Ochrona danych osobowych – nadchodzące zmiany

Ochrona danych osobowych – nadchodzące zmiany

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. L. 119, z 4 maja 2016 r.; dalej: „Rozporządzenie”), przez wielu określane mianem ewolucyjnego, weszło w życie dnia 27 kwietnia 2016 roku. Od 25 maja 2018 roku ma być bezpośrednio stosowane przez wszystkie państwa członkowskie Unii Europejskiej, w tym również Polskę. Niesie ono za sobą szereg zmian – przedsiębiorcy mają więc niecałe dwa lata na przystosowanie się do wymogów Rozporządzenia. Obowiązująca obecnie dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 23/11/1995; dalej: „Dyrektywa”), tworzona była w połowie lat 90., co skutkuje niedostosowaniem przepisów do wielu istotnych przemian technologicznych i realiów XXI wieku. Ponadto, każdy kraj członkowski wdrażał Dyrektywę „po swojemu”, co skutkowało późniejszymi różnicami w regulacji poszczególnych kwestii, czasem nawet w obrębie tego samego państwa (niemieckie landy), a tym samym mogło być źródłem nieporozumień.

Podstawowe zasady przetwarzania danych osobowych nie uległy zmianie, dlatego też Rozporządzenie zyskało miano ewolucyjnego, a nie rewolucyjnego. Trzon przepisów pozostał bowiem ten sam. Niezmiennie, podstawowe warunki zgodnie z którymi należy przetwarzać dane osobowe to kolejno: zgodność z prawem, rzetelność i przejrzystość, ograniczenie do prawnie uzasadnionych i konkretnych celów, minimalizacja danych, prawidłowość i bieżąca aktualizacja, wykorzystywanie do celów, w których są przechowywane oraz zapewnienie wysokiego poziomu bezpieczeństwa.

Również katalog szczególnych danych osobowych, jakimi są „dane wrażliwe”, pozostał w zasadzie taki sam, pomijając kosmetyczne zmiany dotyczące użytej nomenklatury. Wyodrębniono jednak jedną z części składowych danych wrażliwych, tworząc tym samym drugą kategorię szczególnych danych osobowych, zawierającą informacje o wyrokach skazujących i naruszeniach prawa. Zmieniły się tym samym warunki dopuszczalności przetwarzania takich danych. Jest to możliwe „wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą”.

Poniżej omówiono istotne zmiany wprowadzone przez przepisy Rozporządzenia.

[Zakres zastosowania przepisów Rozporządzenia]

Pierwszą kwestią, którą należy poruszyć jest rozszerzenie terytorialnego zakresu zastosowania przepisów Rozporządzenia. Będą one bowiem miały zastosowanie do przetwarzania danych osób przebywających na terenie Unii Europejskiej, nawet jeśli administrator lub podmiot przetwarzający te dane nie posiada w Unii jednostek organizacyjnych. Jest to rozwiązanie z całą pewnością postępowe, zważywszy na skalę, na jaką dane Europejczyków są obecnie przetwarzane przez państwa trzecie. Nie mniej jednak rozwiązanie to, może się okazać wysoce problematyczne, ze względu na fakt, że proces egzekwowania przepisów nie został sprecyzowany.

[Wiek użytkowników portali społecznościowych]

Kolejną istotną kwestią uregulowaną przez Rozporządzenie jest wiek użytkowników portali społecznościowych i innych platform. Zagadnienie to nie od dzisiaj budzi kontrowersje, a zatem nie mogło zostać pominięte. Rozporządzenie wymienia dwa alternatywne warunki legalności korzystania z usług społeczeństwa informacyjnego przez małoletnich. Jest to ukończenie 16. roku życia lub zgoda osoby sprawującej władzę rodzicielską nad dzieckiem. Nie mniej jednak ustawodawca wychodzi na przeciw państwom członkowskim, mającym zamiar dopuścić do wirtualnego świata młodszych użytkowników, ustanawiając ostateczną granicę na poziomie lat 13.

[Nowe definicje legalne]

Rozporządzenie wprowadza również kilka nowych definicji, takich jak „dane biometryczne” czy „dane genetyczne”, „pseudonimizacja”, czy „profilowanie”. W tym miejscu przytoczyć należy dwa z pośród nich, ze względu na częste posługiwanie się nimi przez Rozporządzenie. Są to:

1. Pseudonimizacja – „oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji”.
2. Profilowanie – „oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej”.

