Rewolucyjne zmiany w przepisach o ochronie i przetwarzaniu danych osobowych

September 27, 2017, 12:00 am

25 maja 2018r. wejdzie w życie Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Nowa regulacja dotycząca ochrony i przetwarzania danych osobowych będzie bezpośrednio stosowana we wszystkich krajach członkowskich, w tym Polsce, bez konieczności jej ratyfikowania. Obowiązująca obecnie dyrektywa 95/46/WE tworzona była w połowie lat 90, naturalnie więc w wielu miejscach nie nadąża za postępem technologicznym dotyczącym sposobów przetwarzania i magazynowania danych osobowych. Dodatkowo poszczególne kraje Unii Europejskiej wdrażały dotychczas obowiązującą dyrektywę samodzielnie, co skutkowało późniejszymi różnicami co do sposobu regulacji poszczególnych kwestii, czasem nawet w obrębie tego samego państwa (przykład Niemieckich landów). Żeby uniknąć tego problemu nowe Rozporządzenie będzie musiało być implementowane w całości i bez możliwości dokonywania zmian, dzięki czemu kwestia ochrony danych osobowych będzie jednakowo usankcjonowana w całej Unii, co niewątpliwie ułatwi organizację systemu administrowania danymi osobowymi przedsiębiorcom prowadzącym działalność na terenie kilku państw członkowskich.


Nowe Rozporządzenie Parlamentu Europejskiego i Rady UE, 2017

Najważniejsze zmiany jakie wprowadza nowe rozporządzenie można podzielić na kilka bloków:

1. Rozporządzenie wprowadza nowe definicje, między innymi:
„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
„dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
„pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

2. Nowe uprawnienia przysługujące podmiotowi, którego dane są przetwarzane:
Prawo do ograniczenia przetwarzania (art. 18)
Osoba, której dane są przetwarzane, ma prawo żądać od administratora ograniczenia przetwarzania w następujących czterech przypadkach:

- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi,

- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowy,

- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą,

- osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Prawo do bycia zapomnianym (art. 17)
Nowością wprowadzoną przez Rozporządzenie w kwestii praw przysługujących podmiotom danych jest tzw. „prawo do bycia zapomnianym”; dotyczy to przede wszystkim problemu żądania usunięcia danych przez monopolistów jak np. wyszukiwarkę Google. Osoba, której dane są przetwarzane ma prawo żądać niezwłocznego ich usunięcia przez administratora. Dotychczas zdarzało się, że Google odmawiało usunięcia danych osobowych nawet w przypadku, gdy powinny być one usunięte na mocy prawa danego kraju. Nowe rozporządzenie ma sprawić, iż dane takie będą musiały być bezwzględnie i bezzwłocznie usuwane na żądanie osoby zainteresowanej.

Prawo do przenoszenia danych (art. 20)
Kolejnym uprawnieniem przysługującym podmiotowi, którego dane osobowe są przetwarzane, jest prawo do przenoszenia danych. Osoba taka ma prawo przesłać dane osobowe dostarczone administratorowi danych, innemu administratorowi, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy oraz w sposób zautomatyzowany.

3. Obowiązki nałożone na administratora i podmiot przetwarzający dane osobowe.
Obowiązek rejestrowania czynności przetwarzania danych osobowych
Każdy administrator ma obowiązek rejestru czynności przetwarzania danych osobowych. W rejestrze powinny być zamieszczone następujące informacje: imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, fakt przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, terminy usunięcia poszczególnych kategorii danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Obowiązek zgłaszania naruszeń ochrony danych osobowych
Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki powinien zgłosić je administratorowi, przy czym owe zgłoszenie musi zawierać co najmniej: charakter naruszenia, imię nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych, konsekwencje naruszenia oraz już zastosowane bądź też proponowane przez administratora środki w celu zaradzenia naruszeniu ochrony danych osobowych.

Przetwarzanie danych osobowych przez Grupy Przedsiębiorstw Powiązanych (inaczej grupy kapitałowe); wdrożenie mechanizmów „One-stop-shop”.
Rozporządzenie wprowadza ułatwienie w transferze danych wewnątrz jednej organizacji; grupa powiązanych przedsiębiorstw lub grupa przedsiębiorców prowadzących wspólną działalność gospodarczą może korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą, pod warunkiem, że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych. Dodatkowo możliwe będzie ustanowienie jednego Inspektorem Ochrony Danych Osobowych, który odpowiadać będzie za te kwestie w całej grupie powiązanych podmiotów.

