Henryk Hoser

Nowy projekt wytycznych Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (European Insurance and Occupational Pensions Authority – EIOPA) dotyczący korzystania przez zakłady ubezpieczeń i zakłady reasekuracji z usług przetwarzania danych w chmurze obliczeniowej znacząco rozszerza wymogi regulacyjne w tym zakresie, zaostrzając je do poziomu zbliżonego do obowiązującego w sektorze bankowym. Wytyczne są obecnie na etapie konsultacji publicznych. Uwagi można zgłaszać do EIOPA do 30 września 2019 r.

Wprowadzenie

W ostatnich latach nastąpił znaczący wzrost popularności usług związanych z przetwarzaniem danych osobowych przy użyciu chmury obliczeniowej. Wykorzystuje się przy tym różne modele świadczenia tego rodzaju usług, w szczególności infrastruktura jako usługa (IaaS, od ang. Infrastructure as a Service), platforma jako usługa (PaaS – Platform as a Service) czy oprogramowanie jako usługa (SaaS – Software as a Service),  jak również różne modele chmury obliczeniowej, a mianowicie:

1. chmurę publiczną (z założenia ogólnodostępną dla różnych użytkowników);
2. chmurę prywatną (dostępną jedynie dla podmiotu, który ją wdrożył wewnętrznie);
3. chmurę hybrydową (łączącą cechy chmury publicznej oraz prywatnej, umożliwiającą m.in. przekazanie tylko wybranych zasobów do chmury publicznej).

Z uwagi na niskie koszty (sprzęt, oprogramowanie i całość usług związanych z chmurą obliczeniową dostarcza z reguły jeden podmiot) największą popularnością cieszą się rozwiązania bazujące na chmurze publicznej. Wiodące podmioty z branży informatycznej obecnie nie tylko widzą duży potencjał w dalszym rozbudowywaniu usług chmurowych, ale już teraz osiągają ogromne przychody dzięki dostarczaniu tego typu usług. Przykładowo Microsoft, podając niedawno wyniki kwartalne, po raz pierwszy wskazał, że usługi świadczone w chmurze obliczeniowej wygenerowały przychód większy niż ten wytworzony przez tradycyjne działy przedsiębiorstwa[1].

Dynamiczny rozwój usług chmurowych niesie ze sobą nowe wyzwania ze względu na konieczność realizacji określonych wymogów prawnych, zwłaszcza w kontekście przetwarzania danych osobowych oraz przetwarzania informacji stanowiących tajemnice prawnie chronione. Wyzwania te są szczególnie widoczne z perspektywy podmiotów prowadzących działalność regulowaną (np. bankową lub ubezpieczeniową), w której zastosowanie mają nader restrykcyjne przepisy dotyczące outsourcingu.

W ostatnim okresie różne organy Unii Europejskiej wydają kolejne dokumenty dotyczące outsourcingu, w tym outsourcingu z wykorzystaniem usług świadczonych w chmurze obliczeniowej. W dniu 25 lutego 2019 r. Europejski Urząd Nadzoru Bankowego (European Banking Authority – EBA) opublikował wytyczne w sprawie outsourcingu (znak: EBA/GL/2019/02, dalej: „Wytyczne EBA”)[2], które wejdą w życie 30 września 2019 r. i zastąpią zarówno wytyczne Komitetu Europejskich Organów Nadzoru Bankowego (CEBS) z dnia 14 grudnia 2006 r. dotyczące zlecania zadań dostawcom usług, jak i zalecenia EBA dotyczące outsourcingu w chmurze. Wytyczne EBA odnoszą się także do outsourcingu w przypadku korzystania z usług chmurowych. W wydanym 16 września 2019 r. stanowisku Urząd Komisji Nadzoru Finansowego (UKNF) przesunął moment rozpoczęcia ich stosowania w Polsce na 30 czerwca 2020 r.[3] Z kolei EIOPA w dniu 1 lipca 2019 r. opublikowała materiał konsultacyjny dotyczący jej własnych wytycznych w zakresie outsourcingu, który ogranicza się wyłącznie do outsourcingu z wykorzystaniem usług chmurowych (dalej: „Projekt (EIOPA)” lub „Wytyczne (EIOPA)”)[4]. Uwagi do tego materiału można zgłaszać do 30 września 2019 r.[5] Wytyczne EIOPA mają być stosowane od 1 lipca 2020 r. do wszystkich umów outsourcingu w chmurze zawartych lub zmienionych od tego dnia, natomiast umowy już obowiązujące powinny zostać odpowiednio zmodyfikowane do 1 lipca 2022 r.

Pewnym zaskoczeniem może być fakt, że – odmiennie niż w przypadku Wytycznych EBA – Wytyczne EIOPA odnoszą się wyłącznie do outsourcingu, który powiązany jest ze świadczeniem usług w chmurze obliczeniowej. Tym samym nie mają one charakteru kompleksowego, co z jednej strony nie wydaje się dobrym rozwiązaniem, gdyż różnice w implementacji w poszczególnych państwach członkowskich przepisów dotyczących outsourcingu z dyrektywy Solvency II[6] są znaczne. Z drugiej strony takie podejście pozwala jednak obniżyć koszty i nakłady, jakie muszą ponieść zakłady ubezpieczeń i zakłady reasekuracji w celu dostosowania się do nowych wymogów i z tego powodu może być postrzegane pozytywnie. Wydaje się jednak, że ze względu na długi okres na dostosowanie się przez zakłady ubezpieczeń i zakłady reasekuracji do Wytycznych EIOPA (a postuluje się jego dalsze wydłużenie) powinny one objąć swoim zakresem całość zagadnień dotyczących outsourcingu w działalności ubezpieczeniowej.

Bezpośrednimi adresatami Wytycznych są zakłady ubezpieczeń oraz zakłady reasekuracji. Pośrednicy ubezpieczeniowi (agenci, brokerzy ubezpieczeniowi) wprawdzie do tego kręgu nie należą[7], lecz można się spodziewać, że zakłady ubezpieczeń oraz zakłady reasekuracji mogą kontraktowo zobowiązywać pośredników do odpowiedniego stosowania Wytycznych w takim zakresie, w jakim ci ostatni, wykonując czynności na rzecz zakładu ubezpieczeń lub reasekuracji, korzystają z rozwiązań chmurowych.

Poniżej skrótowo omówione zostaną wybrane zagadnienia zaprezentowane w opublikowanym przez EIOPA Projekcie, które powinny – zdaniem autorów – budzić szczególne zainteresowanie rynku i być przedmiotem dalszego namysłu unijnego urzędu.

Outsourcing oraz outsourcing istotny w Projekcie EIOPA

Opracowując Projekt, EIOPA przyjęła założenie, że Wytyczne będą miały zastosowanie do korzystania przez zakład ubezpieczeń lub zakład reasekuracji z usług przetwarzania danych w chmurze obliczeniowej tylko wtedy, gdy w ramach tych usług dochodzi jednocześnie do outsourcingu w rozumieniu art. 13 pkt 28 dyrektywy Solvency II (implementowanego w art. 3 ust. 1 pkt 27 u.d.u.r.[8]). W przepisie tym zdefiniowano outsourcing jako dowolnego rodzaju umowę zawartą pomiędzy zakładem ubezpieczeń lub zakładem reasekuracji a dostawcą usługi, na podstawie której dostawca –bezpośrednio lub w drodze suboutsourcingu – wykonuje proces, usługę lub działanie, które w innym przypadku zostałyby wykonane przez sam zakład ubezpieczeń lub zakład reasekuracji[9]. W wytycznej 1 Projektu wskazano ponadto, że dla kwalifikacji czynności jako outsourcingu regulowanego zakład ubezpieczeń lub zakład reasekuracji powinien wziąć pod uwagę:

1. czy funkcja lub jej część będąca przedmiotem powierzenia innemu dostawcy jest wykonywana w sposób powtarzalny lub ciągły
   oraz
2. czy funkcja lub jej część będąca przedmiotem powierzenia byłaby w normalnych okolicznościach wykonywana przez zakład ubezpieczeń lub zakład reasekuracji w toku działalności biznesowej, nawet jeśli nie była wykonywana dotychczas.

Powyższe założenie EIOPA należy ocenić zasadniczo pozytywnie. Alternatywą byłoby objęcie zakresem Wytycznych każdego przypadku korzystania przez zakład ubezpieczeń lub zakład reasekuracji z usług przetwarzania danych w chmurze, co wydawałoby się nadmiarowe i nieadekwatne z punktu widzenia zasady proporcjonalności, zgodnie z którą Wytyczne powinny być stosowane. Wątpliwości budzi natomiast wprowadzenie w Projekcie swego rodzaju domniemania, że korzystanie z usług przetwarzania danych w chmurze obliczeniowej stanowi outsourcing (cytat z wersji oryginalnej: „As a rule, outsourcing should be assumed”). Wydaje się, że taka kwalifikacja prawna powinna być dokonywana według przesłanek obiektywnych, bez konieczności przyjmowania tego rodzaju założeń wstępnych.

Niewątpliwą zaletą Wytycznych EBA jest to, że wprowadzają katalog przykładowych czynności, które – co do zasady – nie stanowią outsourcingu. Należy do nich m.in. korzystanie z usług audytorów zewnętrznych, agencji informacyjnych, izb rozliczeniowych, doradców prawnych lub podmiotów świadczących usługi związane z obsługą administracyjną biura. Wprowadzenie takiego katalogu stanowi cenną wskazówkę interpretacyjną, jak należy wykładać pojęcie outsourcingu objętego zakresem tych wytycznych. EIOPA nie zdecydowała się na wprowadzenie podobnego rozwiązania w ramach Projektu, wobec czego zainteresowane podmioty powinny postulować takie jego uzupełnienie na obecnym etapie konsultacji publicznych, aby niedopuszczalne było wnioskowanie a contrario w oparciu o porównanie Wytycznych EBA z Wytycznymi EIOPA.

W przypadku potwierdzenia, że korzystanie z usług przetwarzania danych w chmurze obliczeniowej stanowi w danym przypadku outsourcing regulowany, zgodnie z Projektem należy dokonać oceny, czy zachodzi outsourcing istotny (ang. material outsourcing), czy też nie. Przez outsourcing istotny należy zawsze rozumieć outsourcing krytycznych lub istotnych funkcji operacyjnych (ang. critical or important operational functions), kwalifikowanych zgodnie z Wytycznymi EIOPA dotyczącymi systemu zarządzania (znak: EIOPA-BoS-14/253 PL, dalej: „Wytyczne EIOPA dot. Systemu Zarządzania”)[10]. Wytyczna 7 Projektu określa dodatkowe kryteria, jakie zakład ubezpieczeń lub zakład reasekuracji powinien wziąć pod uwagę, klasyfikując outsourcing jako istotny. Należą do nich m.in.: wpływ awarii lub przerwy w dostawie usługi chmurowej na usługi świadczone przez zakład, możliwość zapewnienia zgodności z przepisami prawa lub zarządzania ryzykiem, zakres i stopień skomplikowania czynności wykorzystujących usługi przetwarzania danych w chmurze obliczeniowej oraz ich koszt. Co ciekawe, w Projekcie wskazano na potrzebę wzięcia pod uwagę ochrony zarówno danych osobowych, jak i danych nieosobowych[11] wraz z potencjalnym wpływem naruszenia poufności lub braku zapewnienia dostępności i integralności danych na przedsiębiorstwo, ubezpieczających lub inne podmioty. Od tego, czy dany przypadek korzystania z rozwiązań chmurowych zostanie zakwalifikowany jako outsourcing istotny, zależeć będzie, czy będą miały zastosowanie dodatkowe wymogi dotyczące m.in. informowania organów nadzoru o zawarciu umowy (wytyczna 4 Projektu), umowy z dostawcą usługi (wytyczna 10 Projektu) czy strategii wyjścia i zakończenia współpracy (wytyczna 15 Projektu). W toku konsultacji Projektu celowe wydaje się doprecyzowanie części kryteriów lub sposobu ich stosowania.

