Co RODO oznacza dla geodezji?

Już za miesiąc, tj. 25 maja, zacznie obowiązywać europejskie ogólne rozporządzenie o ochronie danych, bardziej znane jako RODO. Co to oznacza dla firm geodezyjnych?

fot. Pixabay

Zbliżający się termin wejścia w życie RODO powoduje coraz większy popłoch wśród przedsiębiorców. Słyszy się bowiem, że za niedostosowanie się na czas do tych przepisów grożą surowe kary – nawet do 4% rocznych obrotów. Na tym strachu żerują oczywiście różne spółki oferujące usługi i produkty rzekomo niezbędne do wdrożenia RODO. Do ich ofert warto podchodzić z dużą ostrożnością, a przede wszystkim dokładnie przeanalizować zapisy tego rozporządzenia.

Nie czekając na ustawę

Na wstępie należy podkreślić, że RODO wchodzi w życie 25 maja w całej Unii Europejskiej i w związku z tym nie jest wymagane wprowadzanie jakichkolwiek krajowych przepisów implementujących. Tym niemniej każde unijne państwo może we własnym zakresie doprecyzować te regulacje – z tej możliwości chce skorzystać m.in. Polska. Posłuży do tego ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Obecnie jest ona procedowana przez rząd i nie ma szans, by weszła w życie do 26 maja. Co ważne, RODO zastępuje dotychczasową ustawę o ochronie danych osobowych.

W rozmowie z „Gazetą Wyborczą” generalny inspektor ochrony danych osobowych Edyta Bielak-Jomaa wprost przyznała, że kierowana przez nią instytucja nie jest gotowa do realizacji obowiązków narzuconych przez RODO (a więc m.in. kontrolowania przedsiębiorców). Co istotne dla wystraszonych przedsiębiorców, przypomniała również, że choć RODO przewiduje spore kary finansowe, to nie będą one automatycznie nakładane w każdym przypadku stwierdzenia naruszenia tych przepisów.

Na marginesie dodajmy, że procedowana ustawa zakłada przejęcie obowiązków GIODO przez nowy byt – Urząd Ochrony Danych Osobowych, co zapewne spotęguje zamieszanie towarzyszące spóźnionemu względem RODO wejściu w życie tych przepisów.

Firma geodezyjna jak każda inna?

Regulacjami RODO zostaną objęte wszystkie firmy działające w Unii Europejskiej, które przetwarzają dane osobowe. Podkreślmy, że pod pojęciem „przetwarzania” rozumie się również ich gromadzenie, co oznacza, że przepisy te dotyczą zdecydowanej większości firm (a już na pewno geodezyjnych). Na początku tego roku Ministerstwo Cyfryzacji zaproponowało, by z niektórych obowiązków wyłączyć małe i średnie przedsiębiorstwa, szybko jednak z tego pomysłu zrezygnowano.

RODO wprowadza następujące fundamentalne zasady przetwarzania danych osobowych:
• Przejrzystości – zainteresowana osoba musi zostać w sposób przejrzysty poinformowana o przysługujących jej prawach w związku z przetwarzaniem jej danych osobowych.
• Rzetelności – oznacza to nakaz przetwarzania danych w zgodzie z zasadami współżycia społecznego.
• Legalności – osoba zainteresowana musi wyrazić zgodę na przetwarzanie jej danych.
• Celowości – dane osobowe należy przetwarzać zgodnie z konkretnym, wyraźnym i prawnie uzasadnionym celem, który powinien być znany osobie zainteresowanej.
• Minimalizacji danych – zakres przetwarzanych danych powinien być ograniczony do osiągnięcia założonego celu. Nie możemy więc wymagać podania danych, które są do danego celu zbędne.
• Prawidłowości – administrator danych ma obowiązek zapewnienia ich prawidłowości, w tym ich aktualizacji czy możliwości korekty. Zainteresowana osoba zyskuje także jaśniejsze prawo do „bycia zapomnianym”.
• Ograniczenia przechowywania – dane powinny być przechowywane przez okres nie dłuższy, niż jest to konieczne dla uzyskania określonego celu. Przykładowo: jeżeli podstawą przetwarzania danych jest wykonywanie umowy, wówczas dane mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy.
• Bezpieczeństwa danych – administrator danych powinien zapewnić odpowiednie środki organizacyjne i techniczne zabezpieczające dane przed zniszczeniem, uszkodzeniem czy wyciekiem. Jakie? RODO nie narzuca konkretnych rozwiązań w tym zakresie. Zamiast tego, wprowadza tzw. podejście oparte na ryzyku. Jego istota sprowadza się do tego, że każdy podmiot przetwarzający dane osobowe powinien samodzielnie określić, jakie konkretne środki zabezpieczenia danych należy wdrożyć. RODO wskazuje tylko przykładowe środki mogące służyć osiągnięciu tego celu. Co istotne, rozporządzenie narzuca również obowiązek poinformowania osoby zainteresowanej o naruszeniu bezpieczeństwa jej danych.
• Rozliczalności – RODO wprowadza obowiązek rejestrowania czynności przetwarzania danych. Administrator musi więc wykazać przestrzeganie wyżej wymienionych zasad, przechowując stosowne informacje w tym zakresie.

