Jednolite przepisy w całej Unii Europejskiej z jednej strony ułatwią działania przedsiębiorstwom. Jednak z drugiej strony nałożą na nie nowe kosztowne obowiązki.
Już od 2018 r. we wszystkich państwach Unii Europejskiej obowiązywać będą jednakowe przepisy dotyczące ochrony danych osobowych. Dzięki temu ograniczony zostanie jeden z najpoważniejszych kłopotów dla przedsiębiorców: odmienność przepisów w poszczególnych krajach. Dotychczas wchodząc na kolejny rynek, za każdym razem musieli zapoznawać się od podstaw z przepisami danego kraju. Nowe przepisy mają również dostosować ochronę danych osobowych do zmieniającej się rzeczywistości, tak by podążała za rozwojem techniki i nowych form komunikacji.
Prace nad reformą prawa ochrony danych osobowych w UE znajdują się na finiszu. Zgodnie z prognozami mają szansę zakończyć się w pierwszej połowie tego roku. Rozporządzenie nie będzie wymagało implementacji, jednak konieczna będzie zmiana wielu polskich ustaw i rozporządzeń. Państwa członkowskie zachowają bowiem możliwość odmiennego uregulowania określonych w rozporządzeniu kwestii.
Chociaż przedsiębiorcy będą mieli dwa lata na przygotowanie się do zmian, to już teraz powinni zapoznać się z nowymi regulacjami. Zwłaszcza że kary za niedostosowanie się do nowych przepisów przewidziano dotkliwe – sięgać mogą nawet 20 mln euro lub 4 proc. obrotu przedsiębiorstwa.
Przedstawiamy wybrane zmiany, najważniejsze z punktu widzenia przedsiębiorców, wynikające z rozporządzenia w wersji publikowanej 28 stycznia 2016 r.
Zgoda jako podstawa
Rozporządzenie wprowadzi nową definicję zgody na przetwarzanie danych osobowych, ale również określi wymogi dotyczące sposobu jej wyrażenia.
Co do zasady po zmianach zgoda będzie mogła być wyrażona w dowolnej formie, w tym także poprzez „wyraźne działanie”. Rozporządzenie wskazuje, że zgodą będzie m.in. zaznaczenie odpowiedniego pola wyboru (okienka) podczas przeglądania strony internetowej. Dużą wagę przywiązano do dobrowolności wyrażenia zgody. Wyraźnie wskazano, że milczenie lub bezczynność nie powinny stanowić zgody.
Na gruncie motywu 34 preambuły oraz art. 7 ust. 4 rozporządzenia najprawdopodobniej zachowa ważność obecna linia orzecznicza traktująca zgodę pracowniczą jako wymuszoną, a w konsekwencji – wadliwą podstawę przetwarzania danych.
Dzieci – już nie tak łatwo
Co ciekawe, rozporządzenie przewiduje szczególne wymogi w zakresie wyrażania zgody na przetwarzanie danych dzieci. W przypadku usług z zakresu społeczeństwa informacyjnego oferowanych bezpośrednio dzieciom – przetwarzanie danych osobowych osób w wieku poniżej 16 lat (lub – jeśli tak przewiduje prawo państwa członkowskiego UE – w ramach niższej granicy wiekowej, ale nie niższej niż 13 lat) będzie zgodne z rozporządzeniem tylko pod warunkiem udzielenia lub zaaprobowania takiej zgody przez osobę sprawującą władzę rodzicielską lub opiekę nad nieletnim.
Ustawodawca nie wyjaśnia przy tym, co rozumie przez określenie „usługi oferowane bezpośrednio dziecku”. Prawdopodobnie kwestia ta zostanie bardziej precyzyjnie dookreślona przez Europejską Radę Ochrony Danych. Co ciekawe, w odniesieniu do wieku dziecka ustawodawca unijny odsyła jedynie do regulacji państw członkowskich UE, a nie np. państwa pochodzenia dziecka, którego dane są przetwarzane.
W konsekwencji tej zmiany administratorzy danych będą zobowiązani podjąć „racjonalne starania”, by zweryfikować, czy rodzic lub opiekun rzeczywiście udzielił wymaganej zgody, co bez wątpienia stanowić będzie jeden z bardziej wymagających i w praktyce trudnych do spełnienia obowiązków wynikających z rozporządzenia. Zmiana ta w praktyce może mieć wpływ na funkcjonowanie m.in. portali społecznościowych.
Inspektor ochrony danych
O ile prawo krajowe nie będzie stanowiło inaczej, rozporządzenie wprowadzi wymóg obligatoryjnego wyznaczenia osoby, która pełnić będzie funkcję tzw. inspektora ochrony danych w niektórych przedsiębiorstwach czy instytucjach publicznych.