[Nowe uprawnienia podmiotów, których dane są przetwarzane]

Następnie wskazać należy, że Rozporządzenie wprowadza nowe prawa podmiotów, których dane są przetwarzane:

1. prawo do ograniczenia przetwarzania; prawo do ograniczenia przetwarzania przysługuje wówczas, gdy:

• osoba, której dane są przetwarzane kwestionuje ich prawidłowość; dotyczy to sytuacji niezgodności przetwarzania z prawem,
• osoba, której dane są przetwarzane nie jest zainteresowana ich usunięciem,
• administrator nie potrzebuje już danych osobowych do celów przetwarzania, jednak są one potrzebne osobie, której dotyczą, na przykład w celu obrony roszczeń,
• osoba, której dane dotyczą wniosła sprzeciw na mocy artykułu 21 ust. 1 Rozporządzenia,

2. prawo do bycia zapomnianym; prawo do bycia zapomnianym oznacza, że osoba, której dane dotyczą, ma prawo żądać niezwłocznego usunięcia jej danych osobowych od administratora wówczas, gdy:

• cofnęła udzieloną wcześniej zgodę na przetwarzanie,
• dane osobowe winny być usunięte na mocy prawa unijnego lub prawa państwa członkowskiego,
• dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego,
• dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
• osoba, której dane dotyczą, wnosi sprzeciw, na mocy artykułu 21 ust. 1 Rozporządzenia, wobec przetwarzania danych,
• dane osobowe były przetwarzane niezgodnie z prawem,

3. prawo do przenoszenia danych; prawo do przenoszenia danych umożliwia przesłanie danych osobowych dostarczonych administratorowi danych, innemu administratorowi, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy oraz w sposób zautomatyzowany,
4. prawo sprzeciwu; prawo sprzeciwu polega na tym, że osoba, której dane dotyczą, może w dowolnym momencie wnieść sprzeciw wobec ich przetwarzania, co automatycznie skutkuje niemożnością przetwarzania takich danych przez administratora, chyba że wykaże on istnienie prawnie uzasadnionych podstaw. Taka sama regulacja obowiązuje w przypadku wyrażenia sprzeciwu przez osobę, której dane są przetwarzane na potrzeby marketingu bezpośredniego. Prawo to można wykonać za pośrednictwem „zautomatyzowanych środków wykorzystujących specyfikacje techniczne”.

[Generalny Inspektor Ochrony Danych]

Rozporządzenie wprowadza zmiany dotyczące Administratora Bezpieczeństwa Informacji. Po pierwsze, od 2018 roku będziemy nazywać go Inspektorem Ochrony Danych, a jego powołanie będzie niezbędne w trzech przypadkach, tj.:

1. „dla podmiotów administracji publicznej, kiedy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania,
2. dla podmiotów, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
3. wówczas, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę tzw. danych wrażliwych”.

Po drugie, Rozporządzenie nakłada, na podmiot przetwarzający dane osobowe, obowiązek zgłoszenia (bez zbędnej zwłoki) faktu naruszenia ochrony danych osobowych administratorowi. Zgłoszenie takie winno zawierać co najmniej: „charakter naruszenia, imię nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych, konsekwencje naruszenia oraz już zastosowane bądź też proponowane przez administratora środki w celu zaradzenia naruszeniu ochrony danych osobowych”. Obowiązkiem każdego administratora danych osobowych będzie rejestr czynności przetwarzania danych osobowych. W rejestrze winny być zamieszczone następujące informacje: „imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, fakt przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, terminy usunięcia poszczególnych kategorii danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa”.