Czynności niezbędne przed zawarciem umowy z dostawcą usługi przetwarzania danych w chmurze obliczeniowej

Zgodnie z Projektem przed zawarciem umowy z dostawcą usługi przetwarzania danych w chmurze obliczeniowej zakład ubezpieczeń lub zakład reasekuracji zobowiązany będzie do realizacji następujących czynności:

1. oceny, czy w ramach umowy ma miejsce outsourcing istotny, kwalifikowany według kryteriów określonych w wytycznej 7 Projektu;
2. zidentyfikowania i oceny wszystkich istotnych ryzyk związanych z zawarciem umowy oraz przeprowadzenia analizy kosztów i korzyści wynikających z zawarcia umowy – zgodnie z wytyczną 8 Projektu. W przypadku outsourcingu istotnego analiza ryzyka powinna zostać przeprowadzona przed zawarciem umowy z dostawcą usługi oraz w każdym przypadku przed przedłużeniem umowy (jeśli zmianie ulega jej treść lub zakres). W tym ostatnim przypadku zasadnym wydaje się postulowanie zmiany Projektu poprzez wskazanie, że ponowna analiza ryzyka powinna mieć miejsce wtedy, gdy zmiana dotyczy istotnych postanowień umowy, mających wpływ na dotychczasową ocenę ryzyka współpracy. Niezależnie od powyższego analiza ryzyka współpracy z dostawcą usługi powinna być przeprowadzona w każdym przypadku, gdy zakład ubezpieczeń lub zakład reasekuracji poweźmie informację o istotnych zmianach lub nieprawidłowościach w ramach usług świadczonych przed dostawcę;
3. przeprowadzenia badania due diligence dostawcy usługi – zgodnie z wytyczną 9 Projektu. W ramach badania należy dokonać m.in. analizy wiedzy, doświadczenia oraz sytuacji ekonomicznej dostawcy. Dokumentami wspierającymi przeprowadzenie due diligence mogą być posiadane certyfikaty potwierdzające zgodność z powszechnie uznawanymi normami, wyniki audytów wewnętrznych lub zewnętrznych przeprowadzonych u dostawcy. Warto zauważyć, że Projekt nie ogranicza obowiązku przeprowadzenia badania do outsourcingu istotnego. Wydaje się, że takie rozwiązanie może w niektórych przypadkach stanowić dla zakładów ubezpieczeń lub zakładów reasekuracji nieproporcjonalne obciążenie w stosunku do niskiej wagi czynności będących przedmiotem powierzenia dostawcy usługi w ramach outsourcingu;
4. identyfikacji i oceny konfliktów interesów, jakie outsourcing może powodować – zgodnie z wymogami określonymi w art. 274 ust. 3 lit. b) rozporządzenia delegowanego Komisji (UE) 2015/35[12] (dalej: „Rozporządzenie Delegowane”).

Powyższe obowiązki zakładów ubezpieczeń oraz zakładów reasekuracji dotyczące etapu przedkontraktowego zasadniczo istnieją już na gruncie czy to obowiązujących przepisów prawa, czy Komunikatu KNF z 23 października 2017 r. (dalej: „Komunikat KNF”). Nie oznacza to jednak, że między Projektem a Komunikatem KNF nie występują pewne rozbieżności czy odmienne sformułowania. Słuszne wydaje się zatem postulowanie, aby KNF, w ramach nadzoru w obszarze korzystania z usług przetwarzania danych w chmurze obliczeniowej, po wejściu w życie Wytycznych opierała się w stosunku do zakładów ubezpieczeń i zakładów reasekuracji przede wszystkim na Wytycznych EIOPA, nie zaś prezentowała (inne) podejście krajowe. Konieczność stosowania dwóch regulacji dotyczących tej samej materii, w znacznej mierze zbliżonych jeśli chodzi o wymogi z nich wynikające, wydaje się nieuzasadniona i może w praktyce rodzić niepotrzebne trudności.

Obowiązki notyfikacyjne względem organu nadzoru oraz rejestr umów outsourcingu

Obowiązek zawiadomienia KNF o zamiarze zawarcia umowy outsourcingu funkcji należących do systemu zarządzania oraz podstawowych lub ważnych czynności („outsourcing istotny” według Wytycznych) istnieje już teraz na gruncie art. 75 ust. 2 u.d.u.r. Zgodnie z Wytycznymi EIOPA dot. Systemu Zarządzania zakład ubezpieczeń lub zakład reasekuracji w zawiadomieniu zamieszcza opis zakresu powierzanych czynności, przyczyny outsourcingu i nazwę usługodawcy oraz – jeżeli outsourcing dotyczy kluczowej funkcji – nazwisko osoby odpowiedzialnej za funkcje lub działania objęte outsourcingiem po stronie usługodawcy. Na gruncie Projektu zakres informacji, które należy przekazać do organu nadzoru (KNF), ulega znacznemu rozszerzeniu (zob. wytyczna 4 Projektu). Do dodatkowych elementów zawiadomienia należą m.in.: załączenie projektu umowy z dostawcą usługi, określenie prawa właściwego dla umowy, model świadczenia usługi (IaaS, PaaS lub SaaS), rodzaj dostępności infrastruktury chmurowej (publiczna, prywatna lub społecznościowa), charakter danych przekazywanych do przetwarzania w chmurze obliczeniowej, lokalizacja serwerów czy analiza zastępowalności dostawcy usługi.

W świetle art. 77 u.d.u.r. na zakładach ubezpieczeń i zakładach reasekuracji ciąży obowiązek prowadzenia wewnętrznej ewidencji umów outsourcingu, zawierającej podstawowe dane dostawcy usługi, zakres powierzonych czynności i funkcji oraz okres obowiązywania umowy. Projekt istotnie rozszerza zakres informacji, jakie powinien zawierać rejestr (zob. wytyczna 5 Projektu). Elementem, który nie występuje w rejestrze określonym w Wytycznych EBA, lecz występuje w Projekcie, jest opis zasad monitoringu czynności objętych outsourcingiem przez zakład ubezpieczeń lub zakład reasekuracji wskazujący dedykowane w tym celu osoby wykonujące te zadania i ich kompetencje w tym zakresie (zgodnie z Wytycznymi EBA tego rodzaju opis przekazywany jest na żądanie organu nadzoru). Niektóre punkty w Projekcie EIOPA nie są do końca jasne. Przykładowo: warto by doprecyzować, jakie warunki przesądzają o tym, że dostawca usług w chmurze (lub znaczący podwykonawca) wspiera operacje biznesowe krytyczne czasowo (czy chodzi np. o poziom dostępności, czy o opóźnienia). Należy także rozważyć, czy w rejestrze powinny znajdować się informacje dotyczące szacowanych rocznych kosztów budżetowych, które w odniesieniu do usług chmurowych często trudno określić.

Zgodnie z Projektem rejestr powinien obejmować wszystkie przypadki powierzenia określonych funkcji dostawcy usługi przetwarzania danych w chmurze obliczeniowej niezależnie od zakwalifikowania danego outsourcingu jako istotnego, aczkolwiek w odniesieniu do outsourcingu istotnego rejestr powinien zawierać dodatkowe elementy. Zakłady ubezpieczeń oraz zakłady reasekuracji powinny, w świetle zasady proporcjonalności, określić odpowiedni okres retencji, przez który będą przechowywane w rejestrze informacje dotyczące rozwiązanych lub wygasłych umów outsourcingu.

Wymogi wobec umów outsourcingu z dostawcami

W Projekcie podkreślono, że odpowiednie prawa i obowiązki podmiotu korzystającego z usług i dostawcy usług w chmurze powinny być wyraźnie przydzielone i określone w pisemnej umowie, przy czym wskazano także na minimalny zakres uzgodnień, stanowiący uzupełnienie wymogów określonych w art. 274 Rozporządzenia Delegowanego (wytyczna 10). Wskazano m.in. na konieczność uwzględnienia takich kwestii jak:

1. jasny opis usług świadczonych w chmurze;
2. okres obowiązywania umowy, w tym okres wypowiedzenia;
3. prawo i sąd właściwe dla danej umowy;
4. zobowiązania finansowe stron, w tym model wyceny usług świadczonych w chmurze;
5. warunki podwykonawstwa (o ile zostało ono dopuszczone);
6. lokalizacja przetwarzania danych (z uwzględnieniem krajów i lokalizacji centrów przetwarzania danych) oraz warunków zmiany tych lokalizacji;
7. warunki dotyczące dostępności, integralności, poufności, prywatności i bezpieczeństwa odpowiednich danych;
8. prawo do bieżącego monitorowania wydajności dostawcy usług przez podmiot korzystający z tych usług;
9. uzgodnione poziomy obejmujące ilościowe i jakościowe cele w zakresie wydajności, które są bezpośrednio mierzalne przez podmiot korzystający z usług w celu niezależnego monitorowania otrzymanych usług;
10. obowiązki sprawozdawcze dostawcy usług w chmurze (z uwzględnieniem zobowiązań do przedstawienia sprawozdań mających znaczenie dla funkcji audytu wewnętrznego podmiotu korzystającego z usług chmurowych);
11. ewentualne objęcie obowiązkowym ubezpieczeniem od niektórych rodzajów ryzyk wraz z żądanym poziomem ochrony ubezpieczeniowej;
12. wymagania dotyczące wdrażania i testowania biznesowych planów awaryjnych.

W Projekcie określono, że niezależnie od istotności outsourcingu umowa outsourcingu powinna obejmować wszystkie wymogi określone w art. 38 dyrektywy Solvency II. W szczególności podmiot korzystający z usług świadczonych w chmurze powinien dopilnować, aby umowa outsourcingowa lub jakiekolwiek inne ustalenia umowne nie utrudniały ani nie ograniczały jego organu nadzorczego w pełnieniu funkcji i celów nadzorczych oraz skutecznego nadzoru nad funkcjami i działaniami zlecanymi na zewnątrz.

Warto także zwrócić uwagę na zaakcentowanie zagadnień związanych z rozwiązaniem umowy i strategiami wyjścia (ang. exit plan), które powinny zapobiegać uzależnieniu od konkretnego dostawcy usług chmurowych. W Projekcie wyraźnie wskazano, iż w ramach umowy outsourcingu w chmurze (przynajmniej w przypadku istotnego outsourcingu) podmiot korzystający z tego typu usług powinien mieć jasno określoną klauzulę dotyczącą strategii wyjścia, zapewniającą, że w razie potrzeby będzie w stanie rozwiązać umowę. Wypowiedzenie powinno być przy tym możliwe bez uszczerbku dla ciągłości i jakości świadczenia usług na rzecz ubezpieczających (wytyczna 15).

W ramach prawa do rozwiązania umowy i strategii wyjścia wskazano nadto na potrzebę zidentyfikowania alternatywnych rozwiązań z uwzględnieniem planów przejścia (aby umożliwić także przeniesienie usług i danych do innego dostawcy usług w chmurze lub z powrotem do podmiotu korzystającego z tych usług). W tym zakresie podkreślono także kwestię konieczności trwałego usunięcia danych po zakończeniu świadczenia usług w chmurze (tj. po ich zwróceniu bezpośrednio do podmiotu korzystającego z tych usług lub przekazaniu do innego dostawcy usług).

Prawo kontroli i audytu dostawcy usług chmurowych

W Projekcie przewidziano, że umowa outsourcingowa nie powinna ograniczać przysługującego podmiotowi korzystającemu z usług prawa dostępu i audytu dostawcy oraz możliwości kontroli usług w chmurze w celu wypełnienia obowiązków regulacyjnych. Jednocześnie podkreślono potrzebę zapewnienia przekazywania korzystającemu z usług informacji potrzebnych do odpowiedniego zarządzania i monitorowania ryzyka związanego z outsourcingiem chmurowym (wytyczna 11).

Wskazano, że zakres wspomnianych audytów powinien obejmować m.in. ocenę usługodawcy oraz, w stosownych przypadkach, jego podwykonawców, proces zarządzania incydentami (w szczególności w przypadku naruszeń danych, zakłóceń w świadczeniu usług lub innych istotnych problemów), jak również ocenę przestrzegania wytycznych dotyczących outsourcingu w chmurze. Można zauważyć, że podobne prawo przewidziane jest niezależnie (w zakresie dotyczącym przetwarzania danych osobowych) w art. 28 ust. 3 lit. h) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”). Przy określaniu częstotliwości audytów wskazano na potrzebę wzięcia pod uwagę charakteru i zakresu ryzyka oraz wpływu na podmiot korzystający z usług outsourcingu w chmurze obliczeniowej. Niemniej jednak warto zauważyć, że w Projekcie dostrzeżono istotny dla wszystkich dużych dostawców usług informatycznych (nie tylko chmurowych) problem dotyczący potencjalnego obciążenia organizacyjnego powstającego w związku z ich audytowaniem. Niewątpliwie w przypadku świadczenia usług na dużą skalę (np. dla różnych zakładów ubezpieczeń) dostawca usług chmurowych mógłby być istotnie obciążony ze względu na konieczność poddawania się cyklicznym audytom prowadzonym przez różnych jego klientów. Stąd też w Projekcie (w celu bardziej efektywnego wykorzystania zasobów audytu oraz zmniejszenia obciążenia organizacyjnego spoczywającego na dostawcy usług chmurowych i jego klientach) dopuszczono możliwość:

1. korzystania przy realizacji prawa do audytu z certyfikatów oraz raportów stron trzecich lub raportów wewnętrznych udostępnionych przez dostawcę usług chmurowych;
2. audytów zbiorczych (np. przeprowadzanych wspólnie z innymi klientami tego samego dostawcy usług chmurowych) lub przeprowadzanych przez innych klientów lub przez wskazany przez nich podmiot.