Będzie to wymagane jedynie w trzech przypadkach, tj. gdy:
1) administratorem danych (lub procesorem) jest organ lub podmiot publiczny (z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości),
2) główna działalność administratora danych lub procesora polega na przetwarzaniu danych, które ze swojej istoty lub natury albo w związku z zakresem lub celem przetwarzania wymagają regularnego i systematycznego monitorowania osób fizycznych na dużą skalę,
3) główna działalność administratora danych lub procesora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (dotychczas określonych jako dane sensytywne) oraz danych o wyrokach skazujących za przestępstwa.
Jak się wydaje, w praktyce obowiązek ten nakładany będzie sporadycznie. Wynika to choćby z rozumienia czynności „monitorowania” osób fizycznych, która zgodnie z wolą unijnego ustawodawcy ma miejsce m.in. w przypadku monitorowania na dużą skalę miejsc publicznie dostępnych lub monitorowania osób fizycznych poprzez ich obserwację w internecie w celu prognozowania ich preferencji i zachowań (profilowanie). Z treści rozporządzenia wynika, że tego typu monitorowanie musiałoby stanowić główną działalność administratora lub procesora. Co ciekawe, możliwe jest wyznaczenie przez grupę przedsiębiorców jednego inspektora danych, co może się wiązać z obniżeniem kosztów prowadzonej działalności.
Obowiązki
Rozporządzenie podaje jedynie minimalny zakres obowiązków inspektora ochrony danych. Będzie on miał za zadanie m.in.:
● informować oraz doradzać administratorowi danych (lub procesorowi) oraz pracownikom przetwarzającym dane w sprawie obowiązków wynikających z rozporządzenia oraz innych polskich lub unijnych przepisów dotyczących ochrony danych osobowych;
● monitorować zgodność przetwarzania danych przez administratora (lub procesora) z rozporządzeniem oraz innymi polskimi lub unijnymi przepisami dotyczącymi ochrony danych osobowych, jak też z wewnętrznymi politykami administratora lub procesora danych, w tym przypisanie zadań i odpowiedzialności osobom przetwarzającym dane, a także m.in. przeprowadzanie wewnętrznych audytów zgodności przetwarzania danych z prawem;
● brać obligatoryjnie udział w procesie oceny, jak przetwarzanie danych osobowych wpływa na prywatność (ang. privacy impact assessment - także w sytuacji, gdy inspektor wyznaczony zostanie dobrowolnie, czyli mimo braku obowiązkowego wyznaczenia ze względu na charakter działalności prowadzonej przez administratora lub procesora.
Za właściwe i terminowe zaangażowanie inspektora danych we wszystkie kwestie dotyczące danych osobowych odpowiedzialny będzie administrator lub podmiot przetwarzający dane.
Zakres obowiązków inspektora danych osobowych będzie można oczywiście poszerzać, o ile nie spowoduje to utrudnienia lub uniemożliwienia wykonywania czynności wskazanych w rozporządzeniu.
Zmiany w prawie do bycia zapomnianym
Jednym z impulsów dla podjęcia intensywnych prac nad „prawem do bycia zapomnianym” stało się orzeczenie Trybunału Sprawiedliwości Unii Europejskiej z 13 maja 2014 r. w sprawie C-131/12. Warto przypomnieć, że dotyczyło ono decyzji hiszpańskiej agencji ochrony danych nakazującej Google Inc. oraz Google Spain SL usunięcie danych M. Costejy Gonzáleza oraz uniemożliwienie dostępu do nich w przyszłości. Wyrok okazał się przełomowy z punktu widzenia ochrony prawa do prywatności. Trybunał przyznał bowiem, że operator wyszukiwarki internetowej jest administratorem danych osobowych przetwarzanych przez tę wyszukiwarkę, a w konsekwencji podmiot danych ma prawo żądać bezpośrednio od operatora usunięcia m.in. imienia i nazwiska w celu uniemożliwienia internautom wyszukania stron internetowych zawierających informacje na jego temat.
Artykuł 17 projektu rozporządzenia pod hasłem „prawa do bycia zapomnianym” prezentuje nową odsłonę prawa do usunięcia danych. Po zmianach na żądanie podmiotu danych administrator będzie zobowiązany, nieodwracalnie oraz bez zbędnej zwłoki, usunąć dane osobowe podmiotu w przypadku zaistnienia jednej z podstaw wskazanych w rozporządzeniu. Co więcej, w przypadku gdy administrator danych upublicznił dane, będzie on zmuszony podjąć „racjonalne działania”, by poinformować innych administratorów przetwarzających te dane o konieczności usunięcia wszelkich łącz do danych oraz ich kopii.
