przypadku warto zwrócić uwagę na art. 221 Ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. DzU z 2018 r. poz. 917, z późn. zm.), który – mimo zapowiedzi i różnych wersji projektów nowelizacji – ostatecznie nie został zmieniony przez Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (DzU z 2018 r. poz. 1000). Ustawa ta stanowi zaskoczenie dla osób specjalizujących się w prawie ochrony danych osobowych, a to ze względu na jej szybkie przyjęcie 10 maja 2018 r. i wejście w życie 25 maja 2018 r. (dzień obowiązywania RODO). W kwestiach pracowniczych uregulowała tylko – od dawna oczekiwane – zagadnienie monitoringu w zakładzie pracy, urzędzie i monitoringu poczty elektronicznej (art. 222 oraz art. 223 kodeksu pracy), ale wobec tak nagłego wejścia w życie problem w zastosowaniu nowych przepisów dostrzegł także PUODO, który na swojej nowej stronie internetowej zamieścił odrębne wskazówki w tej kwestii  (https://uodo.gov.pl/data/filemanager_pl/911.pdf).

Zgodnie z art. 5 ust. 2 RODO, „Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX”. Po części te szczegółowe przepisy wprowadziła ww. ustawa o ochronie danych osobowych z 10 maja br., która przewiduje utratę mocy poprzednio obowiązującej ustawy, ale… pamiętajmy, że – zgodnie z art. 175 tej ustawy – nadal zachowują moc wskazane w nim przepisy w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, do dnia wejścia w życie przepisów wdrażających Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016). Oznacza to, że część nowelizowanej ustawy będzie jeszcze obowiązywała do czasu kolejnej noweli.

Nie bójmy się RODO!

W świetle powyższej analizy, tylko wyrywkowo traktującej tak obszerny temat, należy stwierdzić, że przepisy RODO nie są takie straszne jak się je powszechnie postrzega, wymagają jednak zrozumienia szerszego kontekstu i celu ich wprowadzenia. Kierując się zaś racjonalnie zasadami RODO, można – przy niewielkim nakładzie pracy – stworzyć sprawnie działające procedury ochrony danych osobowych, które obronią się w świetle zasady rozliczalności.

Przepisy RODO mają taki sam wpływ na podmioty zajmujące się gospodarką odpadami komunalnymi jak na wszystkie inne podmioty przetwarzające dane osobowe. Krajowe regulacje, czyli nowa ustawa o ochronie danych osobowych, nie ustanowiły tego typu wyłączeń. Należy zatem kierować się zasadami RODO, a w przypadku np. znalezienia na składowisku odpadów jakichkolwiek dokumentów czy nośników zawierających dane osobowe – bezzwłocznie zgłosić ten fakt.

Zgodnie bowiem z art. 4 pkt 12 RODO, naruszeniem ochrony danych osobowych jest każde „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem, zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” i – jak doprecyzowuje na swej stronie internetowej PUODO – naruszenie to musi nastąpić przez podmiot, którego dotyczy naruszenie. W takim przypadku administrator danych zobligowany jest do zgłoszenia naruszenia do PUODO w terminie 72 godzin od nastąpienia naruszenia, np. poprzez formularz zgłoszenia naruszenia ochrony danych osobowych, dostępny na stronie tego organu (https://uodo.gov.pl/pl/134/233).

Nie bójmy się zatem RODO, korzystajmy ze źródłowego tekstu ww. rozporządzenia i ustawy o ochronie danych osobowych oraz opinii i wytycznych umieszczonych czy to na oficjalnej stronie Urzędu Ochrony Danych Osobowych, czy w innych opracowaniach wiarygodnych autorów. Wszędzie tam, gdzie mamy do czynienia z jakimikolwiek danymi osobowymi osób fizycznych, należy stosować RODO.

fot. na otwarcie sozosfera.pl

Anna Ossowska

Anna Ossowska

radca prawny, od 2003 r. partner Kancelarii Radców Prawnych K. Materna, A. Ossowska Sp. p. w Poznaniu, zajmującej się od wielu lat obsługą podmiotów gospodarczych i organów samorządu gminnego – zwłaszcza związków międzygminnych, w szczególności w zakresie gospodarki odpadami komunalnymi.
http://www.materna-ossowska.pl/

reklama

partner portalu

reklama

reklama

reklama

reklama

 

reklama

partner medialny

partner medialny