Należy podkreślić, że od powyższych zasad przewidziano wiele wyjątków. Na przykład zgody na przetwarzanie danych osobowych nie trzeba zbierać, gdy przetwarzanie danych jest niezbędne do wykonania umowy. To znaczy, że kupując towar w sklepie internetowym, klient nie musi wyrażać zgodny na przetwarzanie swoich danych adresowych, gdyż są one niezbędne do realizacji zamówienia. Po szczegóły odsyłamy do licznych internetowych publikacji na ten temat. W przystępny sposób opisano je chociażby we wspólnej publikacji resortów cyfryzacji oraz przedsiębiorczości i technologii.

Geodezja z wyjątkami

Jako że geodeci często pracują na danych osobowych pochodzących z państwowych rejestrów, w ich przypadku dochowanie wszystkich wyżej wymienionych zasad byłoby niesłychanie pracochłonne i skomplikowane. Dostrzegło to Ministerstwo Cyfryzacji, które w projektowanej ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 przewidziało nowelizację Prawa geodezyjnego i kartograficznego. Projekt w brzmieniu z końca marca zakłada następujące zmiany:
1) Dodanie do Pgik art. 5a, zgodnie z którym organy i podmioty realizujące zadania określone w Pgik [dalej „organy i podmioty”] wykonują obowiązki, o których mowa w art. 13 ust. 1 i 2 RODO [zapisy te dotyczą: obowiązku podawania przez administratora swoich danych podczas zbierania danych osobowych oraz podania informacji dotyczących sposobu przetwarzania danych osobowych], poprzez zamieszczenie informacji o zbieraniu danych osobowych na stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej.
2) Ponadto zgodnie z proponowanym art. 5a organy i podmioty nie stosują:
• art. 13 ust. 3, 15 ust. 3 oraz art. 21 ust. 1 i 4 RODO [dotyczą one odpowiednio: obowiązku informowania osoby zainteresowanej o przetwarzaniu jej danych w innym celu, niż było to wcześniej określone; obowiązku dostarczania osobie zainteresowanej kopii jej danych osobowych; prawa sprzeciwu do przetwarzania danych osobowych],
• art. 15 ust. 1 lit. g RODO [dotyczy prawa osoby zainteresowanej do uzyskania informacji, jakie jest źródło uzyskania jej danych], jeżeli mogłoby to wpływać na ochronę praw i wolności osób, których dane dotyczą,
• art. 18 RODO [dotyczy prawa żądania od administratora ograniczenia przetwarzania danych osobowych] w zakresie prowadzenia PZGiK, przechowywania kopii zabezpieczających, koordynacji uzbrojenia terenu, tworzenia i utrzymywania ZSIN, nadawania uprawnień zawodowych w dziedzinie geodezji i kartografii, prowadzenia postępowań dyscyplinarnych, prowadzenia postępowań administracyjnych ws. wymierzenia kar pieniężnych.
3) W przypadku rozpatrywania i załatwiania wniosków, podań i innych wystąpień dotyczących spraw uregulowanych w Pgik organy i podmioty wykonują obowiązki, o których mowa w art. 13 ust. 1 i 2 [patrz pkt 1] oraz w art. 21 ust. 4 RODO [patrz pkt 1] poprzez zamieszczenie informacji o zbieraniu danych osobowych na stronie podmiotowej w Biuletynie Informacji Publicznej lub na swojej stronie internetowej, a także nie stosują art. 15 ust. 1 lit. g RODO [patrz pkt 2], jeżeli mogłoby to wpływać na ochronę praw i wolności osób, których dane dotyczą.
4) Okres przechowywania danych osobowych, o ile nie wynika z przepisów odrębnych, ustalają organy i podmioty zgodnie z celami przetwarzania tych danych.
5) Na organach i podmiotach ciąży obowiązek dochowania najwyższej staranności w związku z przetwarzaniem danych osobowych, w szczególności w zakresie zapobiegania dostępowi do nich przez osoby niepowołane, możliwości ich utraty lub bezprawnego rozpowszechniania. W tym celu organy i podmioty powinny wdrożyć odpowiednie środki techniczne i organizacyjne.
6) Organy i podmioty przetwarzają dane osobowe, o których mowa w art. 9 ust. 1 RODO [dotyczy danych osobowych o szczególnym charakterze, np. o pochodzeniu rasowym, poglądach politycznych, zdrowiu czy seksualności], wyłącznie w przypadku, gdy:
• zostały one przekazane dobrowolnie przez osobę występującą w danej sprawie,
• jest to konieczne do weryfikacji prawidłowości danych,
• z przepisu prawa wynika konieczność przetwarzania tych danych,
• jest to niezbędne do wykonania wyroku sądu.

Czeka nas przejściowy chaos?

Proponowana nowelizacja Pgik wprawdzie rozjaśnia niektóre wątpliwości, ale rodzi też wiele kolejnych. Ponadto nie sposób nie zauważyć, że wg zapowiedzi rządu ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 ma zacząć obowiązywać dopiero latem tego roku. Jak więc geodeci i starostwa mają przetwarzać dane osobowe do tego czasu? Odpowiedzią na to pytanie będą prawdopodobnie doraźne i lokalne interpretacje. Bez wątpienia wejście w życie przepisów RODO spowoduje w geodezji niemałe, przynajmniej kilkumiesięczne zamieszanie.

Więcej o konsekwencjach RODO dla geodezji wkrótce w majowym GEODECIE

Jerzy Królikowski