W naszej ocenie prawo do bycia zapomnianym (lub prawo do usunięcia danych) nie ogranicza się jedynie do środowiska internetowego i operatorów wyszukiwarek. Choć pozornie może się tak wydawać - wykładnia przepisów rozporządzenia sugeruje, że znajdzie ono zastosowanie również wobec np. danych przetwarzanych w systemach IT podmiotów niebędących operatorami wyszukiwarek internetowych, np. banków czy zakładów ubezpieczeń.
Warto także nadmienić, że nowe regulacje przyznają prawo do bycia zapomnianym także dla osób pełnoletnich zamierzających usunąć dane, na których przetwarzanie wyraziły zgodę jeszcze jako dzieci (motyw 53 preambuły rozporządzenia).
Można oczekiwać, że zainteresowanie żądaniem usunięcia danych po wejściu rozporządzenia będzie nieustannie wzrastać. A to oznacza nowe obowiązki dla szerokiego kręgu przedsiębiorców.
Zgłaszanie naruszeń
Rozporządzenie nakłada na administratorów danych obowiązek zgłaszania naruszeń ochrony danych osobowych – chyba że zachodzi jedna z przesłanek zwalniających z tego obowiązku.
Co ważne, nowym wymogom podlegają podmioty niezależnie od sektora, jak też niezależnie od tego, ilu osób dotyczyć będzie naruszenie. Sama definicja naruszenia ochrony danych również zostanie poszerzona i obejmuje nie tylko nieuprawnione ujawnienie lub nieuprawniony dostęp do takich danych, lecz także przypadkowe lub niezgodne z prawem zniszczenie, utracenie lub zmodyfikowanie danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Administrator danych jest zobowiązany do zgłoszenia organowi nadzorczemu naruszenia bez zbędnej zwłoki (jeżeli to wykonalne, to nie później niż 72 godziny po stwierdzeniu naruszenia). Zgłoszenie naruszenia w terminie późniejszym niż 72 godziny wiąże się z koniecznością złożenia do organu nadzoru umotywowanego wyjaśnienia. Administratorzy danych w określonych w rozporządzeniu sytuacjach będą zobowiązani do zawiadomienia osób, których ochrona danych została naruszona (również bez zbędnej zwłoki, a więc, jak się wydaje, nie później niż w ciągu 72 godzin od naruszenia). Co ciekawe, Europejska Rada Ochrony Danych wypełniając swoje obowiązki, opracuje wytyczne i zalecenia, wskazując, czym jest naruszenie ochrony danych oraz jak rozumieć pojęcie zbędnej zwłoki, a także wskazuje na okoliczności, w których administrator lub podmiot przetwarzający mają obowiązek zgłosić naruszenie danych (zwracamy uwagę, że zgodnie z art. 31 ust. 2 rozporządzenia tzw. procesor ma obowiązek notyfikowania takich naruszeń, ale tylko administratorowi danych).
! Zmiany, które będą wprowadzone nowym prawem, zdają się być odpowiedzią na obecnie panujące realia oraz nierozwiązane dotychczas problemy, m.in. związane z przetwarzaniem danych dzieci w serwisach społecznościowych czy prawem do bycia zapomnianym. Nowe rozporządzenie uporządkuje wiele pojęć i zasad, co powinno pozytywnie wpłynąć na pewność prawa. Wdrożenie niezbędnych zmian przez administratorów danych oraz procesorów wymagać będzie podjęcia wielu czasochłonnych i kosztownych prac przygotowawczych.
RAMKA
Surowe sankcje
Rozporządzenie wprowadza surowe sankcje finansowe za niezastosowanie się do nowych regulacji. Wysokość kar jest uzależniona od rodzaju naruszenia.
● Grzywnę administracyjną w wysokości do 10 mln euro lub 2 proc. całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) przewidziano m.in. za nieprzestrzeganie wymogów dotyczących zgody na przetwarzanie danych dziecka w związku z usługami społeczeństwa informacyjnego.
● Surowszą grzywnę, sięgającą maksymalnie 20 mln euro lub 4 proc. rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ponownie ma kwota wyższa), przewidziano natomiast np. w razie naruszenia przepisów dotyczących przekazywania danych osobowych do odbiorcy zlokalizowanego w państwie trzecim lub organizacji międzynarodowej albo nieprzestrzegania postanowień rozporządzenia o zgłaszaniu naruszeń ochrony danych.