Takie rozwiązanie wydaje się racjonalne, jakkolwiek warto mieć na uwadze, że w Projekcie umieszczono liczne zastrzeżenia w odniesieniu do realizacji prawa do audytu poprzez certyfikaty oraz raporty stron trzecich lub raporty wewnętrzne udostępnione przez dostawcę usług chmurowych. Wskazano m.in., że w przypadku szczególnych potrzeb umownie powinno być zachowane prawo do przeprowadzania indywidualnych kontroli na miejscu według własnego uznania w zakresie dotyczącym istotnego outsourcingu. Kwestie te opisano zasadniczo podobnie w Wytycznych EBA, jednakże EBA bardziej restrykcyjnie podchodzi do zagadnień związanych z outsourcingiem krytycznych lub istotnych funkcji. W tym zakresie celowe byłoby zachowanie większej spójności w Projekcie EIOPA.

Wydaje się ponadto, że Wytyczne powinny zawierać bardziej precyzyjnie odniesienie do dopuszczalności częściowego wyłączenia prawa do bezpośredniej realizacji uprawnień audytowych przez podmiot korzystający z usług świadczonych w chmurze obliczeniowej. Mając na uwadze skalę działalności dostawców usług chmurowych, zasadne wydaje się rozważenie przyjęcia jako standardu możliwości korzystania z audytu, certyfikatów oraz raportów stron trzecich, a ewentualne bezpośrednie realizowanie uprawnień audytowych ograniczyć do sytuacji, w których dostarczone certyfikaty lub raporty stron trzecich okazałyby się niewystarczające.

Suboutsourcing

W Projekcie zaakcentowano także potrzebę umownego określenia, czy podoutsourcing jest dozwolony, czy też wykluczony. W szczególności wskazano, że dla spełnienia wymogów wynikających z art. 274 ust. 4 lit. k) i lit. l) Rozporządzenia Delegowanego, umowa w sprawie outsourcingu w chmurze powinna określać, w stosownych przypadkach, czy podwykonawstwo krytycznych lub ważnych funkcji dotyczących działalności podmiotu korzystającego z usług chmurowych lub znacznych ich części są dozwolone lub wyraźnie wykluczone.

Zaznaczono, że podmiot korzystający z usług w chmurze powinien zgodzić się na podoutsourcing, wyłącznie jeśli podwykonawca będzie w pełni realizował obowiązki nałożone w pierwszej kolejności na dostawcę usług chmurowych. Obowiązki te obejmują przede wszystkim prawa do audytu i dostępu oraz odpowiednie zabezpieczenie danych i systemów. Ponadto umowa dotycząca outsourcingu w chmurze powinna określać, jakiego rodzaju czynności są wykluczone z potencjalnego podwykonawstwa, jak również wskazywać, że dostawca ponosi pełną odpowiedzialność za usługi, które zlecił podwykonawcom. Dodatkowe wymogi odnoszą się także do informowania o podwykonawcach oraz zagwarantowania prawa sprzeciwu w sytuacji, w której zmiany miałyby niekorzystny wpływ na ocenę ryzyka uzgodnionych usług (wytyczna 13).

Wytyczne mają istotne znaczenie w kontekście aktualnie rozpowszechnionej wykładni przepisów u.d.u.r., które nie regulują wprost kwestii suboutsourcingu. Niekiedy – zdaniem autorów niesłusznie – przyjmuje się bowiem, że w przepisach tych wyłączono możliwość dalszego outsourcingu („podoutsourcingu”): „Należy wyłączyć możliwość dokonania przez dostawcę usług dalszego powierzenia wykonywania czynności lub funkcji zakładu (które to czynności lub funkcje dostawca ten wykonuje na mocy postanowień umowy outsourcingu) innemu podmiotowi. W świetle postanowień z art. 73 u.d.u.r. takiego powierzenia może dokonać wyłącznie zakład. Wyłączyć należy zatem w ogólności możliwość dokonywania dalszego outsourcingu (outsourcingu wtórnego) przez dostawcę usług outsourcingowych (podzlecenia czynności outsourcingowych). Takie hipotetyczne podzlecenie byłoby bowiem w opozycji do postanowień z art. 74 i 75 u.d.u.r.”[13]. Takie rozwiązanie byłoby bardziej restrykcyjne niż to przyjęte w przypadku działalności bankowej (gdzie podoutsourcing jest dopuszczalny). Warto jednak mieć na uwadze, że w doktrynie prezentowane są także słuszne stanowiska odmienne w zakresie wykładni pojęcia outsourcingu wskazanego w art. 3 ust. 1 pkt 27 u.d.u.r: „Przedstawiona definicja dopuszcza również możliwość tzw. suboutsourcingu, czyli dalszego zlecenia innym podmiotom usług outsourcingowych przez podmiot, który przyjął takie pierwotne zlecenie od zakładu ubezpieczeń lub zakładu reasekuracji”[14]. Co ciekawe, możliwości suboutsourcingu w ogóle nie wykluczają przepisy dyrektywy Solvency II, gdzie wprost stwierdzono, że outsourcing może być realizowany w drodze suboutsourcingu (zob. art. 13 pkt 28 dyrektywy Solvency II). Możliwość suboutsourcingu przewidziano także w Rozporządzeniu Delegowanym, dlatego też definicja znajdująca się w art. 3 ust. 1 pkt 27 u.d.u.r., która całkowicie przemilcza tę kwestię, budzi wątpliwości.

Wydaje się, że w Wytycznych EIOPA powinno jednak znaleźć się odniesienie do ewentualnej dopuszczalności kolejnych poziomów suboutsourcingu (tzw. suboutsourcing łańcuchowy) nawiązujące do dyrektywy Solvency II i Rozporządzenia Delegowanego. Pozytywnie należy natomiast odnieść się do wytycznych dopuszczających wprost podoutsourcing w ramach usług chmurowych. Całkowite wykluczenie podoutsourcingu w praktyce uniemożliwiłoby korzystanie w większości przypadków z tego typu usług, które z racji swojego charakteru opierają się zazwyczaj na większej liczbie podwykonawców.

Mając na uwadze treść Wytycznych, warto na gruncie przepisów u.d.u.r. rozważyć także możliwość szerszego przyjęcia dopuszczalności podoutsourcingu w ramach działalności ubezpieczeniowej w związku z podzlecaniem różnego rodzaju usług – nie tylko tych związanych z przetwarzaniem danych przy użyciu chmury obliczeniowej.

[1] Zob. https://businessinsider.com.pl/gielda/wiadomosci/microsoft-wyniki-finansowe-za-iv-kw-2019-roku/x9gc5b7.

[2] Tekst Wytycznych EBA dostępny jest pod adresem https://eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on+outsourcing_PL.pdf.

[3] Zob. https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_ws_outsourcingu_67075.pdf.

[4] Tekst projektu wytycznych jest dostępny pod adresem https://eiopa.europa.eu/Publications/Consultations/2019-07-01%20ConsultationDraftGuidelinesOutsourcingCloudServiceProviders.pdf.

[5] Formularz do zgłaszania uwag dostępny jest pod adresem https://ec.europa.eu/eusurvey/runner/Consultation_Cloud_GL_2019.

[6] Dyrektywa Parlamentu Europejskiego i Rady 2009/138/WE z dnia 25 listopada 2009 r. w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II) (Dz. Urz. UE L 335 z 17.12.2009, s. 1).

[7] W doktrynie wskazuje się, że umowy agencyjne co do zasady nie powinny być kwalifikowane jako umowy outsourcingowe: „Za słuszne należy uznać stanowisko, zgodnie z którym umowy agencyjnie nie są objęte przepisami dotyczącymi outsourcingu. Takie stanowisko uzasadnia fakt, że katalog czynności, których powierzenie innemu podmiotowi powinno odbywać się w drodze outsourcingu, nie obejmuje czynności związanych z zawieraniem umów ubezpieczenia. Jednakże w przypadku gdyby w ramach umowy agencyjnej powierzono agentowi wykonywanie jakichkolwiek czynności, które są uwzględnione w omawianym katalogu, wówczas bez wątpienia znajdą zastosowanie przepisy dotyczące outsourcingu” (P. Czublun (red.), Ustawa o działalności ubezpieczeniowej i reasekuracyjnej. Komentarz, Warszawa, 2016).

[8] Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (tekst jedn.: Dz. U. z 2019 r., poz. 381).

[9] W Polsce szczegółowe zasady dotyczące outsourcingu ubezpieczeniowego uregulowano w art. 73–77 u.d.u.r.

[10] Zob. https://eiopa.europa.eu/GuidelinesSII/EIOPA_Guidelines_on_System_of_Governance_PL.pdf.

[11] Kwestie dotyczące danych innych niż osobowe regulują obecnie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (Dz. Urz. UE L 303 z 28.11.2018, s. 59). Niezależnie od przepisów tego rozporządzenia warto mieć także na uwadze, że w przypadku działalności ubezpieczeniowej niektóre dane (np. dotyczące poszczególnych umów ubezpieczenia osób prawnych), mimo braku charakteru danych osobowych, mogą stanowić tajemnicę ubezpieczeniową w rozumieniu 35 ust. 1 u.d.u.r.

[12] Rozporządzenie delegowane Komisji (UE) 2015/35 z dnia 10 października 2014 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2009/138/WE w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II) (Dz. Urz. UE L 12 z 17.01.2015, s. 1).

[13] P. Wajda, Art. 73, [w:] Ustawa o działalności ubezpieczeniowej i reasekuracyjnej. Komentarz, Wolters Kluwer, 2017.

[14] P. Czublun (red.), dz. cyt.

W dniu 9 września 2019 r. na stronie internetowej Urzędu Ochrony Danych Osobowych pojawiła się odpowiedź na pismo skierowane do organu nadzorczego przez prezesa Związku Banków Polskich[1].

Tekst wzbudził bardzo duże kontrowersje i był żywo komentowany w zasadzie od razu  po publikacji.

Próbując odpowiedzieć na pytanie, co miał na myśli Prezes UODO, można stwierdzić, że… nie wiadomo – poza tym, że najwyraźniej nie podoba mu się kopiowanie dokumentów tożsamości przez banki.

Warto na chłodno przyjrzeć się stanowisku przedstawionemu przez organ nadzorczy. Po pierwsze wydaje się ono rewolucyjne względem dotychczasowej linii orzeczniczej (w świetle której kopiowanie dokumentów było uznawane wyłącznie za czynność techniczną[2]. Po drugie trudno sobie wyobrazić jego praktyczne stosowanie przez banki (banki krajowe, oddziały instytucji kredytowych, oddziały banków zagranicznych). Po trzecie można odnieść wrażenie, że organ nadzorczy postanowił rozszerzyć swoje kompetencje wynikające z ogólnego rozporządzenia o ochronie danych (dalej: „RODO”)[3], a doprecyzowane w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: „u.o.d.o.”)[4]. Zamiast monitorować i egzekwować stosowanie przepisów RODO (zgodnie z art. 57 ust. 1 lit. a) RODO i art. 34 ust. 2 i innymi przepisami u.o.d.o.) przyjął najwyraźniej, że lepiej będzie wystąpić w roli prawodawcy.

Organ nie zakwestionował wprawdzie możliwości legalnego kopiowania dokumentów tożsamości przez banki, niemniej jednak ewidentnie uznał, że takie działanie powinno mieć charakter ograniczony. Można by zgodzić się z jego rozważaniami na temat art. 112b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (dalej: „p.b.”)[5] czy z niektórymi spostrzeżeniami dotyczącymi ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: „ustawa AML”)[6], ale trudno zaakceptować jego postulaty związane ze szczególnym traktowaniem kopii dokumentów tożsamości[7].

Prezes UODO nie ograniczył się do zwykłej interpretacji przepisów, stwierdzając, iż „sporządzanie kopii dowodów tożsamości w ocenie organu nadzorczego jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy”. Należy zauważyć przy tym, że organ nie stosuje konsekwentnie określonych terminów, raz wskazując na „kopie dowodów tożsamości”, innym razem zaś na „kopie dokumentów tożsamości”. Nieprecyzyjne słownictwo wskazuje na pobieżne potraktowanie problematyki. Nie sposób zresztą racjonalnie przyjąć, że w świetle obowiązujących przepisów można mówić o sporządzeniu „kopii dowodu tożsamości”, skoro skopiować można co najwyżej dokument tożsamości, który to dokument może dopiero stanowić dowód tożsamości. Trudno więc oczekiwać, że organ w ogóle rozważał ewentualne wątpliwości w zakresie tego, czy pojęcie „dokument tożsamości”, o którym mowa w ustawie AML czy w art. 112b p.b., powinno ograniczać się wyłącznie do dokumentów stwierdzających tożsamość, czy też może obejmować także innego rodzaju dokumenty.

