Blog prawniczy

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) – zwane w skrócie RODO (Ogólne Rozporządzenie o Ochronie Danych) lub GDPR (General Data Protection Regulation) – zacznie obowiązywać od 25 maja 2018 roku. RODO będzie stosowane bezpośrednio we wszystkich krajach UE bez konieczności implementacji, a jego celem jest ujednolicenie zasad ochrony danych osób fizycznych we wszystkich krajach członkowskich UE, które dotychczas w różnoraki sposób wdrażały dyrektywę 95/46/WE.

W chwili redagowania niniejszego artykułu do dnia rozpoczęcia obowiązywania przepisów RODO pozostało 262 dni. Wydawać by się mogło, że to jeszcze sporo czasu, jednak zakres wprowadzanych zmian może zaskoczyć i warto zapoznać się z najważniejszymi z nich już dzisiaj. Może się bowiem okazać, że pozostałe niespełna 9 miesięcy do czasu wejścia w życie przepisów RODO to wcale nie tak dużo… Kary zaś za ich nieprzestrzeganie będą niebagatelne.

Zakres podmiotowy / terytorialny

RODO znajduje zastosowanie co do zasady do przetwarzających dane osób fizycznych przedsiębiorców mających siedzibę na ternie UE, jak również do przedsiębiorców spoza UE, którzy oferują produkty lub usługi na terenie UE. Istotne jest nie tyle samo miejsce przetwarzania danych, co miejsce, w którym występuje skutek tego przetwarzania.

Zakres materialny

RODO znajduje zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących lub mających stanowić część zbioru danych.

Administrator a procesor danych osobowych

Administrator danych osobowych (ADO) to podmiot, który samodzielnie lub wspólnie z innym ustala cele i sposoby przetwarzania danych osobowych.

Procesor zaś to podmiot przetwarzający, który przetwarza dane osobowe w imieniu administratora na podstawie stosownej umowy lub innego instrumentu prawnego. Wymogi dotyczące umów o powierzenie przetwarzania danych osobowych będą bardziej restrykcyjne niż dotychczasowe. Procesorzy będą ponosić bezpośrednio odpowiedzialność za naruszenie przepisów RODO.

Zgoda na przetwarzanie danych

Jeżeli administrator przetwarza dane osobowe na podstawie zgody osoby, której dane dotyczą, musi być w stanie wykazać, że osoba ta wyraziła zgodę na przetwarzanie swoich danych osobowych.

Jeżeli zgoda wyrażana jest na piśmie, w którym ujęto także inne kwestie, kwestia zgody musi zostać wyraźnie odróżniona od pozostałych kwestii. Musi zostać sformułowana jasnym i prostym językiem.

Nowe i rozszerzone prawa / rozszerzony obowiązek informacyjny

RODO wprowadza uprawnienie do żądania przeniesienia danych, „prawo do bycia zapomnianym”, rozszerza prawo dostępu i wglądu w dane osobowe oraz wdraża prawo sprzeciwu wobec przetwarzania danych (co istotne: także w odniesieniu do marketingu bezpośredniego).

Administrator pozyskując dane osobowe od osoby, której one dotyczą, zobowiązany jest podać jej m.in. następujące informacje: dane identyfikujące ADO, w tym dane kontaktowe, dane kontaktowe do inspektora ochrony danych (gdy ma to zastosowanie), cel przetwarzania danych i podstawę prawną przetwarzania, okres przez który dane będą przechowywane, informacje o prawie dostępu do danych, ich sprostowania, usunięcia, prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, ewentualnej okoliczności profilowania etc.

„Prawo do bycia zapomnianym”

Osoba, której dane dotyczą, ma prawo żądania od ADO niezwłocznego usunięcia jej danych osobowych, a ADO ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli m.in. osoba, której dane dotyczą, cofnęła zgodę na przetwarzanie danych (i brak jest innej podstawy do przetwarzania) czy też dane osobowe nie są już niezbędne do celów, w których zostały zebrane.

Prawo do bycia zapomnianym jest w dzisiejszych realiach bardzo aktualną kwestią, znajdującą szczególne uzasadnienie w odniesieniu do wyszukiwarek internetowych. Problemem tym zajmował się m.in. Trybunał Sprawiedliwości Unii Europejskiej, który w orzeczeniu z dnia 13 maja 2014 roku (C-131/12) przyznał każdej osobie prawo żądania usunięcia jej imienia i nazwiska z wyszukiwarki internetowej.

Ograniczone możliwości profilowania

Został wprowadzony obowiązek uzyskania zgody na profilowanie, obowiązek informowania o profilowaniu oraz obowiązek uwzględniania braku zgody na profilowanie.

