ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

 

 

Nowa regulacja dotycząca ochrony i przetwarzania danych osobowych, przez wielu określana mianem ewolucyjnej, weszła w życie w kwietniu 2016 roku. Od 25 maja 2018 roku ma być bezpośrednio stosowana przez wszystkie podmioty, których dotyczy, w tym Polskę. Niesie ona za sobą szereg zmian, przedsiębiorcy mają więc niecałe dwa lata na przystosowanie procedur do wymogów Rozporządzenia, zwanego potocznie GDRP – General Data Protection Regulation.

Dyrektywa 95/46/WE obowiązująca obecnie tworzona była w połowie lat 90, co skutkuje niedostosowaniem przepisów do wielu istotnych przemian technologicznych i realiów XXI wieku.

Ponadto każdy kraj członkowski wdrażał Dyrektywę „po swojemu” w procesie implementacji, co skutkowało późniejszymi różnicami w regulacji poszczególnych kwestii, czasem nawet w obrębie tego samego państwa (niemieckie landy), a tym samym mogło być źródłem nieporozumień.

 

Nowe regulacje wprowadzone rozporządzeniem

 

Rozporządzenie wprowadza nowe definicje: 

  • „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne,
  • „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej,
  • „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
  • „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Ogólne zasady przetwarzania danych osobowych:

1. zgodność z prawem, rzetelność i przejrzystość,
2. ograniczenie celu,
3. minimalizacja danych,
4. prawidłowość,
5. ograniczenie przechowywania,
6. integralność i poufność.

 

Dane osobowe, a rozporządzenie

Artykuł 5 Rozporządzenia wyraża zasady, zgodnie z którymi dane osobowe mają być przetwarzane. Po pierwsze kluczowe jest ich przetwarzanie zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Dane osobowe muszę być zbierane, a następnie przetwarzane w prawnie uzasadnionych i konkretnych celach. Przy czym za przetwarzanie niezgodne z celami nie uznaje się „przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych/historycznych/statystycznych”. Kolejną zasadą jest ich adekwatność, stosowność oraz ograniczenie do tego, co niezbędne do celów, w których są przetwarzane. Dane mają być również prawidłowe, a więc aktualne, co wiąże się z ich bieżącą aktualizacją. Muszą również umożliwić precyzyjną identyfikację osoby, której dotyczą. Istotne jest również, aby były przetwarzane z zapewnieniem wysokiego poziomu bezpieczeństwa danych osobowych (nacisk należy kłaść na ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem).

Przetwarzanie danych osobowych szczególnych kategorii 

Rozporządzenie zwraca uwagę na dwie szczególne kategorie danych osobowych: dane wrażliwe oraz dane osobowe dotyczące wyroków skazujących i naruszeń prawa. Artykuł 9 stanowi zamknięty katalog tzw. wrażliwych danych osobowych: ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Co do zasady bezwzględnie zabrania się ich przetwarzania, niemniej jednak ustęp 2 artykułu 9 wymienia dziesięć przypadków, w których takie przetwarzanie jest prawnie dopuszczalne. Artykuł 10 zezwala na przetwarzanie drugiej kategorii szczególnych danych osobowych, tj. dotyczących wyroków skazujących i naruszeń prawa wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

 

wypróbuj bezpłatnie aplikację systell call center

 

Zgoda na przetwarzanie danych dzieci (artykuł 8)

 

Jeżeli chodzi o korzystanie z usług społeczeństwa informacyjnego przez małoletnich, zgodne z prawem jest przetwarzanie danych osobowych takiego dziecka, które ukończyło lat 16 lub też po wyrażeniu zgody przez osobę sprawującą władzę rodzicielską nad tym dzieckiem. Warto wspomnieć, że państwa członkowskie mogą wyznaczyć w swoim systemie prawa krajowego niższą granicę wieku, jednak nie może ona być niższa niż 13 lat.

 

Prawa przysługujące podmiotowi danych

  • Prawo do ograniczenia przetwarzania (art. 18) 

Osoba, której dane dotyczą, ma prawo żądać od administratora ograniczenia przetwarzania w następujących czterech przypadkach: wówczas gdy kwestionuje ona prawidłowość danych osobowych, kiedy przetwarzanie jest niezgodne z prawem (a podmiot zainteresowany nie chce ich usunąć, a jedynie żąda ograniczenia ich wykorzystywania), gdy administrator nie potrzebuje już danych osobowych do celów przetwarzania, jednak są one potrzebne osobie, której dane dotyczą (do ustalenia, dochodzenia lub obrony roszczeń) oraz gdy osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania danych osobowych jej dotyczących.

