W dniu 8 kwietnia 2016 roku Rada Unii Europejskiej przyjęła Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) oraz Dyrektywę w sprawie ochrony danych osobowych przetwarzanych na potrzeby ścigania przestępstw. 14 kwietnia 2016 roku Rozporządzenie i Dyrektywa zostały przyjęte przez Parlament Europejski. Urzędowe teksty zostaną wkrótce opublikowane w Dzienniku Urzędowym Unii Europejskiej we wszystkich językach urzędowych. Nowe przepisy zaczną obowiązywać za dwa lata.

Ważną część Rozporządzenia stanowią zasady i prawa chroniące osoby fizyczne i odpowiadające im obowiązki po stronie administratorów danych osobowych.

Rozporządzenie wprowadza rozbudowaną definicję danych osobowych w porównaniu z polską ustawą o ochronie danych osobowych. Wymienia się w jego treści wprost, np. identyfikatory on-line rozumiane jako: adresy internetowe protokołów, identyfikatory plików cookie a nawet znaczniki identyfikacji radiowej RFID. Identyfikatory te w powiązaniu z innymi informacjami uzyskanymi przez serwery zlokalizowane w sieciach teleinformatycznych mogą być wykorzystywane do tworzenia profili osób fizycznych oraz identyfikacji tych osób. Zakres definicji danych osobowych może prowadzić do wielu wątpliwości dotyczących stosowania Rozporządzenia oraz obowiązków administratora danych osobowych, między innymi związanych z przejrzystością przetwarzania danych. Zgodnie z zasadą przejrzystości wszelkie informacje i komunikacja odnoszące się do przetwarzania danych osobowych, powinny być łatwe do zrozumienia (sugeruje się nawet wykorzystanie wizualizacji dla lepszego zrozumienia treści informacji). Osoby fizyczne powinny być świadome zagrożeń, zasad, gwarancji i praw w związku z przetwarzaniem danych osobowych i jak móc w pełni korzystać ze swoich praw w odniesieniu do takiego przetwarzania.

Z zasadą przejrzystości wiąże się również obowiązek łatwiejszego dostępu do własnych danych osobowych celem weryfikacji, czy są przetwarzane w sposób zgodny z prawem. Stanowi o tym zasada informowania oraz prawo dostępu do danych osobowych. Każda osoba powinna mieć prawo do uzyskania informacji na temat przetwarzania swoich danych, w szczególności w odniesieniu do celów, dla których są one przetwarzane, okresie w którym dane osobowe są przetwarzane, odbiorcach danych osobowych, kategoriach danych, prawach podmiotu danych, zasadach stosowanych w automatycznym ich przetwarzaniu, źródle pochodzenia danych, a w przypadku profilowania, również o jego konsekwencjach. Administrator, o ile to możliwe w danej sytuacji, powinien nawet zapewnić podmiotowi danych zdalny dostęp do bezpiecznego systemu, w którym są one przetwarzane. Pewnym ograniczeniem prawa dostępu egzekwowanego wobec administratorów przetwarzających duże zbiory danych osobowych, będzie ograniczenie informacji, których może żądać podmiot danych wyłącznie do ściśle określonych przez ów podmiot danych. Pozwoli to uściślić zapytania w dużych bazach danych administratora i zmniejszy obciążenie baz danych. W przypadku, gdy dane osobowe są niedokładne lub niepełne, podmiot danych może żądać od administratora danych niezwłocznego ich sprostowania albo uzupełnienia, nawet przez żądanie złożenia dodatkowego oświadczenia przez administratora (prawo do żądania poprawiania danych).

Dalej idące uprawnienie przewiduje art. 17 Rozporządzenia wprowadzając wprost prawo do bycia zapomnianym, w kontekście Internetu wprost potwierdzone wcześniej w wyroku Trybunału Sprawiedliwości w sprawie Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González. Prawo do bycia zapomnianym, które polega zasadniczo na żądaniu usunięcia informacji o podmiocie danych (w tym ich kopii, linków itp.), może być wykorzystane w sytuacjach określonych w Rozporządzeniu, min.: utrata celu przetwarzania danych osobowych, cofnięcie zgody, brak podstaw prawnych. Prawo to nie ma jednak charakteru bezwzględnego, podlega bowiem ograniczeniu przez prawo do swobody wypowiedzi oraz uzyskania informacji, a także ze względu na interes publiczny i dochodzenie zaspokojenia roszczeń. Zbliżony charakter do prawa do bycia zapomnianym ma prawo do ograniczenia przetwarzania danych osobowych, przy czym w tym przypadku dane mogą być nadal przetwarzane za zgodą podmiotu danych oraz w innych, wyjątkowych sytuacjach.

Ochrona podmiotu danych będzie realizowana również w znanym w obecnej ustawie o ochronie danych osobowych prawie sprzeciwu wobec przetwarzania danych osobowych. W Rozporządzeniu prawo to mocno związane jest z marketingiem bezpośrednim i profilowaniem internetowym. Informacja na temat prawa sprzeciwu powinna zostać przekazana podmiotowi danych w sposób jasny i odrębnie od innych informacji, co stanowi podkreślenie wagi tego prawa. W razie otrzymania sprzeciwu administrator nie będzie mógł dłużej przetwarzać danych osobowych, chyba że wskaże uzasadnione podstawy nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, albo będzie dochodził swoich roszczeń. Pewną modyfikacją prawa sprzeciwu jest prawo podmiotu danych do wyłączenia tego podmiotu z decyzji administratora danych opartych wyłącznie na zautomatyzowanym ich przetwarzaniu, w tym w ramach profilowania, o ile decyzje te wywołują skutki prawne, które dotyczą podmiotu danych. Wyłączenie nie dotyczy przy tym sytuacji, w których zautomatyzowane przetwarzanie jest niezbędne min. do zawarcia umowy.

Innym ciekawym uprawnieniem jest prawo do żądania przekazania danych pomiędzy administratorami. W myśl art. 20 Rozporządzenia będziemy mieli prawo do żądania przekazania innemu administratorowi naszych danych osobowych otrzymanych od dotychczasowego administratora, o ile przetwarzanie odbywa się w sposób zautomatyzowany, na podstawie zgody albo umowy. Dane powinny zostać przekazane w uporządkowanej formie i w powszechnie stosowanym formacie możliwym do odczytu maszynowego. Co więcej, w przypadku, gdy będzie to technicznie wykonalne dane takie, na nasze żądanie, mogą zostać przekazane bezpośrednio pomiędzy administratorami. Upraszcza to z pewnością proces zmiany podmiotowej umów, np. o świadczenie usług telekomunikacyjnych.

Administrator danych, w zależności od możliwości technicznych, ewentualnych kosztów i kontekstu sytuacji przetwarzania danych osobowych, w szczególności ryzyka naruszenia praw i wolności podmiotu danych, ma obowiązek wdrożyć środki techniczne i organizacyjne, takie jak pseudonimizacja, które pozwolą na wdrożenie zasad ochrony danych, a także wprowadzić w ramach przetwarzania danych osobowych zabezpieczenia niezbędne dla spełnienia wymogów Rozporządzenia. Podkreśla się, że przetwarzane powinny być tylko dane niezbędne dla konkretnego celu przetwarzania w zakresie ich ilości, zakresu, okresu i dostępności (privacy by design, privacy by default).

Artur Piechocki, radca prawny w APLaw.