Niezależnie od tych uwag brak jest jakiegokolwiek przepisu prawa (zwłaszcza przepisu RODO), który uzasadniałby stanowisko przedstawione przez Prezesa UODO. Prezentując streszczony powyżej pogląd, organ nadzorczy zaproponował – jak się zdaje – wprowadzenie kolejnego rodzaju danych osobowych (danych znajdujących się w dokumentach tożsamości) czy też jedynej w swoim rodzaju operacji przetwarzania (kopiowania dokumentów tożsamości), które wymagają szczególnej podstawy prawnej, tj. przepisów rangi ustawowej.

Taka konstrukcja jawi się jako nieuzasadniona. W RODO można wyróżnić trzy rodzaje danych:

• dane zwykłe (które mogą być przetwarzane w oparciu o jedną z podstaw wskazanych w art. 6 ust. 1 RODO);
• szczególne kategorie danych – tzw. dane wrażliwe (które mogą być przetwarzane w oparciu o jedną z podstaw wskazanych w art. 9 ust. 2 RODO);
• dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (których przetwarzania na podstawie art. 6 ust. 1 RODO wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą).

Warto mieć na uwadze, że obecnie żaden z tych rodzajów danych osobowych nie musi mieć specjalnej podstawy prawnej (jedynie) w ustawie (jak wydaje się chcieć Prezes UODO w swym stanowisku), aby można je było legalnie przetwarzać (wymóg taki względem tzw. danych wrażliwych przewidywały nieobowiązujące już przepisy ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.). Artykuł 6 ust. 1 lit. c) RODO (w zakresie danych zwykłych), art. 9 ust. 2 lit. b), g), i), j) RODO (w zakresie danych wrażliwych) czy art. 10 RODO (w zakresie danych wskazanych w tym przepisie) wspominają wyłącznie o obowiązku prawnym lub przepisach prawa Unii lub prawa państwa członkowskiego, które w określonych okolicznościach mogą stanowić podstawę prawną przetwarzania. W porządku prawnym Rzeczypospolitej Polskiej katalog źródeł prawa określa art. 87 Konstytucji RP[8] zgodnie z którym źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (ust. 1), a także akty prawa miejscowego na obszarze działania organów, które je ustanowiły (ust. 2).

Wydaje się, że przynajmniej teoretycznie akt każdego z wymienionych rodzajów (a nie tylko ustawa) mógłby określać zasady dotyczące przetwarzania danych znajdujących się w dokumentach tożsamości.

Kopia dowodu osobistego nie zawiera danych wrażliwych w rozumieniu art. 9 ust. 2 RODO, a jedynie dane zwykłe (w zależności od wersji dokumentu tożsamości danych tych może być mniej lub więcej). Nie ma przy tym żadnych uzasadnionych podstaw do tego, by kopię dokumentu tożsamości należało traktować jako swoiste dane szczególnej kategorii, które można przetwarzać wyłącznie na podstawie przepisów ustawowych. Wystarczające gwarancje w tej mierze zapewniają zasady ujęte w art. 5 RODO (w szczególności zasada minimalizacji danych – art. 5 ust. 1 lit. c) RODO).

Administrator danych musi oczywiście posiadać podstawę prawną do zebrania danych osobowych, natomiast sposób, w jaki to zebranie nastąpi (spisanie lub skopiowanie danych), jest kwestią absolutnie wtórną.

Prezes UODO trafnie przytoczył przepisy ustawy AML, w szczególności jej art. 34 i 35. Przepisy te pozwalają przyjąć, że instytucje obowiązane (w tym banki) mogą przetwarzać dane znajdujące się w dokumentach tożsamości na podstawie art. 6 ust. 1 lit. c) RODO.

Kluczowy wydaje się tutaj art. 34 ust. 4 ustawy AML, który przesądza, że instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. W przypadku banków można ponadto powoływać się zasadnie na art. 112b p.b., zgodnie z którym banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Warto jednak pamiętać, że instytucjami zobowiązanymi w rozumieniu ustawy AML mogą być również inne zobowiązane do stosowania tych przepisów podmioty (nie tylko banki!), które mogą mieć jeszcze większe wątpliwości w konsekwencji stanowiska zaprezentowanego przez organ nadzorczy. Jako przykład można podać krajowe instytucje płatnicze, które w ustawie o usługach płatniczych[9] nie znajdują przepisu analogicznego do tego, który obowiązuje banki. Pewne wątpliwości na gruncie p.b. mogą dotyczyć tego, czy dokument tożsamości powinien być rozumiany wąsko (jedynie jako dokument stwierdzający tożsamość), czy raczej powinien obejmować także innego rodzaju dokumenty, co było już przedmiotem rozważań doktryny: „Istnieją wątpliwości odnośnie do zakresu pojęcia «dokument tożsamości». Z pewnością do dokumentów tożsamości można zaliczyć dowód osobisty, paszport, karty stałego pobytu wydawane cudzoziemcom. Nie jest jednak jasne, czy dokumentem tożsamości w rozumieniu komentowanego przepisu mogłoby być także np. prawo jazdy, legitymacja szkolna (za szerokim rozumieniem dokumentu tożsamości opowiada się M. Bączyk, w: Prawo…, s. 603). Z punktu widzenia celu, dla którego banki mogą przetwarzać dane zawarte w dokumentach tożsamości, szerokie rozumienie tego pojęcia byłoby jak najbardziej uzasadnione”[10]. Podobne wątpliwości mogą się pojawiać na gruncie ustawy AML, lecz do tej kwestii organ nadzorczy w ogóle się nie odniósł.

W odpowiedzi Prezesa UODO zabrakło jednoznacznego wskazania, że dane zawarte w dokumentach tożsamości to takie same dane jak dane innego rodzaju – jego stanowisko jest w tym względzie niejasne.

W świetle dotychczasowej praktyki oraz orzecznictwa, których słuszność nie budzi wątpliwości, kopiowanie (np. dokumentu tożsamości) jest czynnością techniczną i jednym ze sposobów zbierania danych osobowych. Żaden z przepisów RODO nie zabrania konkretnego sposobu zbierania danych. Ponownie należy podkreślić, że kluczowy jest zakres zbieranych danych, który powinien być oceniany pod kątem legalności i adekwatności przetwarzania, sposób zbierania danych jest natomiast kwestią wtórną.

Błędne wydaje się przyjęcie, że nowe zagrożenia mogą skutkować kwestionowaniem legalności przetwarzania danych. Takie podejście – co widać na przykładzie odpowiedzi Prezesa UODO – może prowadzić do nieuzasadnionego tworzenia szczególnych podstaw prawnych (nieprzewidzianych w przepisach!) w celu zapewnienia legalności określonych operacji przetwarzania konkretnych rodzajów danych.

Przyjęcie takich rozwiązań prowadzić będzie jedynie do kolejnych absurdów. Idąc tym tropem rozumowania, można by dojść do wniosku, że w kolejnej odpowiedzi organ nadzorczy uzna, iż możliwość przetwarzania wizerunku utrwalonego na zdjęciu wymaga szczególnej podstawy prawnej (np. osobnej zgody podmiotu danych), ponieważ pojawiły się nowe zagrożenia związane np. ze zjawiskiem deepfake[11]. Jeśli określony rodzaj danych (czy dokumentów) może wiązać się z dodatkowymi zagrożeniami, racjonalne wydaje się przyjęcie dodatkowych środków zabezpieczających dane (np. ograniczenie dostępu do danych w ramach organizacji bądź specjalne oznaczenie takich danych lub kopii dokumentów), a nie kwestionowanie podstawy prawnej przetwarzania danych, która w określonych okolicznościach w ogóle nie powinna budzić wątpliwości.

Wracając do działalności bankowej i obowiązków związanych z realizacją wymogów określonych w ustawie AML, należałoby uznać, że kopiowanie dokumentów tożsamości przez banki powinno być zasadą, od której ewentualne wyjątki mogłyby być uregulowane wewnętrznymi procedurami.

Przede wszystkim trzeba mieć na uwadze, że zgodnie z art. 35 ust. 1 pkt 1 ustawy AML instytucje zobowiązane stosują środki bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych. Wydaje się zatem, że w każdym przypadku, w którym osoba zamierza założyć konto (w oddziale banku czy online), procedura bankowa powinna w zasadzie nakazywać sporządzenie kopii bądź skanu dokumentu tożsamości w celu realizacji wymogów ustawy AML. W świetle wyjaśnień Prezesa UODO wcale nie jest to oczywiste – wręcz można uznać, że pracownik banku powinien, zgodnie z zasadami celowości i minimalizacji, o których mowa w RODO, ocenić, czy czynność skopiowania dokumentu jest niezbędna, skoro art. 34 ust. 4 ustawy AML przewiduje taką możliwość, a nie obowiązek.

Być może w ocenie organu nadzorczego byłoby najlepiej (w celu uniknięcia zarzutu naruszenia zasady adekwatności), gdyby bank zwrócił się do klienta o przekazanie kopii dokumentu tożsamości dopiero w momencie zlecenia przeprowadzenia transakcji okazjonalnej na 15 000 euro lub większej. W rzeczywistości trudno sobie wyobrazić, jak w praktyce miałaby wyglądać realizacja wymogów wynikających z ustawy AML w świetle rozważań Prezesa UODO.

Szkoda, że organ nadzorczy nie zajmuje się działaniami, do których jest wprost uprawniony zgodnie z art. 58 ust. 3 RODO (np. przyjmowaniem standardowych klauzul ochrony danych, o których mowa w art. 28 ust. 8 RODO, czy sprawnym opiniowaniem i zatwierdzaniem projektów kodeksów postępowania zgodnie z art. 40 ust. 5 RODO), ani też nie korzysta z dodatkowych uprawnień przewidzianych w przepisach u.o.d.o. Przykładowo: art. 53 ust. 1 pkt 4 u.o.d.o. przewiduje, że Prezes UODO udostępnia na swojej stronie internetowej w Biuletynie Informacji Publicznej rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Tego typu zalecenia, jakkolwiek nie posiadają charakteru wiążącego, mogłyby jednak w przypadku konkretnej działalności stanowić istotne wsparcie dla administratorów danych (w tym instytucji zobowiązanych w rozumieniu ustawy AML).

Niestety, zamiast przedstawiać rekomendacje dotyczące ewentualnych środków technicznych i organizacyjnych, które powinny zostać skonsultowane z zainteresowanymi podmiotami, organ nadzorczy zajął kolejne kontrowersyjne stanowisko.

[1] Tekst odpowiedzi Prezesa UODO dostępny jest pod adresem: https://uodo.gov.pl/pl/138/1182.

[2] „gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych. Inaczej mówiąc, posługiwanie się taką czy inną techniką utrwalania danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania).” – uzasadnienie wyroku NSA z dnia 19 grudnia 2001 r., sygn. II SA 2869/00

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1).

[4] Dz. U. poz. 1000 ze zm.

[5] Tekst jedn.: Dz. U. z 2018 r., poz. 2187 ze zm.

[6] Tekst jedn.: Dz. U. z 2019 r., poz. 1115 ze zm.

[7] W świetle aktualnych przepisów zabronione jest jedynie wytwarzanie, oferowanie, zbywanie lub przechowywanie repliki dokumentu publicznego (art. 58 ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych – Dz. U. z 2019 r., poz. 53 ze zm.). Zgodnie z art. 2 ust. 1 pkt 2 ustawy o dokumentach publicznych przez dokument publiczny należy rozumieć dokument, który służy do identyfikacji osób, rzeczy lub potwierdza stan prawny lub prawa osób posługujących się takim dokumentem, zabezpieczony przed fałszerstwem i: a) wytwarzany według wzoru określonego w przepisach prawa powszechnie obowiązującego albo; b) którego wzór graficzny i forma zostały zatwierdzone przez podmiot realizujący zadania publiczne uprawniony na podstawie odrębnych przepisów i który jest zgodny z wymogami dla blankietu tego dokumentu określonymi w przepisach prawa powszechnie obowiązującego.

[8]Dokumentem publicznym może być także dokument potwierdzający tożsamość osoby, jednakże skan lub kserokopię dokumentu, co do zasady, nie sposób uznać za replikę dokumentu publicznego w rozumieniu art. 2 ust. 1 pkt 6 ww. ustawy. Przykładami dokumentów potwierdzających tożsamość mogą być dowód osobisty (zgodnie z art. 4 ust. 1 ustawy z dnia 6 sierpnia 2010 r. o dowodach osobistych – tekst jedn.: Dz. U. z 2019 r., poz. 653 ze zm.) czy dokument paszportowy (zgodnie z art. 4 ustawy z dnia 13 lipca 2006 r. o dokumentach paszportowych – tekst jedn.: Dz. U. z 2018 r., poz. 1919 ze zm.).

Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu 25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r. – Dz. U. nr 78, poz. 483 ze zm

[9] Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych – tekst jedn.: Dz. U. z 2019 r., poz. 659 ze zm.

[10] „A. Kawulski, Art. 112(b). W: Prawo bankowe. Komentarz [online]. Wydawnictwo Prawnicze LexisNexis, 2019-08-19 14:32 [dostęp: 2019-09-12 16:09]. Dostępny w Internecie: https://sip.lex.pl/#/commentary/587390183/187623

[11] W sieci pojawiło się wiele przykładów deepfake. Niektóre mogą wzbudzać niepokój (np. spreparowane nagrania wypowiedzi światowych przywódców), niektóre bawić – jak w przypadku nagrania, w którym Jon Snow (grany przez Kita Haringtona) przeprasza widzów za zakończenie serialu „Gra o tron”.

Na stronie internetowej Urzędu Ochrony Danych Osobowych (dalej: „UODO”) kilka tygodni temu opublikowany został poradnik zatytułowany Obowiązki administratorów związane z naruszeniami ochrony danych osobowych[1]  (dalej: „Poradnik UODO”). Z uwagi na ogólny charakter przepisów RODO[2] oraz bardzo krótkie terminy na zgłoszenie naruszeń do organu nadzorczego, po stronie podmiotów przetwarzających dane osobowe w dalszym ciągu pojawiają się wątpliwości co do działań, jakie należy podejmować w związku z takimi naruszeniami. Poradnik zamieszczony na stronie internetowej organu nadzorczego zawiera wiele praktycznych wskazówek oraz omówienie najczęstszych błędów popełnianych podczas zawiadamiania osób, których dane dotyczą, niemniej jednak zabrakło w nim wyjaśnienia kilku istotnych kwestii.

Po pierwsze, jakkolwiek treść wytycznych zawiera istotne wskazówki w tym zakresie, pewnych trudności przysparzać może ustalenie, w którym momencie dochodzi do stwierdzenie naruszenia.

Po drugie, wątpliwości mogą dotyczyć tego, czy w sytuacji, w której naruszenie miało miejsce u podmiotu przetwarzającego, bieg terminu na zgłoszenie naruszenia należy liczyć od momentu jego stwierdzenia u podmiotu przetwarzającego, czy może od momentu zgłoszenia go administratorowi.

Po trzecie, w świetle wyjaśnień zawartych w Poradniku UODO nie jest też jasne, w którym momencie należy oceniać ryzyko naruszenia praw lub wolności osób fizycznych w razie utraty dostępności  danych.

Moment stwierdzenia naruszenia

Do stwierdzenia naruszenia ochrony danych osobowych konieczne jest zajście zdarzenia, którego skutkiem może (ale nie musi) być takie naruszenie. Stosownie do treści art. 4 pkt 12 RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Aby zatem uznać, że takie naruszenie miało miejsce, w pierwszej kolejności należałoby ustalić, czy określone zdarzenie w ogóle wystąpiło oraz czy prowadziło ono do skutków, o których mowa w art. 4 pkt 12 RODO.

Obowiązkiem administratora danych jest niewątpliwie przygotowanie określonych procedur reagowania na informacje dotyczące potencjalnych naruszeń, które mogą skutkować utratą poufności, integralności lub dostępności danych[3].

Potrzebę wprowadzenia stosownych procedur w tym zakresie zaakcentowano także w Poradniku UODO. Wskazano w nim, że w celu zapewnienia szybkich działań w przypadku wykrycia naruszenia procedury te powinny zawierać m.in.:

• cel, w jakim dana procedura została opracowana;
• zakres stosowania procedury;
• katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora;
• opis etapów zarządzania naruszeniem, począwszy od jego wykrycia, a kończąc na usunięciu;
• opis postępowania personelu administratora w przypadku wystąpienia naruszenia ochrony danych[4].

Najpierw pojawia się zatem informacja o możliwości wystąpienia naruszenia. Może ona pochodzić z wewnątrz organizacji (np. powiadomienie pracownika o włamaniu do pomieszczenia, z którego prawdopodobnie skradziono nośniki danych) bądź spoza organizacji (np. anonimowy mail informujący o kradzieży danych z serwerów firmy). Zgodnie z wewnętrznymi procedurami każdy taki przypadek powinien podlegać sprawnej i szybkiej weryfikacji w celu ustalenia, czy faktycznie doszło do naruszenia ochrony danych osobowych. Nie wydaje się jednak, aby w każdym przypadku samo pojawienie się tego typu informacji należało uznać za stwierdzenie naruszenia ochrony danych osobowych. Przykładowo: zgłoszenie przez pracownika, że w obszarze przetwarzania danych osobowych prawdopodobnie przebywa osoba nieuprawniona, wymaga ustalenia, czy faktycznie doszło do takiej sytuacji. Następnie, w razie jej potwierdzenia, należałoby ustalić, czy spełnione są pozostałe przesłanki określone w art. 4 pkt 12 RODO. Jakkolwiek obecność osoby nieuprawnionej w obszarze przetwarzania danych będzie naruszeniem bezpieczeństwa, to nie wydaje się, aby w każdym przypadku skutkowało ono naruszeniem ochrony danych osobowych. Jeśli po analizie dostępnych informacji (np. nagrań z monitoringu, logów z sytemu informatycznego itp.) okaże się, że naruszenie to nie prowadziło do skutków, o których mowa w art. 4 pkt 12 RODO (w szczególności nie doszło faktycznie do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych), to – w ocenie autora – trudno zakwalifikować takie zdarzenie jako naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Stąd też wątpliwości budzi dokonana w Poradniku UODO ocena następującej sytuacji, przedstawionej tamże jako przykład naruszenia, w którym jednak nie wystąpiło ryzyko naruszenia praw i wolności osoby fizycznej:

Pracownik kancelarii przez pomyłkę wynosi poza jej obszar teczkę z niezabezpieczonymi danymi osobowymi, wśród których znajdują się również szczególne kategorie danych osobowych. Po chwili orientuje się, że nastąpiła pomyłka i wraca do kancelarii, zwracając teczkę. Działanie takie naruszyło zasady ochrony danych, ale nie mogło skutkować naruszeniem praw lub wolności osób fizycznych, gdyż dane nie zostały udostępnione[5].

Trudno jednoznacznie uznać, czy w cytowanym przykładzie w ogóle doszło do naruszenia ochrony danych osobowych. Niewątpliwie można uznać, że wystąpił pewnego rodzaju incydent bezpieczeństwa (jeśli dane nie powinny być wyniesione), jednak nie prowadził on raczej do wystąpienia skutków określonych w art. 4 pkt 12 RODO. Kwestię tę dostrzegła także Grupa Robocza Art. 29, która wskazała na różnicę pomiędzy incydentem bezpieczeństwu a naruszeniem ochrony danych osobowych[6].

Wiele problemów może dotyczyć ewentualnych naruszeń związanych z utratą dostępności danych. W Poradniku UODO zaznaczono, że „nie każda czasowa niedostępność danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw lub wolności osób fizycznych”[7]. Takie spojrzenie budzi wątpliwości. O ile bowiem planowana czasowa niedostępność danych (np. w związku z prowadzoną konserwacją systemu informatycznego) nie powinna być sama w sobie traktowana jako naruszenie, o tyle w przypadku niezamierzonego czasowego braku dostępności danych należałoby rozważyć, czy – w świetle definicji przyjętej w art. 4 pkt 12 RODO – faktycznie mamy do czynienia z naruszeniem ochrony danych osobowych.

Jakkolwiek chwilowy brak dostępu do danych (o ile nie jest powiązany z ich trwałą utratą) może rodzić negatywne konsekwencje dla podmiotu danych, to – w ocenie autora – nie wydaje się naruszeniem ochrony danych w rozumieniu definicji określonej w art. 4 pkt 12 RODO. Takie zdarzenie nie prowadzi bowiem do skutków określonych w art. 4 pkt 12 RODO, tj. do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Z całą pewnością można natomiast stwierdzić naruszenie ochrony danych osobowych w sytuacji, w której naruszenie dostępności ma charakter trwały.

Problem ten dostrzeżono także w doktrynie:

Bez względu na intensywność naruszenia i jego czysty czy mieszany charakter w wielu przypadkach od samego początku będzie wiadomo, że doszło do naruszenia poufności lub naruszenia integralności. Na tym tle inaczej wygląda kwestia naruszenia dostępności danych, gdyż wymaga to zbadania, czy istniejące zasoby pozwalają przywrócić dostęp lub odtworzyć dane. Niemniej zaburzenie dostępności zawsze powinno być uznawane za naruszenie dostępności, jeśli nastąpiła trwała utrata lub zniszczenie danych osobowych[8].

Należy jednak zauważyć, że odmienne stanowisko w tym zakresie zaprezentowała Grupa Robocza Art. 29. W jej opinii czasowa utrata dostępności danych stanowi rodzaj naruszenia i powinna być każdorazowo udokumentowana:

incydent bezpieczeństwa skutkujący utratą dostępu do danych osobowych przez określony czas również stanowi rodzaj naruszenia, ponieważ brak dostępu do danych może wywrzeć istotny wpływ na prawa i wolności osób fizycznych. (…). Naruszenie skutkujące tymczasową utratą dostępności danych powinno zostać udokumentowane zgodnie z art. 33 ust. 5, podobnie jak naruszenie skutkujące trwałą utratą lub zniszczeniem danych osobowych (lub dowolny inny rodzaj naruszenia).  (…) Zgodnie z art. 33 administrator jest zobowiązany do zgłoszenia naruszenia, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw i wolności osób fizycznych. Kwestię tę trzeba będzie oczywiście ocenić w poszczególnych przypadkach[9].

Z kolei rozwiązanie zaproponowane w Poradniku UODO niejako odwraca kolejność działań, tj. przed ustaleniem, czy zdarzenie, do którego doszło, skutkuje naruszeniem ochrony danych osobowych, zaleca się przeprowadzenie oceny ryzyka dla praw lub wolności osób fizycznych w celu stwierdzenia, czy zdarzenie powinno zostać uznane za takie naruszenie, czy nie. Takie podejście wydaje się co najmniej kontrowersyjne. Stanowisko zawarte w Poradniku UODO w tym zakresie nie jest spójne, w dalszej części poradnika wskazano bowiem jednoznacznie, że „konsekwencją stwierdzenia naruszenia jest konieczność przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Analiza ta pozwoli stwierdzić, czy należy wypełnić obowiązek z art. 33 ust. 1 RODO (tj. zgłosić naruszenie organowi nadzorczemu) oraz art. 34 ust. 1 RODO (tj. zawiadomić osoby, których dane dotyczą, o naruszeniu)”[10]. W świetle wymogów określonych w art. 33 RODO analiza ryzyka naruszenia praw i wolności osób fizycznych powinna zatem mieć miejsce po stwierdzeniu naruszenia (w celu prawidłowego postępowania w razie stwierdzenia naruszenia, tj. ustalenia, czy istnieje obowiązek zawiadomienia organu lub także obowiązek poinformowania osób fizycznych), a nie na etapie samej kwalifikacji danego zdarzenia jako naruszenia ochrony danych osobowych.

Jeśli jednak czasowa utrata dostępu do danych mieści się w zakresie pojęcia wskazanego w art. 4 pkt 12 RODO (zgodnie ze stanowiskiem Grupy Roboczej Art. 29), należałoby konsekwentnie każdy taki incydent odnotowywać w wewnętrznej ewidencji prowadzonej zgodnie z wymogiem wynikającym z art. 33 ust. 5 RODO. W świetle wytycznych zawartych w Poradniku UODO można mimo to zasadnie przyjąć, że istnieją sytuacje, w których czasowej utraty dostępności danych w ogóle nie powinno się kwalifikować jako naruszenie, choć zawsze powinno się ją oceniać pod kątem ryzyka naruszenia  praw osób fizycznych.

Warto mieć przy tym na uwadze, że czasowe naruszenie dostępności danych osobowych może być wynikiem bardzo wielu czynników, w tym np. awarii oprogramowania, działania złośliwego oprogramowania, zamierzonego lub niezamierzonego błędu ludzkiego bądź też innych czynników, takich jak chwilowa przerwa w dostawie prądu czy awaria sieci w przypadku danych przechowywanych w zewnętrznej lokalizacji itp. Odnotowywanie wszystkich tego rodzaju zdarzeń (zwłaszcza przejściowych incydentów technicznych lub fizycznych) w wewnętrznej ewidencji organizacji wydaje się działaniem nadmiarowym, które może stanowić duże obciążenie organizacyjne zwłaszcza dla większych podmiotów. Rodzi to daleko idące konsekwencje po stronie administratorów danych, którzy dla wykazania rozliczalności w każdym przypadku mieliby tego rodzaju incydenty dokumentować.

