Dotychczas ochrona danych osobowych regulowana była przez każdy kraj z osobna. Powstawały przez to spore rozbieżności w zakresie przetwarzania informacjami o osobach w poszczególnych krajach. Wychodząc naprzeciw, od 25 maja 2018 r. będziemy mieli jednolite regulacje na terenie całej Unii Europejskiej. Czy to dobrze, czy źle czas pokaże. Póki co wszystkie firmy, które przetwarzają dane muszą się przygotować do zmian prawnych.
Udostępnij!
Ochrona danych osobowych dotychczas…
Obecnie w polskim systemie prawnym w zakresie ochrony danych osobowych obowiązuje regulacja ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jednakże jeszcze w ubiegłym roku na poziomie prawa unijnego zostało uchwalone Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Omawiane Rozporządzenie wychodzi naprzeciw zmianom, jakie dokonały się w ciągu ostatnich 20 lat w zakresie technologii oraz digitalizacji, co w konsekwencji ma niewątpliwie wpływ na problematykę ochrony danych osobowych przetwarzanych w sieci Internet w wyniku korzystania z elektronicznych środków komunikacji.
Czas na zmiany i precyzyjne regulacje
Spośród wielu zmian podejmowanych w Rozporządzeniu zwrócić należy uwagę na kwestie takie jak definicje danych osobowych, przetwarzania danych osobowych, profilowania czy pseudonimizacji. Dalej, ważną kwestią jest również wprowadzenie obowiązku reakcji administratora danych osobowych w przypadku stwierdzenie naruszenia bezpieczeństwa danych osobowych w określonym terminie. Wreszcie – przedmiotowe Rozporządzenie reguluje kwestię dotyczącą tzw. prawa do bycia zapomnianym.
Warto w tym miejscu przytoczyć kilka wskazanych powyżej definicji objętych omawianą legislacją.
Zgodnie z Rozporządzeniem dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przetwarzaniem danych osobowych z kolei Rozporządzenie określa jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Szczególną uwagę należy zwrócić na definicję profilowania – stosownie do Rozporządzenia profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania.
Czym jest ta pseudonimizacja?
Na potrzeby niniejszego artykułu należy przywołać definicję pseudonimizacji, którą jest przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Warto jeszcze przytoczyć definicję zgody na przetwarzanie danych osobowych, która zgodnie z Rozporządzeniem oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych
Jak zatem można zauważyć, definicje danych osobowych oraz przetwarzania danych osobowych różnią się od tych zawartych w obecnie obowiązującej ustawie o ochronie danych osobowych, w szczególności są szersze i – jak mogłoby się wydawać – bardziej precyzyjne. Definicje te pozostają w korelacji z motywami Rozporządzenia, w których kładzie się nacisk na precyzyjność i przejrzystość regulacji z zakresu ochrony danych osobowych. Podkreślenia wymaga w tym miejscu, że założeniem Rozporządzenia jest odejście od nadmiernych formalności związanych z obowiązkiem rejestracji względem organów nadzorczych ochrony danych osobowych na rzecz realnej ochrony danych osobowych.
Każdy może chcieć być „zapomnianym”
Rozporządzenie wprowadza również obowiązek działania administratora danych osobowych w przypadku naruszenia ochrony danych osobowych. Rozporządzenie w tym zakresie statuuje obowiązek działania przez administratora bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia poprzez zgłoszenie naruszenia organowi nadzorczemu chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku zgłoszenia przekazanego po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Ostatnia kwestia, którą autor artykułu uważa za istotną do przytoczenia jest problematyka tzw. prawa do bycia zapomnianym. Zgodnie z art. 17 Rozporządzenia osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe m. in. gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Instytucja ta stanowi istotny krok w kierunku ochrony danych osobowych dając osobie fizycznej jako jej dysponentowi prawo do decydowania o zaprzestaniu przetwarzania danych osobowych.
Omawiane Rozporządzenie wchodzi w życie z dniem 25 maja 2018 r. Osobny zapis dotyczący kar administracyjnych statuuje możliwość nałożenia w przypadku nieprzestrzegania Rozporządzenia kary w wysokości do 20 000 000€ a w odniesieniu do przedsiębiorców – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Warto zatem już teraz śledzić przebieg prac mających na celu implementację przepisów unijnych do polskiego systemu prawnego, w szczególności zaś informacji zamieszczanych na stronie giodo.gov.pl.