Po trzecie, Rozporządzenie przyznaje Generalnemu Inspektorowi Danych Osobowych szereg nowych uprawnień, które znacznie ułatwią skuteczne egzekwowanie zgodnego z prawem przetwarzania danych osobowych. Rozporządzenie uprawnia wszystkie organy nadzorcze w Unii Europejskiej, w tym także polskiego Generalnego Inspektora Ochrony Danych Osobowych; dalej: „GIODO”), do nakładania kar finansowych za nieprzestrzeganie przepisów. Co więcej, kary będą mogły być stosowane z urzędu, bez uprzedniego wezwania do usunięcia uchybień. W zależności od tego, które przepisy Rozporządzenia zostaną naruszone, mogą być to kary administracyjne w wysokości do 10 000 000 EUR lub (dla przedsiębiorcy) do 2 % światowego rocznego obrotu. Co istotne, naruszenie podstawowych zasad przetwarzania danych osobowych, w tym warunków zgody na przetwarzanie danych osobowych, o których mowa w artykułach 5, 6, 7 oraz 9 Rozporządzenia, może wiązać się z nałożeniem kary nawet do 20 000 000 EUR lub do 4% światowego rocznego obrotu.

Po czwarte, Rozporządzenie ustanawia obowiązek zgłaszania, bez zbędnej zwłoki (tzn. w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) przez administratora danych, naruszenia ochrony danych osobowych organowi nadzorczemu (GIODO).

[Mechanizmy „privacy by design” i „privacy by default”]

Rozporządzenie wprowadza mechanizmy, które mają zapewnić ochronę prywatności na najwyższym poziomie.

Zasada „privacy by design” zobowiąże administratora danych do zapewnienia wykorzystania odpowiednich środków technicznych i organizacyjnych już na etapie projektowania systemu oraz na etapie wykorzystywania go do przetwarzania danych, w taki sposób, aby ochrona prywatności od samego początku stanowiła część składową takiego projektu. Natomiast mechanizm „privacy by default” zakłada, że ochrona prywatności stanowić będzie domyślne ustawienie każdego programu. Administrator będzie zobowiązany zapewnić, aby domyślne przetwarzanie danych osobowych dotyczyło tylko tych danych, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Poszerzenie zakresu przetwarzania będzie mogło nastąpić wyłącznie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Zapewni to poziom ochrony danych w sieci na bardzo wysokim poziomie.

[Grupa przedsiębiorstw]

Rozporządzenie reguluje również kwestię grup kapitałowych, określonych mianem „grup przedsiębiorstw”. Wprowadzone rozwiązania oznaczają ułatwienia w transferze danych, w obrębie owych grup. Co więcej, grupa przedsiębiorstw będzie mogła wyznaczyć jednego inspektora ochrony danych, oczywiście pod warunkiem, łatwości nawiązania z nim kontaktu przez każdą jednostkę organizacyjną.

Kolejnym, ułatwieniem dla przedsiębiorców jest wprowadzenie tzw. mechanizmu „one-stop-shop”, zgodnie z którym, grupy przedsiębiorstw lub pojedyncze spółki oferujące usługi na terenie kilku państw Unii Europejskiej, a konkretnie ich główna jednostka organizacyjna (np. Centrala Grupy Kapitałowej), będzie mogła wybrać organ ochrony danych osobowych, właściwy dla całej Grupy (np. polskiego GIODO).

Unijna regulacja zwróciła również uwagę na, absurdalny dotychczas, obowiązek drobnych przedsiębiorców, jakim było prowadzenie szczegółowej ewidencji przetwarzania danych osobowych. Rozporządzenie daje przedsiębiorcom lub podmiotom zatrudniającym mniej niż 250 osób uprzywilejowaną pozycję w kwestii dokumentacji danych. Zostaną oni bowiem zwolnieni z tego uciążliwego i w gruncie rzeczy całkowicie niepotrzebnego obowiązku.

[Europejska Rada Ochrony Danych]

W celu ochrony praworządności powołana została Europejska Rada Ochrony Danych, której zadaniem będzie dbanie o spójne stosowanie przepisów Rozporządzenia oraz rozstrzyganie sporów między organami nadzoru z poszczególnych państw członkowskich.

[Podsumowanie]

Rozporządzenie, to obszerna i skomplikowana regulacja, wprowadzająca wiele innowacji w kwestii ochrony i przetwarzania danych osobowych. Jego szczegółowa analiza jest czasochłonna. Niniejszy artykuł powstał z myślą o przedsiębiorcach i ma na celu przybliżenie im nadchodzących zmian, tak aby mogli się do nich przygotować.

Autor: Klaudia Kamila Woźniak

Kontakt: adw. Małgorzata Jaśkiewicz, m.jaskiewicz@jp-adwokaci.pl, +48 606 852 838