Wprowadzony zostanie także mechanizm „One-stop-shop”. Będą mogły skorzystać z niego grupy przedsiębiorstw lub pojedyncze spółki oferujące usługi na terenie kilku państw UE. Zasada ta polega na tym, że główna jednostka organizacyjna (np. Centrala Grupy Kapitałowej) będzie mogła wybrać organ ochrony danych osobowych właściwy dla całej Grupy (np. polskiego GIODO). Mechanizm „one stop shop” zakłada, iż organ właściwy ze względu na siedzibę główną administratora, jako organ nadzorczy, powinien mieć pełne i wyłączne kompetencje korygujące w przypadku przetwarzania danych, które ma miejsce w więcej niż jednym państwie członkowskim.
W nowym Rozporządzeniu zawarte są również ułatwienia dla podmiotów zatrudniających poniżej 250 osób; artykuł 30 stanowi iż podmioty te są zwolnione z obowiązku prowadzenia szczegółowej ewidencji przetwarzania danych osobowych.

4. Wprowadzenie funkcji Inspektora Ochrony Danych w miejsce dotychczasowego Administratora Bezpieczeństwa Informacji.

Powołanie Inspektora Ochrony Danych będzie obowiązkowe w trzech przypadkach:

- dla podmiotów administracji publicznej,

- gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,

- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę tzw. danych wrażliwych.

Funkcja Administrator Bezpieczeństwa Informacji może być pełniona przez jedną osobę w grupie przedsiębiorstw. Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego, jak również wykonywać zadania na podstawie umowy o świadczenie usług.

Nowa rola Generalnego Inspektora Ochrony Danych Osobowych

Kolejną nowość stanowi obowiązek zgłaszania, bez zbędnej zwłoki (w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia), przez administratora danych osobowych naruszenia ochrony danych osobowych organowi nadzorczemu (w przypadku Polski jest to Generalny Inspektor Ochrony Danych Osobowych). W przypadku, gdyby organ właściwy danego kraju nie wywiązywał się w sposób właściwy ze ścigania podmiotów naruszających przepisy o ochronie danych osobowych, rozporządzenie daje możliwość organom nadzorczym Unii Europejskiej nakładania kar finansowych za nieprzestrzeganie przepisów. Co więcej, kary będą mogły być stosowane z urzędu bez uprzedniego wezwania do usunięcia uchybień. W zależności od tego, która część Rozporządzenia i które zasady zostaną naruszone, mogą być to kary administracyjne w wysokości do: 10 000 000 EUR (dla przedsiębiorcy) lub do 2 % światowego rocznego obrotu. W przypadku naruszeń podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, kara może wynieść nawet 20 000 000 EUR lub do 4% światowego rocznego obrotu. Warto również wspomnieć o powstaniu nowego organu unijnego: Europejskiej Rady Ochrony Danych (EROD), której zadaniem będzie dbanie o spójne stosowanie przepisów Rozporządzania przez wszystkie organy nadzoru państw UE.EROD będzie także nadzorować kwestie związane z Certyfikacją podmiotów oraz rozstrzygać spory między organami nadzoru z poszczególnych państwach członkowskich.


Nowe przepisy dotkną również firmy przetwarzające dane swoich pracowników i kandydatów

Rozszerzenie terytorialnego zakresu stosowania europejskich przepisów ochrony danych osobowych

Postęp technologiczny przyczynił się do masowego przetwarzania danych europejczyków w państwach trzecich, których przepisy unijne nie obowiązują. Nowa regulacja przepisów dotyczących przetwarzania danych osobowych nie mogła pominąć tejże kwestii. Artykuł 33 stanowi, że niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

- oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty lub;

- monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Transfer danych do państw trzecich

Kolejną kwestią regulowaną przez nowe Rozporządzenie jest transfer danych osobowych do państw trzecich.
Przyjęto zasadę, że eksporter danych osobowych (administrator lub procesor) powinien oprzeć transfer na jednym z trzech tzw.: „mechanizmów transferowych”:- decyzji Komisji Europejskiej stwierdzającej

- odpowiedniość ochrony w państwie trzecim,

- odpowiednich gwarancjach ochrony danych osobowych,

- oraz wyjątkach określonych w art. 49 rozporządzenia:

a) osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;

b) przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;

c) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;

d) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;

e) przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

f) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

lub

g) przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Autor: Sebastian Prokop