  • Prawo do bycia zapomnianym (art. 17) 

Zupełną nowością wprowadzoną przez Rozporządzenie w kwestii praw przysługujących podmiotom danych jest tzw. „prawo do bycia zapomnianym” (przypominamy tu znany problem żądania usunięcia danych skierowanego do właściciela wyszukiwarki Google). Osoba, której dane dotyczą ma prawo żądać niezwłocznego usunięcia jej danych osobowych od administratora wówczas gdy: dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, osoba, której dane dotyczą cofnęła udzieloną wcześniej zgodę na przetwarzanie, kiedy osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 Rozporządzenia wobec przetwarzania, wówczas gdy dane osobowe były przetwarzane niezgodnie z prawem, kiedy dane osobowe winny być usunięte na mocy prawa unijnego lub prawa państwa członkowskiego lub gdy dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

  • Prawo do przenoszenia danych (art. 20) 

Kolejnym uprawnieniem przysługującym podmiotowi, którego dane osobowe są przetwarzane, jest prawo do przenoszenia danych. Osoba taka ma prawo przesłać dane osobowe dostarczone administratorowi danych, innemu administratorowi, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy oraz w sposób zautomatyzowany.

  • Prawo sprzeciwu (art. 21) 

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, w tym profilowania na podstawie tych przepisów. Od tego momentu administratorowi nie wolno już przetwarzać danych osobowych danej osoby, chyba że wykaże istnienie prawnie uzasadnionych podstaw. Taka sama regulacja obowiązuje w przypadku wyrażenie sprzeciwu przez osobę, której dane są przetwarzane na potrzeby marketingu bezpośredniego. Prawo to można wykonać za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

 

Administrator i podmiot przetwarzający 

 

Obowiązek rejestrowania czynności przetwarzania danych osobowych

Każdy administrator ma obowiązek rejestru czynności przetwarzania danych osobowych. W rejestrze winny być zamieszczone następujące informacje: imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, fakt przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, terminy usunięcia poszczególnych kategorii danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

 

Obowiązek zgłaszania naruszeń ochrony danych osobowych

Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki powinien zgłosić je administratorowi, przy czym owe zgłoszenie musi zawierać co najmniej: charakter naruszenia, imię nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych, konsekwencje naruszenia oraz już zastosowane bądź też proponowane przez administratora środki w celu zaradzenia naruszeniu ochrony danych osobowych.

 

Wdrożenie mechanizmów „privacy by design” i „privacy by default”

Powyższe zasady w pewnym sensie wymuszą na wszystkich administratorach danych obowiązek uwzględnienia ochrony danych i prywatności na każdym etapie tworzenia oraz istnienia technologii obejmującej ich przetwarzanie. Zasady ochrony prywatności będą stanowiły trzon i jednocześnie część składową każdego projektu zakładającego przetwarzanie danych osobowych. Dodatkowo owe mechanizmy zakładają, że ustawienia aplikacji czy systemów przetwarzających dane domyślnie powinny udostępniać jedynie minimalną ilość informacji o danym użytkowniku. Poszerzenie zakresu udostępnianych danych może nastąpić wyłącznie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Jest to więc dobrze przemyślane i daleko idące zabezpieczenie prywatności użytkowników wielu portali.

Przetwarzanie danych przez Grupy Kapitałowe

Twórcy rozporządzenia słusznie zwrócili uwagę na bardzo często spotykaną sytuację związaną z ochroną danych osobowych. Chodzi o przetwarzanie danych przez Grupy Kapitałowe. W Rozporządzeniu Grupę Kapitałową, określono mianem Grupy Przedsiębiorstw.

Ułatwienie w transferze danych: Grupa przedsiębiorstw lub grupa przedsiębiorców prowadzących wspólną działalność gospodarczą powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą, pod warunkiem, że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych.

Rozporządzenie przewiduje również, że Grupą Przedsiębiorstw zarządza „główna jednostka organizacyjna”. Ponadto grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, oczywiście pod warunkiem, że będzie można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

 

One-stop-shop

Jest to niewątpliwie jedna z fundamentalnych zmian w zakresie przetwarzania danych osobowych, która znacznie ułatwi funkcjonowanie grup przedsiębiorstw.

Grupy przedsiębiorstw lub pojedyncze spółki oferujące usługi na terenie kilku państw UE, będą mogły skorzystać właśnie z zasady „one-stop-shop”. Zasada ta polega na tym, że główna jednostka organizacyjna (np. Centrala Grupy Kapitałowej), będzie mogła wybrać organ ochrony danych osobowych, właściwy dla całej Grupy (np. polskiego GIODO).

Mechanizm „one stop shop” zakłada, iż organ właściwy ze względu na siedzibę główną administratora, jako organ nadzorczy, powinien mieć pełne i wyłączne kompetencje korygujące (ang. corrective measures) w przypadku przetwarzania danych, które ma miejsce w więcej niż jednym państwie członkowskim.

