RODO umożliwiło państwom członkowskim ograniczenie niektórych praw wynikających z rozporządzenia, z czego ochoczo skorzystał m.in. polski ustawodawca.

Zgodnie z art. 23 ust. 1, prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w konkretnych przepisach RODO – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12-22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

  1. bezpieczeństwu narodowemu;
  2. obronie;
  3. bezpieczeństwu publicznemu;
  4. zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
  5. innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;
  6. ochronie niezależności sądów i postępowania sądowego;
  7. zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;
  8. funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa wyżej;
  9. ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
  10. egzekucji roszczeń cywilnoprawnych.

Ograniczyć można następujące instytucje RODO:

  1. obowiązek informacyjny;
  2. prawo dostępu do danych;
  3. prawo do sprostowania danych;
  4. prawo do usunięcia danych;
  5. prawo do ograniczenia przetwarzania;
  6. obowiązek informowania o wykonaniu żądania;
  7. prawo do przenoszenia danych;
  8. prawo do sprzeciwu;
  9. prawo do zakwestionowania decyzji w wyniku profilowania;
  10. ogólne zasady przetwarzania danych;
  11. obowiązek zawiadamiania podmiotu danych o naruszeniach.

RODO stawia jednak konkretne wymagania aktowi prawnemu ograniczającemu wyżej wskazane obszary. Musi ona zawierać szczegółowe przepisy przynajmniej – w stosownym przypadku – o:

  1. celach przetwarzania lub kategorii przetwarzania;
  2. kategoriach danych osobowych;
  3. zakresie wprowadzonych ograniczeń;
  4. zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;
  5. określeniu administratora lub kategorii administratorów;
  6. okresach przechowywania oraz mających zastosowanie zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;
  7. ryzykach naruszenia praw lub wolności osoby, której dane dotyczą;
  8. prawie osób, których dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.

Nowa ustawa o ochronie danych osobowych skorzystała z możliwości przewidzianych przez art. 23 ust. 1 trzy razy (art. 3-5 ustawy). Ograniczono:

  1. art. 13 ust. 3 (obowiązek informacyjny przy zmianie celu przetwarzania);
  2. art. 14 (informowanie przy pozyskiwaniu danych z innego źródła niż podmiot danych);
  3. art. 15 ust. 1-3 (prawo dostępu do danych).

Wszystkie powyższe ograniczenia dotyczą sytuacji, w której administrator jest podmiotem wykonującym zadania publiczne.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018