RODO umożliwiło państwom członkowskim ograniczenie niektórych praw wynikających z rozporządzenia, z czego ochoczo skorzystał m.in. polski ustawodawca.

Zgodnie z art. 23 ust. 1, prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w konkretnych przepisach RODO – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12-22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

1. bezpieczeństwu narodowemu;
2. obronie;
3. bezpieczeństwu publicznemu;
4. zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
5. innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;
6. ochronie niezależności sądów i postępowania sądowego;
7. zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;
8. funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa wyżej;
9. ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
10. egzekucji roszczeń cywilnoprawnych.

Ograniczyć można następujące instytucje RODO:

1. obowiązek informacyjny;
2. prawo dostępu do danych;
3. prawo do sprostowania danych;
4. prawo do usunięcia danych;
5. prawo do ograniczenia przetwarzania;
6. obowiązek informowania o wykonaniu żądania;
7. prawo do przenoszenia danych;
8. prawo do sprzeciwu;
9. prawo do zakwestionowania decyzji w wyniku profilowania;
10. ogólne zasady przetwarzania danych;
11. obowiązek zawiadamiania podmiotu danych o naruszeniach.

RODO stawia jednak konkretne wymagania aktowi prawnemu ograniczającemu wyżej wskazane obszary. Musi ona zawierać szczegółowe przepisy przynajmniej – w stosownym przypadku – o:

1. celach przetwarzania lub kategorii przetwarzania;
2. kategoriach danych osobowych;
3. zakresie wprowadzonych ograniczeń;
4. zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;
5. określeniu administratora lub kategorii administratorów;
6. okresach przechowywania oraz mających zastosowanie zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;
7. ryzykach naruszenia praw lub wolności osoby, której dane dotyczą;
8. prawie osób, których dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.

Nowa ustawa o ochronie danych osobowych skorzystała z możliwości przewidzianych przez art. 23 ust. 1 trzy razy (art. 3-5 ustawy). Ograniczono:

1. art. 13 ust. 3 (obowiązek informacyjny przy zmianie celu przetwarzania);
2. art. 14 (informowanie przy pozyskiwaniu danych z innego źródła niż podmiot danych);
3. art. 15 ust. 1-3 (prawo dostępu do danych).

Wszystkie powyższe ograniczenia dotyczą sytuacji, w której administrator jest podmiotem wykonującym zadania publiczne.

Michał Wysocki

Bibliografia:

1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
2. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018