Poza tym powstaje także pytanie, czy chodzi o brak dostępności z punktu widzenia całej organizacji, czy np. także z punktu widzenia określonych użytkowników systemu informatycznego.

Na podstawie art. 32 ust. 1 lit. c) RODO administrator danych niewątpliwie zobowiązany jest zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, niemniej jednak należałoby dokładnie rozważyć, czy chwilowa niedostępność danych (o ile możliwe jest ich odtworzenie) powinna być rozpatrywana pod kątem naruszenia w świetle definicji określonej w art. 4 pkt 12 RODO, skoro nie następuje faktyczne zniszczenie lub utrata tych danych.

Jeśli chodzi o moment stwierdzenia naruszenia, trafne wydaje się stanowisko zaprezentowane przez Grupę Roboczą Art. 29 zgodnie z którym takie stwierdzenie następuje w momencie w którym administrator uzyskał wystarczającą dozę pewności co do tego, że doszło do incydentu bezpieczeństwa, który doprowadził do naruszenia ochrony danych osobowych[11], zacytowane zresztą (niestety bez szerszego komentarza w tym zakresie) także w Poradniku UODO[12].

Tym samym „stwierdzenie” wystąpienia naruszenia musi być zależne od konkretnych okoliczności, a samo postępowanie ma charakter wieloetapowy. Można zatem, jak się wydaje, przyjąć (mimo skrótowego ujęcia tej problematyki w Poradniku UODO), że:

1. Samo uzyskanie przez administratora danych informacji o potencjalnym incydencie nie powinno być uznane za stwierdzenia naruszenia, chyba że informacja ta od samego początku nie budzi żadnych wątpliwości.
2. Informacja o incydencie obliguje jednak administratora danych do niezwłocznego podjęcia działań w celu jej zweryfikowania pod kątem wystąpienia ewentualnego naruszenia ochrony danych (co powinno być określone w ramach wewnętrznej procedury w organizacji).
3. W momencie, w którym można stwierdzić, że istnieje „wystarczający stopień pewności”, iż zdarzenie zagrażające bezpieczeństwu doprowadziło faktycznie do naruszenia ochrony danych osobowych, należy stwierdzić wystąpienie takiego naruszenia (od tego momentu powinien być także, jak się wydaje, liczony termin 72 godzin na notyfikację do organu nadzorczego).

Powstaje także pytanie, czy dla wykazania rozliczalności administrator powinien w każdym przypadku odnotowywać w wewnętrznej ewidencji informacje o potencjalnym incydencie, czy też jedynie stwierdzone naruszenia – za czym przemawiałaby literalna wykładnia art. 33 ust. 5 RODO. W Poradniku UODO przesądzono wprost jedynie o konieczności odnotowywania wszystkich naruszeń, w tym także takich, które w ocenie administratora danych nie podlegają obowiązkowi notyfikacji.

Obowiązki podmiotu przetwarzającego

W Poradniku UODO bardzo pobieżnie odniesiono się do obowiązków spoczywających na podmiotach przetwarzających. W dobie powszechnego outsourcingu usług (w tym związanych z przetwarzaniem danych osobowych) coraz częściej występują w praktyce sytuacje powierzenia, a także dalszego powierzenia (podpowierzenia) przetwarzania danych.

Skuteczność i szybkość działań, w tym ewentualnych działań wyjaśniających w razie wystąpienia naruszenia, w znacznym stopniu zależy od jakości współpracy pomiędzy administratorem a podmiotem lub podmiotami przetwarzającymi. Ponadto kluczowe czynności związane z wyjaśnianiem okoliczności konkretnych zdarzeń niejednokrotnie będą realizowane w przeważającej mierze właśnie przez podmiot przetwarzający.

Istotne wątpliwości budzi kwestia ustalenia momentu, od którego należy liczyć termin na zgłoszenie przez administratora naruszenia w przypadku, gdy zostało one stwierdzone u podmiotu przetwarzającego. Wydaje się, że można przyjąć, iż termin ten powinien być liczony od momentu poinformowania administratora o naruszeniu przez podmiot przetwarzający[13], jakkolwiek nie jest wykluczone, że termin ten powinno się jednak liczyć od momentu stwierdzenia naruszenia u podmiotu przetwarzającego. Brak jest jednoznacznego stanowiska w Poradniku UODO w tym zakresie.

W razie przyjęcia, że termin ten należy liczyć od momentu stwierdzenia naruszenia przez podmiot przetwarzający, szczególnie kłopotliwe może być wywiązanie się z tego obowiązku w przypadku dużej liczby dalszych podmiotów przetwarzających (tzw. podprocesorów).

Wprawdzie obowiązek zgłoszenia naruszenia do organu nadzorczego spoczywa na administratorze danych, jednakże możliwe wydaje się przyjęcie, że dokonywanie takiego zgłoszenia (w imieniu administratora) będzie realizowane bezpośrednio przez podmiot przetwarzający, o ile zostałby on do tego upoważniony. Szczegółowe uregulowanie tych kwestii może znaleźć się w umowie powierzenia przetwarzania danych osobowych zawartej na podstawie art. 28 ust. 3 RODO. Wydaje się to szczególnie uzasadnione w sytuacjach, w których całość procesu przetwarzania danych odbywa się de facto po stronie podmiotu przetwarzającego, stąd też to ten podmiot powinien dysponować wszelkimi niezbędnymi informacjami w tym zakresie. Na możliwość przyjęcia takiego rozwiązania wskazała m.in. Grupa Robocza Art. 29[14]. Choć odpowiedzialność za stwierdzenia naruszenia, a następnie za dokonanie właściwej oceny ryzyka i zgłoszenie naruszenia do organu nadzorczego (lub także za poinformowanie osób) spoczywa na administratorze danych, nie można wykluczyć, że w jego imieniu całość lub część tych obowiązków (w oparciu o stosowne postanowienia umowne) będzie realizował podmiot przetwarzający.

W Poradniku UODO nie rozstrzygnięto powyższych kwestii; zaznaczono jedynie, że podmiot przetwarzający w ogóle nie zgłasza naruszeń organowi nadzorczemu, a jego rola ogranicza się w zasadzie do przekazania dostępnych informacji administratorowi.

Informowanie organu nadzorczego o naruszeniu

W Poradniku UODO wyliczono cztery sposoby zgłaszania naruszeń:

• elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl,
• elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP,
• elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
• tradycyjną pocztą poprzez wysłanie wypełnionego formularza na adres Urzędu.

Stosowanie elektronicznego formularza nie jest obowiązkowe, jednak z uwagi na jego usystematyzowany charakter jest preferowane przez organ nadzorczy. Kluczowe w tym względzie jest jednak, aby zgłoszenie zawierało elementy wymagane przez art. 33 ust. 3 RODO.

Informowanie osób o naruszeniu

Zgodnie z art. 34 ust. 1 RODO niezwłoczne zawiadomienie osoby fizycznej o naruszeniu jest konieczne wyłącznie w sytuacjach, w których naruszenie może powodować wysokie ryzyko naruszenia jej praw lub wolności. Udzielenie informacji (zgodnie z zasadą przejrzystości) ma w szczególności uświadomić takiej osobie, że doszło do określonego naruszenia, w tym przede wszystkim (zgodnie z motywem 86 RODO) umożliwić podjęcie niezbędnych działań zapobiegawczych.

Tym samym stosowne informacje powinny być przekazywane wyłącznie w sytuacjach, w których ryzyko naruszenia praw lub wolności jest wysokie. Opis charakteru naruszenia ochrony danych osobowych powinien być zwięzły oraz jasno sformułowany, tak aby był zrozumiały i przejrzysty dla przeciętnego odbiorcy. Wreszcie zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków powinny być w każdym przypadku adekwatne do zaistniałych okoliczności.

W świetle powyższego wątpliwości budzi wskazany przez UODO przykład, zgodnie z którym zgubienie lub wręczenie niewłaściwej osobie (w tym omyłkowe, także osobie znanej administratorowi) danych osobowych w zakresie imienia i nazwiska oraz numeru PESEL co do zasady wiąże się z wysokim ryzykiem dla osoby, której danej dotyczą:

W ocenie Prezesa UODO sytuacja, w której […] korespondencja (zawierająca przynajmniej takie kategorie danych, jak imię, nazwisko i numer PESEL) jest dostarczana osobie znanej bądź nieznanej administratorowi, co do zasady wiąże się z wysokim ryzykiem dla osób, których dane dotyczą. Można przyjąć inne prawdopodobieństwo w sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi (np. innemu klientowi administratora, który poinformował o pomyłce bądź oświadczył, że nie wykorzystał przekazanych omyłkowo informacji do celów prywatnych i/lub niezgodnych z prawem), nie daje to jednak żadnej gwarancji, że intencje takiej osoby obecnie bądź w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące[15].

Ujawnienie (zwłaszcza omyłkowe – osobie znanej administratorowi, która zobowiązała się do niewykorzystywania danych) wyłącznie takich kategorii danych jak imię i nazwisko oraz numer PESEL (o ile jednocześnie nie zostały ujawnione inne kategorie danych, takie jak numer dokumentu tożsamości, imiona rodziców itp.) trudno za każdym razem z góry uznawać za naruszenie skutkujące wysokim ryzykiem naruszenia praw i wolności osoby fizycznej. Należy tu mieć na uwadze, że w odniesieniu do osób reprezentujących podmioty prawa handlowego (takich jak członkowie organów, prokurenci) dane te i tak są jawne i udostępniane za pośrednictwem Centralnej Informacji KRS zgodnie z art. 8 ust. 2 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym[16]. Z informacji dostępnych na stronie organu nadzorczego wynika przy tym, że w jego ocenie należałoby podjąć prace nad ograniczaniem ujawniania numeru PESEL (w tym w ramach rejestrów publicznych)[17].

Jak wskazuje praktyka, w przypadkach, w których w jego ocenie błędnie nie poinformowano osób, których danych dotyczą, o wystąpieniu naruszenia (lub nie udzielono im wszystkich niezbędnych informacji), Prezes UODO kieruje do administratorów danych wystąpienie na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych[18] (dalej: „Ustawa”) z zaleceniem przekazania tym osobom stosownych informacji.

W tego typu wystąpieniach organ zwraca się o podjęcie określonych działań (np. o ponowne zawiadomienie osób, których dane dotyczą, o naruszeniu bądź o przekazanie tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków itp.). W niektórych sytuacjach zalecenia organu mogą sprawiać wrażenie rutynowych instrukcji, formułowanych nie zawsze adekwatnie do okoliczności. Przykładowo: nadmiarowe wydaje się informowanie o ryzyku kradzieży tożsamości w przypadku jednorazowego, omyłkowego otwarcia korespondencji, która została następnie niezwłocznie zwrócona, przez osobę nieuprawnioną, a także sugerowanie potrzeby zgłaszania właściwym organom, np. Policji, faktu naruszenia w celu zapobieżenia tzw. kradzieży tożsamości, zanim do takiej kradzieży faktycznie doszło. Dlatego też wydaje się, że w Poradniku UODO niewystarczająco podkreślono konieczność udzielania adekwatnych i wyważonych informacji. Osobom, których dane dotyczą, powinny być sygnalizowane wyłącznie realne zagrożenia oraz rozsądne działania, jakie mogą one podjąć w związku z konkretnym naruszeniem.

Podawanie nadmiarowych, wyolbrzymiających skalę incydentu informacji może odnieść skutek odwrotny do zamierzonego. Po pierwsze bez potrzeby może wzbudzić w osobie, której dane dotyczą, nieuzasadniony niepokój co do realnego ryzyka niezgodnego z prawem przetwarzania jej danych osobowych. Po drugie w przypadku wystąpienia w przyszłości incydentu realnie zagrażającego prawom i interesom takiej osoby, może ona zbagatelizować przekazane jej w takiej sytuacji ostrzeżenia, co tylko zwiększy niebezpieczeństwo naruszenia jej praw i interesów.

Stosowana przez Prezesa UODO praktyka może sugerować obowiązek realizacji tego rodzaju „zaleceń” formułowanych w wystąpieniu przez organ nadzorczy. Warto mieć tutaj jednak na uwadze, że podmiot, który nie zgadza się z postulatami wskazanymi przez organ nadzorczy w wystąpieniu skierowanym na podstawie art. 52 ust. 1 Ustawy, nie ma obowiązku ich realizacji, a jedynie obowiązek udzielenia odpowiedzi na wystąpienie w terminie 30 dni (przy czym naruszenie tego terminu nie jest zagrożone żadną sankcją). Należy oczywiście pamiętać, że brak reakcji na wystąpienie może wiązać się ze skorzystaniem przez organ z innych uprawnień określonych w przepisach (np. tych ujętych w rozdziale 9 Ustawy).

