RODO umożliwiło państwom członkowskim ograniczenie niektórych praw wynikających z rozporządzenia, z czego ochoczo skorzystał m.in. polski ustawodawca.
Zgodnie z art. 23 ust. 1, prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w konkretnych przepisach RODO – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12-22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:
- bezpieczeństwu narodowemu;
- obronie;
- bezpieczeństwu publicznemu;
- zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
- innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;
- ochronie niezależności sądów i postępowania sądowego;
- zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;
- funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa wyżej;
- ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
- egzekucji roszczeń cywilnoprawnych.
Ograniczyć można następujące instytucje RODO:
- obowiązek informacyjny;
- prawo dostępu do danych;
- prawo do sprostowania danych;
- prawo do usunięcia danych;
- prawo do ograniczenia przetwarzania;
- obowiązek informowania o wykonaniu żądania;
- prawo do przenoszenia danych;
- prawo do sprzeciwu;
- prawo do zakwestionowania decyzji w wyniku profilowania;
- ogólne zasady przetwarzania danych;
- obowiązek zawiadamiania podmiotu danych o naruszeniach.
RODO stawia jednak konkretne wymagania aktowi prawnemu ograniczającemu wyżej wskazane obszary. Musi ona zawierać szczegółowe przepisy przynajmniej – w stosownym przypadku – o:
- celach przetwarzania lub kategorii przetwarzania;
- kategoriach danych osobowych;
- zakresie wprowadzonych ograniczeń;
- zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;
- określeniu administratora lub kategorii administratorów;
- okresach przechowywania oraz mających zastosowanie zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;
- ryzykach naruszenia praw lub wolności osoby, której dane dotyczą;
- prawie osób, których dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.
Nowa ustawa o ochronie danych osobowych skorzystała z możliwości przewidzianych przez art. 23 ust. 1 trzy razy (art. 3-5 ustawy). Ograniczono:
- art. 13 ust. 3 (obowiązek informacyjny przy zmianie celu przetwarzania);
- art. 14 (informowanie przy pozyskiwaniu danych z innego źródła niż podmiot danych);
- art. 15 ust. 1-3 (prawo dostępu do danych).
Wszystkie powyższe ograniczenia dotyczą sytuacji, w której administrator jest podmiotem wykonującym zadania publiczne.
Michał Wysocki
Bibliografia:
- E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
- P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018