 

Ułatwienia w prowadzeniu dokumentacji dla podmiotów zatrudniających poniżej 250 osób

Ustęp 5 artykułu 30 Rozporządzenia jest przełomowym dla drobnych przedsiębiorców. Dzięki jego zastosowaniu przykładowo fryzjerzy czy restauratorzy (dokładnie: przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób) zostaną zwolnieni z obowiązku prowadzenia szczegółowej ewidencji przetwarzania danych osobowych, który w ich przypadku jest zwyczajnie zbędny.

 

 

Inspektor Ochrony Danych

Od wejścia w życie Rozporządzenia Administratora Bezpieczeństwa Informacji nazywać będziemy Inspektorem Ochrony Danych.

Jego powołanie będzie obowiązkowe, w trzech przypadkach:
1. Dla podmiotów administracji publicznej.
2. Kiedy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania. Wymagają one ze względu na swój charakter, zakres lub cele, regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
3. Gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę tzw. danych wrażliwych.

Funkcja Administrator Bezpieczeństwa Informacji może być pełniona przez jedną osobę w grupie przedsiębiorstw (o czym była już mowa wyżej). Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

 

 

Nowa rola GIODO

Kolejną nowość stanowi obowiązek zgłaszania, bez zbędnej zwłoki (tzn. w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) przez administratora danych, naruszenia ochrony danych osobowych organowi nadzorczemu (GIODO).

Niemniej jednak sformułowanie użyte w artykule 33: „chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” sugeruje, że nowa regulacja prawna przewiduje pewne wyjątki od powyższej reguły.

Obecnie w Polsce kary nakładane przez GIODO to zdecydowana rzadkość. Ponadto mogą być one stosowane wyłącznie w sytuacji, kiedy adresat decyzji GIODO, nie zastosuje się do jej dyspozycji. Rozporządzenie daje wszystkim organom nadzorczym w UE, możliwość nakładania kar finansowych za nieprzestrzeganie przepisów. Co więcej kary będą mogły być stosowane z urzędu bez uprzedniego wezwania do usunięcia uchybień.

W zależności od tego, która część Rozporządzenia i które zasady zostaną naruszone, mogą być to kary administracyjne w wysokości do: 10 000 000 EUR lub (dla przedsiębiorcy) lub do 2 % światowego rocznego obrotu. A w przypadku naruszeń podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, kara może wynieść nawet 20 000 000 EUR lub do 4% światowego rocznego obrotu.

Postęp technologiczny przyczynił się do masowego przetwarzania danych Europejczyków w państwach trzecich, których przepisy unijne nie obowiązują. Nowa regulacja przepisów dotyczących przetwarzania danych osobowych, dostosowana do potrzeb rozwijającego się świata, nie mogła pominąć tej jakże istotnej z prawnego punktu widzenia kwestii. Artykuł 33 głosi więc, że niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z: a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Egzekwowanie przestrzegania tych przepisów może się jednak okazać kwestią problematyczną. Zwłaszcza, że mechanizm działania w przypadku podejrzenia naruszenia przetwarzania danych osobowych nie został wprost wyrażony w rozporządzeniu.

 

Europejska Rada Ochrony Danych

Warto również wspomnieć o powstaniu nowego organu unijnego: Europejskiej Rady Ochrony Danych (EROD). Jej głównym zadaniem będzie dbanie o spójne stosowanie przepisów Rozporządzania przez wszystkie organy nadzoru państw UE.EROD będzie także nadzorować kwestie związane z Certyfikacją podmiotów oraz rozstrzygać spory między organami nadzoru z poszczególnych państw członkowskich.

 

Transfer danych do państw trzecich 

Ostatnią kwestią wartą poruszenia jest transfer danych do państw trzecich, a konkretniej warunki dopuszczalności przekazywania takich danych.

Przyjęto zasadę, że eksporter danych osobowych (administrator lub procesor) powinien oprzeć transfer na jednym z trzech tzw.: „mechanizmów transferowych”:
a) decyzji Komisji Europejskiej stwierdzającej odpowiedniość ochrony w państwie trzecim,
b) odpowiednich gwarancjach ochrony danych osobowych,
c) oraz wyjątkach określonych w art. 44 rozporządzenia.

Podsumowując, Rozporządzenie wprowadza szereg szczegółowych zmian w systemie ochrony danych osobowych, w tym wiele dodatkowych obowiązków dla administratorów danych osobowych. Jak wcześniej wskazano, przepisy te wejdą w życie za niecałe dwa lata. Zatem ze względu na szeroki zakres zmian nie należy odkładać przygotowań do ich wdrożenia. Najlepiej już teraz zapoznać się ze szczegółowymi regulacjami w tym zakresie oraz dobrze się do nich przygotować.


Dziękujemy za wsparcie merytoryczne w przygotowaniu artykułu  Kancelarii Prawnej