25 RODO a prawa strony albo administratora w praktyce prawnej

Rozporządzenie o Ochronie Danych Osobowych (RODO) zrewolucjonizowało sposób, w jaki podmioty gospodarcze oraz organy administracji publicznej podchodzą do kwestii prywatności. Jednym z najbardziej doniosłych, a zarazem najbardziej wymagających wdrożeniowo przepisów tego aktu prawnego jest art. 25 RODO. Przepis ten wprowadza dwie kluczowe zasady: ochronę danych w fazie projektowania (privacy by design) oraz domyślną ochronę danych (privacy by default). Choć na pierwszy rzut oka regulacja ta ma charakter czysto techniczny i organizacyjny, w praktyce prawnej generuje ona szereg uprawnień po stronie osób, których dane dotyczą (stron), oraz nakłada rygorystyczne obowiązki na administratorów danych osobowych.

Teza publikacji: Praktyczny wymiar art. 25 RODO

Artykuł 25 RODO nie jest jedynie abstrakcyjną deklaracją programową. Stanowi on bezpośrednie źródło obowiązków prawnych dla każdego administratora oraz potężne narzędzie w rękach osób fizycznych dochodzących swoich praw. W praktyce sporów przed organem nadzorczym, jakim w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), wykazanie naruszenia zasad privacy by design lub privacy by default może przesądzić o nałożeniu dotkliwej kary finansowej na administratora lub nakazaniu mu dostosowania operacji przetwarzania do obowiązujących przepisów. Dla strony postępowania przepis ten stanowi fundament do żądania, aby systemy informatyczne i procedury wewnętrzne były projektowane z myślą o jej bezpieczeństwie.

Na czym polega problem? Privacy by Design i Privacy by Default

Głównym wyzwaniem związanym z interpretacją i stosowaniem art. 25 RODO jest jego wysoki stopień ogólności oraz konieczność ciągłego balansowania między postępem technologicznym, kosztami wdrożenia a poziomem ryzyka dla praw i wolności osób fizycznych. Problem ten ujawnia się szczególnie w momencie projektowania nowych systemów IT, aplikacji mobilnych, platform e-commerce czy systemów rejestracji pacjentów.

Zasada ochrony danych w fazie projektowania (Privacy by Design)

Zgodnie z art. 25 ust. 1 RODO, administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne (takie jak np. pseudonimizacja) już na etapie określania sposobów przetwarzania (czyli planowania i projektowania systemu) oraz w fazie samego przetwarzania. Środki te muszą być zaprojektowane w taki sposób, aby skutecznie realizować zasady ochrony danych, takie jak minimalizacja danych, oraz zapewniać niezbędne zabezpieczenia. Administrator musi przy tym uwzględnić:

  • stan wiedzy technicznej (najnowsze osiągnięcia technologiczne),
  • koszty wdrażania,
  • charakter, zakres, kontekst i cele przetwarzania,
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze.

Zasada domyślnej ochrony danych (Privacy by Default)

Z kolei art. 25 ust. 2 RODO nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do:

  • ilości zbieranych danych,
  • zakresu ich przetwarzania,
  • okresu ich przechowywania,
  • ich dostępności (dane nie mogą być domyślnie udostępniane nieograniczonej liczbie osób bez interwencji użytkownika).

W praktyce oznacza to, że użytkownik korzystający z danej usługi nie powinien być zmuszany do samodzielnego zmieniania ustawień prywatności na bardziej rygorystyczne – system od samego początku musi gwarantować mu maksymalną ochronę.

Kogo dotyczy art. 25 RODO? Strona vs. Administrator

Regulacja ta dotyczy bezpośrednio dwóch głównych podmiotów obrotu prawnego:

  1. Administratora danych osobowych (ADO): Może to być przedsiębiorca, instytucja publiczna, szpital, bank czy stowarzyszenie. Na ADO spoczywa pełna odpowiedzialność za wykazanie (zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO), że wdrożył odpowiednie środki techniczne i organizacyjne spełniające wymogi art. 25 RODO.
  2. Strony (osoby, której dane dotyczą): Osoba fizyczna, której dane są przetwarzane. Strona ma prawo oczekiwać, że jej dane są bezpieczne, a systemy, z których korzysta, nie wymuszają na niej podawania nadmiarowych informacji ani nie udostępniają ich publicznie bez jej wyraźnej woli. W przypadku naruszenia tych zasad, strona może złożyć stosowny wniosek lub skargę do organu nadzorczego.

Podstawa prawna i mechanizm działania w praktyce

W praktyce sporów prawnych art. 25 RODO rzadko występuje samodzielnie. Najczęściej jest on powoływany w powiązaniu z art. 5 RODO (zasady przetwarzania danych, w tym minimalizacja i integralność) oraz art. 32 RODO (bezpieczeństwo przetwarzania). Mechanizm działania tego przepisu opiera się na tzw. podejściu opartym na ryzyku (risk-based approach). Administrator nie może tłumaczyć się brakiem środków finansowych, jeśli ryzyko dla praw i wolności użytkowników jest wysokie, a na rynku istnieją powszechnie dostępne i tanie rozwiązania zabezpieczające.

