Rozporządzenie ogólne o ochronie danych osobowych (dalej RODO), a konkretnie art. 23 zezwala państwom członkowskim na ograniczenie zakresu wybranych obowiązków i praw, jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności, a także jest niezbędne i proporcjonalne w demokratycznym społeczeństwie.

Ograniczenia mogą być zastosowane w zakresie:

• przejrzystego informowania i przejrzystej komunikacji oraz trybu wykonywania praw przez osobę, której dane dotyczą (art. 12 RODO),
• informacji i dostępu do danych osobowych (art. 13, 14, 15 RODO),
• sprostowania i usuwania danych (art. 16, 17, 18, 19, 20 RODO),
• realizacji prawa do sprzeciwu oraz zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach (art. 21, 22 RODO),
• zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 RODO),
• zasad dotyczących przetwarzania danych osobowych (art. 5, 6, 7, 8, 9, 10, 11 RODO).

Prawo państwa członkowskiego może ograniczyć wspomniane wyżej zakresy praw i obowiązków aktem prawnym. Takim aktem prawnym jest ustawa o ochronie danych osobowych z dnia 10 maja 2018 roku (dalej UODO).

Ustawa wyłącza stosowanie niektórych przepisów RODO w odniesieniu do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, a także do wypowiedzi w ramach działalności literackiej lub artystycznej (art. 2 UODO).

Wyłączenia w tym zakresie obejmują:

• konieczność przetwarzania danych osobowych zgodnie z zasadami, które ujęte zostały w rozdziale II RODO (za wyjątkiem przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych),
• konieczność realizacji obowiązków informacyjnych zarówno przy pozyskiwaniu danych osobowych bezpośrednio od osoby, której dane dotyczą, jak i pozyskiwaniu ich w sposób inny niż od osoby, której dane dotyczą,
• konieczność realizacji praw: dostępu do informacji o przetwarzaniu, sprostowania danych, ograniczenia przetwarzania, przenoszenia danych, wyrażenia sprzeciwu, niepodlegania profilowaniu,
• konieczność wyznaczenia przedstawiciela w przypadku nie posiadania jednostki organizacyjnej w Unii Europejskiej,
• konieczność zawierania umów powierzenia przetwarzania danych osobowych,
• konieczność rejestrowania czynności przetwarzania.

W kolejnym punkcie artykułu, ustawa wyłącza stosowanie niektórych przepisów RODO w odniesieniu do wypowiedzi akademickiej.

Wyłączenia obejmują:

• konieczność realizacji obowiązku informacyjnego przy pozyskiwaniu danych osobowych bezpośrednio od osoby, której dane dotyczą,
• konieczność realizacji prawa dostępu do informacji o przetwarzaniu, ale tylko w zakresie dostarczania kopii danych osobowych podlegających przetwarzaniu,
• konieczność realizacji prawa do ograniczenia przetwarzania,
• konieczność wyznaczenia przedstawiciela w przypadku nie posiadania jednostki organizacyjnej w Unii Europejskiej,
• konieczność zawierania umów powierzenia przetwarzania danych osobowych,
• konieczność rejestrowania czynności przetwarzania.

UODO przewiduje także wyłączenia stosowania wybranych przepisów dla Administratorów wykonujących zadania publiczne. Administratorzy ci nie będą musieli informować osób, których dane dotyczą o zmianie celu przetwarzania danych osobowych, jeżeli zmiana celu służy realizacji zadania publicznego. Kolejne wyłączenia obejmują przekazywanie informacji w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą, a także informacji przysługujących na mocy art. 15 RODO (prawo dostępu przysługujące osobie, której dane dotyczą).

Poniżej szczegółowy wyciąg z cytowanych przepisów ustawy o ochronie danych osobowych dotyczących Administratorów wykonujących zadania publiczne.

„Art. 3. 1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 13 ust. 3 rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 ust. 3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:

1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub

2) naruszy ochronę informacji niejawnych.

2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 13 ust. 3 rozporządzenia 2016/679.

Art. 4. 1. W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:

1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub

2) naruszy ochronę informacji niejawnych.

2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679.

Art. 5. 1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego roz-porządzenia, oraz wykonanie tych obowiązków:

1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub

2) naruszy ochronę informacji niejawnych.

2. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1 i 3 rozporządzenia 2016/679, wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych, administrator wykonujący zadanie pub-liczne wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wyszukanie tych danych. Przepis art. 64 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149 i 650) stosuje się odpowiednio.
3. W przypadkach, o których mowa w ust. 1 i 2, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
4. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie niewykonania obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679”.