Ochrona danych osobowych w ramach systemu doręczeń elektronicznych

System e-doręczeń to elektroniczny odpowiednik listu poleconego za potwierdzeniem odbioru. Rozwiązanie wprowadzone ustawą z dnia 18 listopada 2020 r. o doręczeniach elektronicznych stanowi kamień milowy w procesie likwidacji tradycyjnej, papierowej korespondencji w polskiej administracji. Zamiast niej organy publiczne kontaktować się będą z przedsiębiorcami w sposób elektroniczny, a gdy ten nie będzie mógł być stosowany, zastosowana zostanie publiczna usługa hybrydowa.

Od 10 grudnia 2023 r. większość organów administracji publicznej oraz część przedsiębiorców będzie zobligowana do posiadania adresu do doręczeń elektronicznych (pełen harmonogram wdrożenia e-doręczeń dostępny jest TUTAJ). Wejście w życie pierwszej fazy postulowanej od lat zmiany, mającej na celu cyfryzację oficjalnej korespondencji, budzi ciekawość ze strony wszystkich zainteresowanych środowisk. Wynika to w dużej mierze z rewolucji jaka dotknie tradycyjny, znany od lat system pocztowy oparty na papierowej korespondencji. Niemniej istotny jest też fakt, że wraz z innowacjami pojawią się lub zostaną zmodyfikowane obowiązki, jakie poszczególne przepisy nakładają na strony wymieniające korespondencję, w tym na przedsiębiorców. Część z nich będzie miała ścisły związek z ochroną danych osobowych.

Co niesie za sobą wprowadzenie systemu e-doręczeń?

W związku z wdrożeniem doręczeń elektronicznych zgodnie z ustawą z 18.11.2020 r. o doręczeniach elektronicznych, dojdzie do przekształcenia formy korespondencji między przedsiębiorcami a organami administracji publicznej z papierowej na elektroniczną. Podobnie jak w przypadku tradycyjnej poczty, tak i w korespondencji elektronicznej mogą pojawić się dane osobowe. Poza tym, kwestia ochrony danych pojawia się przy e-doręczeniach także w innych kontekstach - wynikających bezpośrednio z RODO. Obowiązki te dotyczą poszczególnych podmiotów biorących udział w procesie wysyłania korespondencji. Sama ustawa wprowadza trzy rodzaje usług doręczeń elektronicznych:

- publiczna usługa rejestrowanego doręczenia elektronicznego (publiczna usługa RDE) – usługa świadczona przez operatora wyznaczonego zgodnie z ustawą z 23.11.2012 r. – Prawo pocztowe;

- kwalifikowana usługa rejestrowanego doręczenia elektronicznego (kwalifikowana usługa RDE) – usługa świadczona przez kwalifikowanego dostawcę usług zaufania w rozumieniu rozporządzenia eIDAS;

- publiczna usługa hybrydowa – wprowadzona przez u.d.e, a świadczona przez operatora wyznaczonego, a której nadawcą może być wyłącznie podmiot publiczny.

Jakie obowiązki wynikające z RODO dotyczą przedsiębiorców w kontekście e-doręczeń?

Realizacja obowiązku informacyjnego w związku z korzystaniem z usługi RDE

Na administratorze danych osobowych spoczywa obowiązek przekazania osobom, których dane dotyczą, informacji na temat ich przetwarzania. Chodzi m.in. o informacje o tożsamości i danych kontaktowych administratora, o celach przetwarzania danych czy o okresie ich przechowywania. Przedsiębiorca będący administratorem powinien poinformować osoby, których dane osobowe przetwarza w związku z korzystaniem z usług RDE, o tym że osoby te mają dostęp do skrzynki doręczeń przedsiębiorcy. Taka informacja powinna zawierać wszystkie elementy wskazane w art. 13 ust. 1 i 2 RODO. W przypadku, gdy przedsiębiorca ma klauzulę informacyjną dla osób z nim się komunikujących, to owa klauzula powinna zostać uzupełniona o kwestie związane z usługami RDE.

Analiza ryzyka i ocena skutków dla ochrony danych

Wraz z rozpoczęciem korzystania przez przedsiębiorcę z doręczeń elektronicznych powinien on zaktualizować analizę ryzyka dla czynności, w ramach których będzie dochodziło do przetwarzania danych osobowych, co ma na celu zagwarantowanie bezpieczeństwa danych. Zapewnienie bezpieczeństwa danych należy rozumieć jako zapewnienie integralności, poufności i dostępności danych osobowych poprzez wdrożenie odpowiednich środków technicznych przez administratora i podmiot przetwarzający. Oceny skutków dla ochrony danych przedsiębiorca musi dokonać działając w zgodności z art. 35 RODO.

Rejestr czynności przetwarzania

Przedsiębiorca jako administrator prowadzący rejestr czynności przetwarzania w związku z korzystaniem z e-doręczeń zobowiązany jest do aktualizacji dotychczasowych czynności, a także w uzasadnionych przypadkach do uzupełnienia rejestru o nowe. Przykładowo do takich czynności należą obsługa i prowadzenie korespondencji za pomocą skrzynki elektronicznej czy też zgłaszanie danych osobowych administratorom skrzynki i ich aktualizacja.

Już dziś przygotuj się do wprowadzenia nowego systemu wraz z komentarzem Dominiki Nowak – Byrtek i Katarzyny Syskiej z kancelarii prawnej Traple Konarski Podrecki i Wspólnicy, Ekspertek LEX w dziedzinie ochrony danych osobowych. Dowiesz się z niego wszystkiego, co powinieneś wiedzieć na temat wdrożenia i korzystania z doręczeń elektronicznych przez przedsiębiorców zgodnie z przepisami RODO.

Tagi:
• LEX Ochrona Danych Osobowych