Jeśli strona wykaże, że np. aplikacja mobilna banku domyślnie wymaga dostępu do kontaktów i lokalizacji, mimo że nie jest to niezbędne do wykonania usługi płatniczej, dochodzi do bezpośredniego naruszenia art. 25 ust. 2 RODO. W takim przypadku ciężar dowodu zostaje przerzucony na administratora, który musi wykazać, dlaczego takie ustawienia domyślne zostały zastosowane i czy były one konieczne.

Obowiązki administratora: Jak spełnić wymogi prawa?

Aby uniknąć zarzutu naruszenia art. 25 RODO, administrator musi podjąć szereg działań o charakterze prawno-organizacyjnym oraz technologicznym. Do najważniejszych obowiązków należą:

  • Przeprowadzenie oceny skutków dla ochrony danych (DPIA): Choć DPIA jest regulowane przez art. 35 RODO, jest ono kluczowym narzędziem realizacji zasady privacy by design. Pozwala zidentyfikować ryzyka na etapie projektowania systemu.
  • Wdrożenie minimalizacji danych: Projektowanie formularzy rejestracyjnych tak, aby zbierały tylko te dane, bez których usługa nie może zostać zrealizowana.
  • Zastosowanie technik maskowania i pseudonimizacji: Ograniczenie widoczności danych dla personelu, który nie potrzebuje pełnego dostępu do realizacji swoich zadań.
  • Zapewnienie retencji danych: Automatyczne usuwanie lub anonimizacja danych po upływie określonego terminu przechowywania.
  • Domyślne ustawienia prywatności: Konfiguracja systemów IT w taki sposób, aby profile użytkowników były domyślnie prywatne, a zgody marketingowe nie były zaznaczone (brak tzw. pre-ticked boxes).

Uprawnienia strony i narzędzia wpływu: Wniosek i skarga

Osoba, której dane dotyczą, nie jest bezbronna wobec zaniedbań administratora. Przysługuje jej szereg uprawnień procesowych:

1. Wniosek o udzielenie informacji i dostosowanie systemów

Strona może skierować do administratora oficjalny wniosek z zapytaniem, jakie środki techniczne i organizacyjne zostały wdrożone w celu realizacji zasad z art. 25 RODO. Może również zażądać zmiany domyślnych ustawień swojego konta lub ograniczenia przetwarzania danych, które uważa za nadmiarowe.

2. Skarga do organu nadzorczego (PUODO)

W przypadku braku satysfakcjonującej odpowiedzi ze strony administratora, strona ma prawo złożyć skargę do organu nadzorczego. W treści skargi należy precyzyjnie wskazać, na czym polega uchybienie (np. brak możliwości korzystania z usługi bez wyrażenia zgody na profilowanie, co narusza zasadę privacy by default).

Rola organu nadzorczego (PUODO) i terminy w postępowaniu

Prezes Urzędu Ochrony Danych Osobowych jako organ nadzorczy bada, czy administrator dopełnił obowiązków wynikających z art. 25 RODO. W toku postępowania organ może żądać od administratora przedstawienia dokumentacji projektowej, analiz ryzyka oraz dowodów na testowanie wdrożonych zabezpieczeń.

W kontekście terminów należy pamiętać o kilku kluczowych aspektach:

  • Termin na wdrożenie: Obowiązek z art. 25 RODO ma charakter ciągły. Środki muszą być wdrożone przed rozpoczęciem przetwarzania i utrzymywane przez cały czas jego trwania.
  • Termin na odpowiedź na wniosek strony: Administrator ma obowiązek odpowiedzieć na wniosek strony bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. W skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące, o czym należy powiadomić stronę.
  • Termin przed organem: Postępowanie przed PUODO toczy się według przepisów Kodeksu postępowania administracyjnego, co oznacza, że organ powinien załatwić sprawę bez zbędnej zwłoki, co do zasady w terminie miesiąca, a w sprawach szczególnie skomplikowanych – dwóch miesięcy.

Procedura wdrożenia zasad z art. 25 RODO krok po kroku

Dla administratorów, którzy chcą prawidłowo zrealizować wymogi art. 25 RODO, rekomenduje się przejście przez następującą procedurę:

  1. Krok 1: Powołanie zespołu interdyscyplinarnego. W procesie projektowania systemu muszą uczestniczyć nie tylko programiści i architekci IT, ale również Inspektor Ochrony Danych (IOD) oraz prawnicy specjalizujący się w ochronie danych osobowych.
  2. Krok 2: Analiza wymagań i celów przetwarzania. Dokładne określenie, jakie dane są niezbędne do realizacji celu biznesowego lub publicznego.
  3. Krok 3: Analiza ryzyka (Risk Assessment). Identyfikacja potencjalnych zagrożeń dla prywatności użytkowników (np. wyciek danych, nieuprawniony dostęp).
  4. Krok 4: Projektowanie zabezpieczeń. Wprowadzenie do specyfikacji technicznej wymagań dotyczących szyfrowania, pseudonimizacji, kontroli dostępu oraz automatycznego usuwania danych po upływie terminu ich przechowywania.
  5. Krok 5: Testowanie i audyt. Przed wdrożeniem produkcyjnym należy przeprowadzić testy bezpieczeństwa oraz audyt zgodności z RODO.
  6. Krok 6: Dokumentacja i rozliczalność. Sporządzenie raportu z wdrożenia zasad privacy by design i privacy by default, który będzie stanowił dowód dla organu nadzorczego w przypadku kontroli.

Najczęstsze błędy popełniane przez administratorów

W praktyce kontrolnej PUODO oraz w sporach sądowych najczęściej ujawniają się następujące błędy popełniane przez administratorów:

  • Ignorowanie prywatności na etapie zakupów: Kupowanie gotowych systemów IT od dostawców zewnętrznych bez weryfikacji, czy spełniają one wymogi art. 25 RODO (tzw. brak audytu łańcucha dostaw).
  • Zasada „zbierzmy wszystko, potem się pomyśli”: Projektowanie baz danych z nadmiarowymi polami, które nie są konieczne do realizacji usługi.
  • Skomplikowane panele zarządzania prywatnością: Ukrywanie opcji wyłączenia śledzenia lub profilowania głęboko w ustawieniach aplikacji, co bezpośrednio narusza zasadę privacy by default.
  • Brak aktualizacji zabezpieczeń: Zapominanie, że „stan wiedzy technicznej” się zmienia. Zabezpieczenia, które były wystarczające w 2018 roku, mogą być nieskuteczne dzisiaj.

Przykład praktyczny: Wdrożenie systemu rejestracji pacjentów w placówce medycznej

Wyobraźmy sobie przychodnię lekarską, która wdraża nowy system internetowej rejestracji pacjentów. Jak w tym przypadku powinny zadziałać zasady z art. 25 RODO?

Złe podejście (naruszenie art. 25 RODO): Podczas rejestracji system domyślnie wymaga podania numeru PESEL, adresu zamieszkania, numeru telefonu oraz zaznaczenia zgody na przesyłanie newslettera medycznego. Wszystkie te pola są obowiązkowe, a zgoda marketingowa jest domyślnie zaznaczona. Dane pacjentów są widoczne dla każdego pracownika przychodni, w tym personelu technicznego.

Prawidłowe podejście (zgodne z art. 25 RODO): Na etapie projektowania systemu (privacy by design) przychodnia decyduje, że do samej rezerwacji terminu wystarczy imię, nazwisko i adres e-mail lub telefon. Numer PESEL jest pobierany dopiero podczas osobistej wizyty w placówce w celu weryfikacji tożsamości. Zgoda na newsletter jest całkowicie dobrowolna i domyślnie odznaczona (privacy by default). Dostęp do danych medycznych pacjenta jest ściśle ograniczony wyłącznie do lekarza prowadzącego i upoważnionej pielęgniarki, a system automatycznie rejestruje każdą próbę odczytu danych (pełna rozliczalność).

Skutki prawne i finansowe uchybień

Naruszenie obowiązków wynikających z art. 25 RODO niesie za sobą poważne konsekwencje. Zgodnie z art. 83 ust. 4 lit. a RODO, naruszenie tego artykułu podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Poza karami finansowymi, organ nadzorczy może nałożyć na administratora szereg środków naprawczych, takich jak:

  • nakaz dostosowania operacji przetwarzania do przepisów RODO w określonym terminie,
  • wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych (co może sparaliżować działalność firmy),
  • nakaz poinformowania osób, których dane dotyczą, o naruszeniu.

Dla strony, której prawa zostały naruszone, otwiera się również droga do dochodzenia odszkodowania przed sądem cywilnym na podstawie art. 82 RODO za szkodę majątkową lub niemajątkową (krzywdę) wynikłą z naruszenia rozporządzenia.

Podsumowanie i rekomendacje dla praktyków

Artykuł 25 RODO to kluczowy element nowoczesnego podejścia do ochrony prywatności. Wymaga on od administratorów porzucenia reaktywnego podejścia do bezpieczeństwa danych na rzecz podejścia proaktywnego i prewencyjnego. Ochrona danych musi być wpisana w kod źródłowy systemów informatycznych oraz w codzienne procedury biznesowe.

Dla prawników reprezentujących strony, art. 25 RODO stanowi potężny argument w sporach z dużymi korporacjami i instytucjami publicznymi, które często zaniedbują domyślne ustawienia prywatności. Z kolei dla administratorów, rzetelne podejście do privacy by design i privacy by default to nie tylko sposób na uniknięcie kar od PUODO, ale także budowanie wizerunku podmiotu godnego zaufania w cyfrowym świecie.