Osoby poniżej 16 roku życia a usługi on-line

W przypadku usług społeczeństwa informacyjnego przetwarzanie danych osoby poniżej 16. roku życia jest dopuszczalne za zgodą osoby sprawującej władzę rodzicielską / opiekę nad dzieckiem. W przepisach krajowych wiek ten może zostać obniżony do 13. roku życia.

Rejestr czynności przetwarzania / ocena skutków dla ochrony danych / brak obowiązku rejestrowania zbiorów w GIODO

ADO oraz procesorzy zobowiązani będą do prowadzenia rejestru przetwarzania danych osobowych. Zakres rejestru nie został określony przepisami RODO, niemniej jednak można uznać, że elementy rejestru winny odpowiadać elementom zgłoszenia zbioru danych osobowych do GIODO (w szczególności: zakres i cel przetwarzanych danych, kategorie osób, których dane dotyczą etc.).

ADO – w przypadku, gdy przetwarzanie danych może powodować wysokie ryzyko naruszenia prywatności osób, których dane dotyczą – powinien przeprowadzić ocenę skutków dla ochrony danych. Zadaniem tejże oceny jest opisanie przetwarzania danych, oceny niezbędności i proporcjonalności przetwarzania, a także właściwe zarządzanie ryzykami związanymi z przetwarzaniem danych.

Został natomiast zniesiony obowiązek rejestrowania zbiorów danych osobowych w GIODO.

Zgłaszanie naruszenia danych osobowych

W przypadku naruszenia ochrony danych osobowych, ADO bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 h po stwierdzeniu naruszenia – będzie je zgłaszać organowi nadzorczemu. Takie naruszenie winno co do zasady również zostać zgłoszone osobie, której dane dotyczą, w przypadku wystąpienia dużego ryzyka naruszenia jej praw.

Dane wrażliwe

Katalog danych sensytywnych został rozszerzony w szczególności o dane genetyczne i biometryczne.

„Privacy by design”

RODO czyni zasadę „privacy by design” obowiązkiem. W skrócie rzecz ujmując zasada ta dotyczy przygotowania stosownych zabezpieczeń i procedur związanych z ochroną danych osobowych, zanim dane te zaczną być zbierane / przetwarzane.

IOD zamiast ABI

Administratora bezpieczeństwa informacji zastąpi Inspektor ochrony danych. RODO określa, którzy ADO mają obowiązek powołania IOD obligatoryjnie, a którzy mogą to zrobić fakultatywnie.

Zabezpieczenie, dokumentacja i procedury przetwarzania danych

RODO nie wskazuje, jakie środki organizacyjne i techniczne winny zostać zastosowane w celu zabezpieczenia danych. „Zachęca” jednak do pseudonimizacji i szyfrowania danych. Każdy ADO będzie musiał zatem – uwzględniając zakres i cel przetwarzanych danych – samodzielnie zdecydować o charakterze stosowanych zabezpieczeń, procedur i dokumentacji, jakie winny zostać wdrożone.

Źródłem wiedzy w tym zakresie mogą okazać się przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (które przestanie obowiązywać wraz z dotychczasową ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), normy ISO, wytyczne GIODO etc. Ponadto zgodnie z RODO, ADO będą mieli możliwość certyfikacji, tj. uzyskania certyfikatów poświadczających właściwe zabezpieczenie danych osobowych.

Kary

Za nieprzestrzeganie RODO na przedsiębiorcę może zostać nałożona kara w wysokości do 4% wartości rocznego, globalnego obrotu z poprzedniego roku obrotowego albo kara pieniężna w wysokości do 20.000.000,00 EUR – za najpoważniejsze naruszenia lub do 2% wartości rocznego, globalnego obrotu z poprzedniego roku obrotowego albo karą pieniężną w wysokości do 10.000.000,00 EUR – za „drobniejsze” naruszenia.

RODO nie reguluje kompleksowo wszelkich kwestii. Tytułem przykładu nie jest jasne na obecną chwilę, co stanie się z obecnymi ABI po dniu 24 maja 2018 roku. Czy ich funkcja wygaśnie, czy staną się z mocy prawa IOD, a jeżeli tak, to jakie warunki winny zostać spełnione? Ministerstwo Cyfryzacji przygotowuje projekt ustawy o ochronie danych osobowych, która w założeniu ma uzupełnić i wyjaśnić pewne kwestie związane z obowiązywaniem RODO od dnia 25 maja 2018 roku.

Mając na względzie zakres zmian wprowadzanych przez RODO oraz relatywnie krótki okres czasu, za jaki zaczną obowiązywać przepisy Rozporządzenia, rekomendowane jest niezwłoczne podjęcie czynności zmierzających do dostosowania się do zmieniającego się środowiska prawnego. Najlepiej rozpocząć od przeprowadzenia audytu, na podstawie którego będzie można stwierdzić, w jakim zakresie procedury techniczne i organizacyjne związane z przetwarzaniem oraz zabezpieczeniem danych osobowych korespondują z przepisami RODO.