Wydaje się ponadto, że w przypadku wystąpienia wątpliwości w zakresie przestrzegania stosowania przepisów RODO organ nadzorczy powinien  (np. na podstawie uzyskanych informacji lub w ramach monitorowania o którym mowa art. 78 ust. 2 Ustawy) – przeprowadzić postępowanie kontrolne w szczególności w celu ustalenia, czy administrator poprawnie ocenił ryzyko naruszenia praw i wolności osoby fizycznej, a nie z góry zalecać podjęcie konkretnych działań bez dokładnego sprawdzenia stanu faktycznego. Trudno bowiem uznać, że organ nadzorczy, opierając się wyłącznie na informacjach zawartych w zgłoszeniu naruszenia, jest w stanie rzetelnie ocenić prawidłowość przyjętych przez administratora rozwiązań. Dopiero w razie stwierdzenia w toku kontroli naruszenia przepisów RODO organ powinien wszcząć postępowanie administracyjne zakończone wydaniem decyzji administracyjnej nakazującej np. zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych.

[1] Poradnik dostępny jest pod adresem https://uodo.gov.pl/pl/134/1029

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119/1 z 04.05.2016, s.1)

[3] W Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) Grupa Robocza Art. 29  wskazała na trzy rodzaje naruszeń ochrony danych osobowych: 1) naruszenie dotyczące poufności danych; 2) naruszenie dotyczące integralności danych; 3) naruszenie dotyczące dostępności danych (s.8) Autor korzystał z dokumentu w wersji dostępnej na stronie https://uodo.gov.pl/pl/10/12   

[4] Urząd Ochrony Danych Osobowych, Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, wersja 1.0, maj 2019, s. 5.

[5] Tamże, s. 14

[6] W Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) Grupa Robocza Art. 29  wskazała, że „co do zasady, choć wszystkie przypadki naruszenia ochrony danych osobowych są incydentami bezpieczeństwa, nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych [wyróżnienie NN]” s. 8

[7] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 4

[8] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018

[9] Grupa Robocza Art. 29, Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01), s. 9

[10] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 13

[11] Grupa Robocza Art. 29, Wytyczne dotyczące…, s. 12-13

[12] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 13

[13] Tak można odczytywać Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01): „„Administrator korzysta z usług podmiotu przetwarzającego, aby realizować wyznaczone cele; dlatego też zasadniczo należy przyjąć, że administrator <<stwierdził>> wystąpienie naruszenia w momencie, w którym podmiot przetwarzający poinformował go o jego wystąpieniu.” (s. 15)

[14] Grupa Robocza Art. 29, Wytyczne dotyczące…, s. 16

[15] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 17-18

[16] Tekst jedn.: Dz. U. z 2018 r., poz. 986 ze zm.

[17] Stanowiska dostępne pod adresem https://uodo.gov.pl/pl/138/1098 oraz https://uodo.gov.pl/pl/138/1120

[18] Dz. U. z 2018 r., poz. 1000 ze zm.

Jedną z naczelnych zasad ogólnego rozporządzenia o ochronie danych (RODO)^[1] jest tzw. zasada przejrzystości^[2], o której mowa w art. 5 ust. 1 lit. a) RODO. Zgodnie z tym przepisem dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą^[3]. Emanację tej zasady stanowią w szczególności normy zawarte w art. 13 i 14 RODO, dotyczące realizacji obowiązków informacyjnych wobec osób, których dotyczą dane. W przepisach tych znajduje się zakres informacji, jakie administrator danych jest zobligowany przekazać osobie, której dane dotyczą, w związku z rozpoczęciem przetwarzania jej danych osobowych.

Dla administratorów danych szczególnie problematyczne wydają się te sytuacje, w których dane nie są zbierane bezpośrednio od osoby, której dotyczą, lecz z innego źródła. Wiążą się one bowiem z koniecznością realizacji tzw. wtórnego obowiązku informacyjnego (art. 14 RODO).

W przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą (art. 13 RODO), realizacja pierwotnego obowiązku informacyjnego w większości przypadków nie wydaje się bardzo kłopotliwa – właściwą klauzulę zazwyczaj łatwo przekazać w momencie zbierania danych, np. na formularzu służącym do ich zebrania. Poza tym pewnym ułatwieniem dla administratorów danych może być także „warstwowy” sposób realizowania obowiązku informacyjnego (tj. przekazanie w pierwszej kolejności najbardziej istotnych informacji dotyczących przetwarzania, takich jak tożsamość administratora, cele przetwarzania i przysługujące osobie prawa, wraz z odesłaniem do miejsca, w którym znajdują się informacje szczegółowe), pozytywnie zaopiniowany przez Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych (znaną szerzej pod nazwą Grupa Robocza Artykułu 29 – dalej jako „GR”) w wytycznych dotyczących przejrzystości^[4]. Inaczej będzie jednak wyglądała sytuacja, w której dane pozyskiwane są z innego źródła, gdy administrator zmuszony jest do podjęcia dodatkowego wysiłku w celu skontaktowania się z osobą, której te dane dotyczą, i przekazania jej wymaganych przez art. 14 RODO informacji. W warunkach, w których administrator i tak musi skontaktować się z taką osobą (często wyłącznie w tym celu), wątpliwe może być stosowanie „warstwowych” klauzul informacyjnych. Ponadto trzeba mieć na uwadze, że – zgodnie z art. 14 ust. 3 lit. a) RODO – informacje, o których mowa w art. 14 ust. 1 i 2 RODO, powinny być przekazane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od pozyskania jej danych, co także stanowi pewnego rodzaju utrudnienie. Wypada także zauważyć, że niezależnie od literalnego brzmienia art. 14 ust. 3 lit. b) RODO, zgodnie z którym wtórny obowiązek informacyjny należy spełnić przy pierwszym kontakcie z osobą, której dotyczą dane, termin miesięczny nie może zostać przekroczony. Stanowisko takie prezentowane jest zarówno przez GR („jeżeli pierwsza komunikacja z osobą, której dane dotyczą, ma miejsce ponad miesiąc po pozyskaniu danych osobowych, wówczas artykuł 14 ust. 3 lit. a) nadal ma zastosowanie, tak że informacje z artykułu 14 muszą być podane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od ich pozyskania”)^[5], jak i przez przedstawicieli doktryny („należy skłonić się do wniosku, że w każdym przypadku obowiązek informacyjny powinien być wykonany najdalej w przeciągu miesiąca albo wcześniej przy pierwszej komunikacji, albo przy pierwszym ujawnieniu danych”^[6]). Osoba, której dane dotyczą, w większości przypadków może bowiem w ogóle nie zdawać sobie sprawy z tego, że jej dane osobowe zostały udostępnione innemu podmiotowi oraz jakie prawa przysługują jej w związku z przetwarzaniem jej danych osobowych. Już w poprzednim stanie prawnym, tj. na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., realizacja wtórnego obowiązku informacyjnego sprawiała wiele kłopotów administratorom danych. Trudno oczekiwać, że sytuacja ta istotnie się teraz zmieni. Tym bardziej należy więc przeanalizować wszystkie przypadki, w których przepisy RODO dopuszczają możliwość wyłączenia wtórnego obowiązku informacyjnego, gdyż w tym akurat zakresie przepisy uległy zmianie.

Z uwagi na szczególną specyfikę sytuacji, w których dane osoby pozyskiwane są ze źródeł innych niż ta właśnie osoba, w przepisach trafnie przyjęto, że prawo tej osoby do uzyskania informacji o przetwarzaniu jej danych osobowych nie ma charakteru absolutnego. W praktyce mogą zaistnieć różnego rodzaju okoliczności, w których wtórny obowiązek informacyjny będzie wyłączony. Kwestie te uregulowano w art. 14 ust. 5 RODO.

Każdy administrator danych, który pozyskuje dane ze źródła innego niż osoba, której te dane dotyczą, powinien zatem starannie rozważyć, czy w jego przypadku nie znajdzie zastosowania któreś z wyłączeń wskazanych w tym przepisie. Warto także zauważyć, że niektóre wyłączenia będą miały charakter całkowity, co oznacza, że administrator w żadnym razie nie będzie mógł udzielić informacji wskazanych w art. 14 ust. 1 i 2 RODO z własnej inicjatywy (w szczególności w przypadkach, w których informacje objęte są niektórymi tajemnicami zawodowymi), inne zaś – charakter częściowy, co oznacza, że administrator, stwierdziwszy, że spełniona została określona przesłanka wyłączająca obowiązek informacyjny, może uznać, że z uwagi na możliwość zastosowania wyłączenia nie będzie go spełniał, nawet jeśli w niektórych przypadkach byłoby to technicznie możliwe (gdyż np. osoba dysponuje już stosownymi informacjami lub udzielenie informacji wymagałoby niewspółmiernie dużego wysiłku). W takim przypadku osoba, której dotyczą dane, nadal jest jednak uprawniona do uzyskania informacji związanych z przetwarzaniem jej danych osobowych, a w przypadku wyłączenia, o którym mowa w art. 14 ust. 5 lit. b), może się z nimi zapoznać w inny sposób (np. na stronie internetowej).

RODO przewiduje aż cztery wyłączenia, z których każde ma charakter niezależny i powinno być traktowane osobno.

• Osoba, której dotyczą dane, dysponuje już wszystkimi informacjami, które powinien jej przekazać administrator.

Wyłączenie to (podobnie jak wyłączenie wynikające z art. 13 ust. 4 RODO) opiera się na założeniu, że osobie, która posiada już wszystkie informacje, jakie powinien jej przekazać administrator, nie trzeba ich dostarczać ponownie.

Wydaje się, że praktyczne znaczenie tego wyłączenia w przypadku wtórnego obowiązku informacyjnego będzie raczej niewielkie. Po pierwsze, osoba, której dotyczą dane, musiałaby faktycznie posiadać wszystkie informacje, o których mowa w art. 14 ust. 1 i 2 RODO, aby obowiązek był wyłączony w całości. Po drugie, ciężar udowodnienia, że osoba ta dysponuje wszystkimi informacjami, o których mowa powyżej, zgodnie z zasadą rozliczalności spoczywa na administratorze danych. W praktyce trudno zatem wyobrazić sobie sytuacje, w których taki obowiązek można skutecznie w całości wyłączyć, a administrator będzie w stanie wykazać, że osoba dysponuje wszystkimi stosownymi informacjami. Poza tym w praktyce niejednokrotnie mogą zaistnieć sytuacje, w których administrator danych posiada już pewne informacje na temat konkretnej osoby fizycznej, otrzymane bezpośrednio od niej, jednak następnie pozyskuje na jej temat dane (w tym samym lub w innym celu) z innego źródła^[7]. Jeśli osoba ta nie jest tego świadoma (tj. nie przekazano jej dotychczas wszystkich informacji wymaganych na podstawie art. 14 RODO), należałoby uznać, że zachodzi konieczność realizacji wtórnego obowiązku informacyjnego także w zakresie odnoszącym się do przetwarzania danych dodatkowych (choćby z uwagi na wymóg przekazania informacji o źródle danych).

• Brak możliwości realizacji obowiązku informacyjnego lub niewspółmiernie duży wysiłek po stronie administratora danych.

Z praktycznego punktu widzenia najbardziej użyteczne dla administratorów danych może być wyłączenie, o którym mowa w art. 14 ust. 5 lit. b) RODO.

Zgodnie z tym przepisem wtórny obowiązek informacyjny jest wyłączony, gdy „udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 [RODO], lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu [art. 14 RODO], może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie”.

Należy zwrócić uwagę, że z cytowanego przepisu wynika, iż wyjątek ten znajduje zastosowanie przede wszystkim w przypadkach przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. W żadnym razie nie można jednak odrzucić całkowicie możliwości powołania się na ten wyjątek w innych sytuacjach, wskazany katalog przykładów ma bowiem charakter otwarty. Niemniej jednak ocena, czy zachodzi „niewspółmiernie duży wysiłek” powinna być dokonywana in concreto – w odniesieniu do konkretnego administratora danych i konkretnego procesu przetwarzania danych osobowych.

Wydaje się, że we wszystkich sytuacjach, w których administrator nie posiada bezpośrednich danych kontaktowych osoby fizycznej, której dane pozyskał z innego źródła, zasadne jest przyjęcie, że realizacja wtórnego obowiązku informacyjnego nie jest możliwa. Wyłączenie wtórnego obowiązku informacyjnego wydaje się w takich przypadkach jak najbardziej trafne. Stanowisko takie – jeszcze w poprzednim stanie prawnym – zajął także ówczesny organ nadzorczy (GIODO), wskazując, że w razie braku danych kontaktowych osoby fizycznej wystarczającą formą spełnienia obowiązku informacyjnego w stosunku do osób, których dane dotyczą, może być umieszczenie stosownych informacji na stronie internetowej administratora danych^[8].

