Mimo że pozornie czasu jest jeszcze dużo, bo nowe unijne rozporządzenie o ochronie danych osobowych (RODO) zastąpi dotychczasową ustawę o ochronie danych osobowych dopiero 25 maja 2018 r., to ze względu na ilość i znaczenie zmian wielu przedsiębiorców już rozpoczęło proces przygotowywania się do nowych regulacji.
Okazuje się jednak, że wprowadzenie nowych instytucji i rozwiązań prawnych oraz nieostrość wielu użytych w dokumencie pojęć powoduje trudności interpretacyjne. Z pomocą przyszła Grupa Robocza Art. 29, czyli gremium składające się z GIODO poszczególnych państw członkowskich. 13 grudnia 2016 r. wydała ona pierwsze wytyczne co do rozumienia niektórych postanowień dotyczących ochrony danych, prawa do ich przenoszenia czy wiodącego organu nadzoru.
Warto już przyzwyczajać się do nowej nomenklatury albowiem dotychczasowego administratora bezpieczeństwa informacji zastąpi inspektor ochrony danych (IOD). Zgodnie z RODO administrator lub podmiot przetwarzający (procesor, który przetwarza dane osobowe w imieniu administratora) mają obowiązek wyznaczyć go zawsze wtedy, gdy:
¦ przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
¦ główna działalność administratora lub podmiotu przetwarzającego polega na operacjach wymagających – ze względu na swój charakter, zakres lub cele – regularnego i systematycznego monitorowania osób, których dane dotyczą,
¦ główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych dotyczących wyroków skazujących i naruszeń prawa.
Zgodnie z wyjaśnieniami grupy pojęcie „główna działalność” nie może być interpretowane wyłącznie wąsko, a jako przykład podano szpital, który przecież przede wszystkim zajmuje się udzielaniem opieki medycznej. Trudno jednak wyobrazić sobie funkcjonowanie takiej placówki bez baz danych pacjentów i chociażby historii ich chorób. Według GR 29 w takim przypadku spełniony jest warunek „głównej działalności”.
W opinii GR 29, aby mówić o „dużej skali”, trzeba rozważyć każdorazowo takie kwestie, jak liczba przetwarzanych rekordów, czas dokonywania takiej operacji czy geograficzny zasięg. Jako przykłady „dużej skali” wskazano m.in. przetwarzanie danych osobowych przez banki i ubezpieczycieli, a także dostawców i operatorów usług internetowych i telefonicznych.
GR 29 wskazała również na istotną kwestię: gdy to podmiot przetwarzający będzie na podstawie RODO zobligowany do powołania inspektora, nie przekłada się to na taki obowiązek automatycznie po stronie samego administratora danych osobowych.
Omawiane kwestie dla administratorów i procesorów nie są błahe. Błąd może zakończyć się nałożeniem kary pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Prawo do przenoszenia danych to nowe uprawnienie, jakie każdy z nas jako podmiot danych zyska na podstawie RODO. Założenie i sens przepisu jest taki, abyśmy mogli otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe dotyczące swojej osoby – ale te, które dostarczyliśmy administratorowi. W efekcie nowe prawo ma umożliwić łatwą zmianę np. usługodawcy portalu internetowego. Poza kwestiami technicznymi najwięcej pytań przedsiębiorców dotyczyło tego, czy za przygotowanie danych osobowych i przesłanie ich do osoby, która o nie zawnioskowała, będzie można pobierać opłaty. Grupa Robocza Art. 29 przypomniała o zasadzie obowiązującej w RODO, mianowicie że komunikacja i działania podejmowane m.in. w zakresie prawa do przenoszenia danych są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może pobrać rozsądną opłatę. W opinii grupy pojawia się jednak takie stwierdzenie, że w przypadku prawa do przenoszenia danych bardzo trudno jest wyobrazić sobie sprawę, w której taka opłata mogłaby być faktycznie uzasadniona.
Wiodący organ nadzoru pojawia się w RODO przy zagadnieniu transgranicznego przetwarzania. Transgraniczne przetwarzania oznacza:
¦ przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego; albo
¦ przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.
Przedsiębiorca spełniający wyżej wymienione kryteria zmierzy się z problematyką wyznaczenia wiodącego organu nadzoru, co w praktyce może być trudne. Grupa Robocza Art. 29 przestrzegła w swoich wytycznych przed swobodnym wyznaczeniem takiego podmiotu. Podejmując ten krok, trzeba brać pod uwagę takie kwestie jak: w którym kraju podejmowane są ostateczne decyzje dotyczące celów i środków przetwarzania danych osobowych, w którym kraju zlokalizowane są osoby ponoszące odpowiedzialność za podejmowane na danych osobowych działania czy miejsce (kraj) zarejestrowania danego podmiotu.
Na koniec warto przypomnieć, że co prawda wytyczne Grupy Roboczej Art. 29 nie tworzą prawa, lecz mimo wszystko stanowią wartościowe źródło ułatwiające stosowanie i rozumienie zasad ochrony danych osobowych w Europie.