Jako przykład (zob. ww. decyzja GIODO) można podać pozyskanie (np. do celów prowadzonej działalności gospodarczej) danych osób reprezentujących spółki prawa handlowego (członków organów, prokurentów itp.), które znajdują się w KRS. Kwestią otwartą pozostaje, na ile takie dane w ogóle będą stanowić dane osobowe podlegające pod reżim RODO, a na ile dane te można uznać za dane kontaktowe osób prawnych, o których mowa w motywie 14 preambuły RODO, a tym samym potencjalnie w całości wyłączyć stosowanie RODO. W tym zakresie pomocne byłoby z pewnością zajęcie stanowiska przez organ nadzorczy (PUODO). Niezależnie od powyższego należy jednak z całą pewnością stwierdzić, że w przypadku pozyskania danych osoby reprezentującej spółkę z rejestru przedsiębiorców KRS nie posiadamy danych kontaktowych takiej osoby, a jedynie dane kontaktowe spółki. Nie jest zatem możliwe spełnienie obowiązku informacyjnego względem osoby fizycznej, której takie dane dotyczą. Powyższe może dotyczyć także innych przypadków, w których administrator danych nie posiada bezpośrednich danych kontaktowych osoby fizycznej, przez co realizacja wtórnego obowiązku informacyjnego nie jest możliwa.

Warto mieć przy tym na uwadze, że zgodnie z zasadą minimalizacji danych administrator nie może przetwarzać więcej danych, niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 5 ust. 1 lit. c) RODO). W tym duchu należy także odczytywać motyw 57 preambuły RODO: „jeżeli dane osobowe przetwarzane przez administratora nie pozwalają mu zidentyfikować osoby fizycznej, nie powinien on mieć obowiązku uzyskania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do przepisów niniejszego rozporządzenia”. Per analogiam w przypadku gdy administrator nie posiada danych kontaktowych osoby fizycznej, nie tylko nie ma on żadnego obowiązku, ale wręcz nie powinien pozyskiwać dodatkowych danych tylko w celu realizacji obowiązku informacyjnego.

W praktyce występować będą także sytuacje, w których administrator danych posiada dane kontaktowe danej osoby fizycznej, jednak można przyjąć, że zachodzi przesłanka niewspółmiernie dużego wysiłku przy jego realizacji (tzw. nadmierna uciążliwość),  a obowiązek może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania, wobec czego powinien być on wyłączony. Przykładowo: banki niejednokrotnie będą przetwarzały dane kontaktowe odbiorcy przelewu (imię i nazwisko oraz adres), a zatem będą miały (przynajmniej teoretycznie) możliwość realizacji wtórnego obowiązku informacyjnego względem tej kategorii osób. Należy przyjąć, że odbiorca przelewu, co do zasady, nie posiada wszystkich informacji, o których mowa w art. 14 ust. 1 i 2 RODO (chociażby tych, które dotyczą celów czy podstaw prawnych przetwarzania jego danych), przy czym trudno wobec niego zastosować także wyłączenie realizacji obowiązku informacyjnego z uwagi na tajemnicę bankową (jako beneficjenta tej tajemnicy, o czym poniżej). Niemniej jednak w praktyce nie sposób wyobrazić sobie skuteczne realizowanie przez bank wtórnego obowiązku informacyjnego wobec tysięcy osób, których dane pozyskuje od swoich klientów na okoliczność składanych dyspozycji przelewów. Jedynym rozsądnym rozwiązaniem w takiej sytuacji wydaje się więc wyłączenie wtórnego obowiązku informacyjnego właśnie z uwagi na nadmierną uciążliwość, mimo że dane nie są przetwarzane do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych ani do celów statystycznych.

Niewątpliwie warto rozważyć zastosowanie wyłączeń z art. 14 ust. 5 lit. b) RODO także w innych przypadkach, w których realizacja obowiązku informacyjnego byłaby (przynajmniej teoretycznie) technicznie możliwa, jednak z przyczyn związanych z nadmierną uciążliwością nie jest zasadna. Jako przykład może posłużyć pozyskiwanie danych kontaktowych przedsiębiorców, pracowników lub współpracowników przedsiębiorców, w sytuacji gdy przetwarzany jest bardzo ograniczony zakres tzw. danych wizytówkowych (służbowych), takich jak imię i nazwisko, stanowisko, służbowy adres e-mail czy służbowy numer telefonu. Bezpośrednia realizacja wtórnego obowiązku informacyjnego w normalnych kontaktach biznesowych (jakkolwiek niekiedy praktykowana) nie tylko wydaje się w takich sytuacjach sztuczna, ale wręcz utrudnia zwyczajne kontakty biznesowe w obrocie gospodarczym, gdzie firmy często udostępniają dane kontaktowe swoich pracowników lub współpracowników w umowach, ofertach, zapytaniach itp. Rozsyłanie ogromnych ilości e-maili zawierających klauzule informacyjne czy to w treści głównej, czy to w nadmiernie rozbudowanej stopce wiadomości należy uznać za uciążliwe nie tylko dla nadawców, ale przede wszystkim dla odbiorców takich komunikatów.

Warto mieć także na uwadze, że w przypadku skorzystania z tego wyłączenia administrator jest zobowiązany podjąć odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnić informacje publicznie (np. poprzez zamieszczenie klauzuli informacyjnej na stronie internetowej).

• Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą

Wyłączenie, o którym mowa w art. 14 ust. 5 lit. c) RODO, może powodować spore wątpliwości interpretacyjne (podobnie jak wyłączenie, o którym mowa w art. 14 ust. 5 lit. b) RODO). O ile stosunkowo łatwo stwierdzić, że w niektórych sytuacjach pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem Unii Europejskiej lub prawem państwa członkowskiego, o tyle powstaje pytanie, co należy rozumieć przez „odpowiednie środki chroniące prawnie uzasadnione interesy osób, których dotyczą dane”. Wydaje się jednak, że postulat dotyczący konieczności zapewnienia „odpowiednich środków”, o których mowa powyżej, powinien być adresowany w pierwszej kolejności do prawodawcy. Trudno bowiem oczekiwać, aby – przykładowo – administratorzy danych zobowiązani na mocy stosownych przepisów do przetwarzania (pozyskiwania lub ujawniania) danych osobowych mieli ponosić negatywne konsekwencje niedoskonałości tych przepisów czy zaniedbań po stronie prawodawcy. Zasadne wydaje się zatem przyjęcie, że wyłączenie wtórnego obowiązku informacyjnego powinno znaleźć zastosowanie we wszystkich przypadkach, w których przepisy obligują podmioty (nie tylko publiczne) do pozyskiwania określonych danych osobowych nie od osoby, której dane dotyczą, lub ujawniania tych danych. Trudno jednak stwierdzić, czy taki punkt widzenia podzieli organ nadzorczy.

Jednocześnie warto zauważyć, że w poprzednio obowiązującym stanie prawnym przepisy niekiedy przewidywały całkowite wyłączenie wtórnego obowiązku informacyjnego (por. art. 25 ust. 1 ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.). Jako przykład można podać art. 41 ust. 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (który prawdopodobnie zostanie niebawem uchylony).

W obecnej wersji projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679[^9] takie wyłączenie przewidziano wyłącznie w ograniczonym zakresie w art. 7 ust. 4 Ustawy z dnia 25 lutego 2016 r. o ponownym wykorzystaniu informacji sektora publicznego^[10].

• Tajemnice zawodowe

Ostatnie z wyłączeń określonych w RODO związane jest z koniecznością zapewnienia poufności danych osobowych z uwagi na zapisany w prawie Unii lub w prawie państwa członkowskiego obowiązek zachowania tajemnicy zawodowej, w tym z uwagi na ustawowy obowiązek zachowania tajemnicy. Z całą pewnością będzie ono dotyczyć osób zawodowo świadczących usługi prawne, takich jak adwokaci czy radcowie prawni (z uwagi na tajemnicę adwokacką i radcowską, o których mowa odpowiednio w art. 6 ustawy Prawo o adwokaturze^[11] i art. 3 ustawy o radcach prawnych^[12]). Przepis ten może oczywiście znaleźć zastosowanie m.in. w odniesieniu do osób świadczących usługi detektywistyczne (z uwagi na art. 12 ust. 1 ustawy o usługach detektywistycznych^[13]) czy też w wszędzie tam, gdzie określone przepisy wprowadzają obowiązek zachowania tajemnicy zawodowej, jak np. tajemnica dotycząca postępowania przygotowawczego, określona w art. 102 par. 1 ustawy Prawo o prokuraturze^[14].

Należy mieć jednak na uwadze, że w przypadku niektórych tajemnic zawodowych wyłączenie, o którym mowa w art. 14 ust 5 lit. d) RODO, nie znajdzie zastosowania wobec wszystkich osób, których dotyczą dane. W niektórych sytuacjach osobę, której dane dotyczą, należy bowiem traktować jako beneficjenta tajemnicy zawodowej, a tym samym osobę uprawnioną do uzyskania informacji na własny temat. Przykładowo – zgodnie z art. 104 ust. 3 ustawy Prawo bankowe^[15] – banku nie obowiązuje, z zastrzeżeniem ust. 4 i 4a, zachowanie tajemnicy bankowej wobec osoby, której dotyczą informacje objęte tajemnicą (np. osoby będącej odbiorcą przelewu bankowego).

Podobnie ma się rzecz w przypadku tajemnicy ubezpieczeniowej – art. 35 ust. 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (dalej jako „u.d.u.r.”)^[16] wyłącza tajemnicę ubezpieczeniową wobec określonych kategorii podmiotów, w tym „ubezpieczającego, ubezpieczonego, a w przypadku zgłoszenia wystąpienia zdarzenia losowego, z którym umowa wiąże odpowiedzialność zakładu ubezpieczeń – także uprawnionego z umowy ubezpieczenia” (art. 35 ust. 2 pkt 20) u.d.u.r.). Wydaje się zatem, że wobec niektórych kategorii osób (w szczególności ubezpieczonego) nie ma możliwości wyłączenia wtórnego obowiązku informacyjnego z uwagi na tajemnicę ubezpieczeniową. Na wniosek ubezpieczonego dane objęte tajemnicą ubezpieczeniową mogą być mu ujawnione, tym samym nie sposób zastosować w stosunku do niego wyłączenia, o którym mowa w art. 14 ust. 5 lit. d) RODO.

^[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1).

^[2] Wszystkie wyróżnienia w tekście, w tym także w obrębie cytatów, pochodzą od autora.

^[3] Zob. Grupa Robocza Artykułu 29 ds. Ochrony Danych, „Wytyczne dotyczące przejrzystości na mocy rozporządzenia 2016/679”,  https://uodo.gov.pl/pl/10/434, dostęp: 16.11.2018.

^[4] Tamże.

^[5] Tamże.

^[6] Byrski J., Outsourcing w działalności dostawców usług płatniczych, CH Beck, Warszawa 2018, s. 390.

^[7] Przykładem może być pozyskiwanie danych klienta wnioskującego o kredyt przez bank z Biura Informacji Kredytowej w celu oceny zdolności kredytowej kredytobiorcy.

^[8] Zob.: Decyzja GIODO z dnia 12 lipca 2016 r., DIS/DEC-587/16/62309.

^[9] Projekt z 22 października 2018 r. Zob. https://legislacja.rcl.gov.pl/projekt/12302951.

^[10] Tekst jedn.: Dz. U. z 2018 r., poz. 1243 ze zm.

^[11] Ustawa z dnia 26 maja 1982 r. Prawo o adwokaturze (tekst jedn.: Dz. U. z 2018 r., poz. 1184 ze zm.).

^[12] Ustawa z dnia 6 lipca 1982 r. o radcach prawnych (tekst jedn.: Dz. U. z 2018 r., poz. 2115).

^[13] Ustawa z dnia 6 lipca 2001 r. o usługach detektywistycznych (tekst jedn.: Dz. U. z 2017 r., poz. 556 ze zm.).

^[14] „Prokurator jest obowiązany zachować w tajemnicy okoliczności sprawy, o których w postępowaniu przygotowawczym, a także poza jawną rozprawą sądową, powziął wiadomość ze względu na swoje stanowisko prokuratora”.

^[15] Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jedn.: Dz. U. z 2017 r., poz. 1876 ze zm.).

^[16] Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (tekst jedn.: Dz. U. z 2018 r., poz. 999 ze zm.).