Nowe rozporządzenie UE o ochronie danych osobowych gruntownie reformuje unijne i krajowe przepisy. Koncentruje się na lepszej ochronie prywatności osób, poprawie bezpieczeństwa, nakłada dodatkowe obowiązki na przedsiębiorców.
PEŁNIEJSZA OCHRONA / Dziennik Gazeta Prawna
Nowe definicje danych wrażliwych / Dziennik Gazeta Prawna
JAKIE MAMY PRAWA / Dziennik Gazeta Prawna
Ocena skutków planowanej operacji przetwarzania zawiera co najmniej: / Dziennik Gazeta Prawna
Dziennik Gazeta Prawna
4 maja 2016 r. w Dzienniku Urzędowym UE L 119 opublikowano rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Rozporządzenie weszło w życie 20. dnia po publikacji w Dzienniku Urzędowym UE, tj. 24 maja 2016 r., a od 25 maja 2018 r. będzie bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej.
Tego samego dnia, 25 maja 2018 r., po ponad 20 latach obowiązywania, uchylona zostanie dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz UE z 1995 r. L 281 s. 31).
Zmiany są rewolucyjne: z jednej strony przyznają osobom fizycznym nieznane wcześniej uprawnienia, zwiększając ich ochronę, z drugiej – nakładają na przedsiębiorców i administrację publiczną zupełnie nowe obowiązki, do realizacji których już teraz należy się przygotowywać. Zdecydowanie zaostrzają też system sankcji za nieprzestrzeganie norm dotyczących ochrony danych osobowych – kary będą nie tylko wysokie (wielomilionowe), ale również łatwiej będzie je nałożyć. Co więcej: nowe przepisy będą miały zastosowanie do firm również spoza UE, na przykład jeżeli przetwarzają dane mieszkańców UE, w celu świadczenia im usług, chociażby nieodpłatnie (portale społecznościowe etc.). Skala zmian jest tak duża, że wymagać będzie od znacznej części przedsiębiorców wdrożenia zupełnie nowych narzędzi i modyfikacji systemów informatycznych.
WAŻNE
Za dwa lata dane osobowe będą jednakowo chronione we wszystkich państwach UE. Nowe rozporządzenie będzie obowiązywać wprost, bez konieczności krajowej implementacji.
Wprowadzenie nowych przepisów jest wynikiem wieloletnich prac legislacyjnych, mających na celu kompleksowe uregulowanie kwestii przetwarzania danych osobowych na poziomie całej Unii Europejskiej, przy użyciu narzędzi maksymalnie dopasowanych do rozwoju technologicznego, w szczególności cyfryzacji, a także do wyzwań globalizacji, w tym transgranicznego świadczenia usług.
Regulacje mają z jednej strony dać bezpieczeństwo osobom, których dane dotyczą, a z drugiej pewność prawa przedsiębiorcom, również tym prowadzącym działalność na terenie wielu krajów, w tym ujednolicić ich sytuację prawną. Zdecydowanie wpłyną na sposób prowadzenia działalności przez wiele podmiotów.
Opisujemy wybrane, najważniejsze dla przedsiębiorców nowe regulacje rozporządzenia, a także zmiany w stosunku do obecnie obowiązującej w Polsce ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2015 r. poz. 2135 ze zm.), która będzie musiała zostać zmodyfikowana lub zastąpiona nową – charakter rozporządzenia w systemie prawa UE oznacza w uproszczeniu, że jego postanowienia będą stosowane w Polsce bezpośrednio.
RAMKA 1
Nowe przepisy dla organów publicznych
4 maja 2016 r. w Dzienniku Urzędowym UE L 119 opublikowano również tekst drugiego aktu prawnego składającego się na reformę ochrony danych – dotyczący generalnie postępowań karnych i zapobiegania przestępczości. Jest nim dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz UE L 119 s. 89).
Dyrektywa co do zasady nie dotyczy przedsiębiorców – reguluje przetwarzanie danych przez organy publiczne, oraz związane z tym prawa osób, których dane dotyczą.
Wchodzi w życie pierwszego dnia po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej, a więc obowiązuje już od 5 maja. Państwa członkowskie mają teraz obowiązek transpozycji przepisów dyrektywy do własnych porządków prawnych, najpóźniej do 6 maja 2018 r.
Każdy będzie mógł szukać ochrony we własnym kraju
Rozporządzenie obejmuje wszystkich administratorów i wszystkie podmioty przetwarzające, niezależnie od tego, czy mają jednostkę organizacyjną w Unii, czy też nie. Doprecyzowano przepisy związane z uzyskaniem zgody, jej cofaniem, zapisano prawo do bycia zapomnianym, a także wzmocniono ochronę dzieci
Rozporządzenie ma bardzo szeroki zakres stosowania. W efekcie wiele metod wykorzystywanych dotychczas przez niektórych przedsiębiorców w celu korzystania z innych, mniej wymagających reżimów ochrony danych osobowych – straci swoje zastosowanie.
Kogo dotyczy
Przede wszystkim nowe przepisy mają zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Znajduje więc zastosowanie np. do przedsiębiorców unijnych, którzy przetwarzają dane na serwerach zlokalizowanych poza Unią.
Aby ochrona była pełna – rozporządzenie stosuje się również m.in. do administratorów niemających jednostek organizacyjnych w Unii, jeśli przetwarzanie danych dotyczy oferowania towarów lub usług osobom przebywającym w Unii, lub jeśli czynności przetwarzania wiążą się z monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
Kiedy można przetwarzać
Rozporządzenie zawiera katalog przypadków, kiedy możliwe będzie przetwarzanie danych osobowych. Jest on inny niż aktualnie obowiązujące przepisy. Chociaż kluczowe elementy pozostają te same (np. zgoda danej osoby, wykonywanie umowy z daną osobą etc.) – to jednak widoczne są różnice, które będą miały wpływ na weryfikowanie zasadności / skuteczności danej przesłanki, w danym wypadku.
Przykładowo, sama zawarta w rozporządzeniu definicja zgody, okoliczności jej wyrażenia i możliwości cofnięcia są zbliżone do obecnie określonych ustawą o ochronie danych osobowych oraz praktyką generalnego inspektora ochrony danych osobowych. Nowością jest natomiast wymóg, aby zapytanie o zgodę wyrażaną w pisemnym oświadczeniu, które dotyczy także innych kwestii (np. zapisywanie się do programów lojalnościowych), było przedstawiane w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w przeciwnym wypadku część oświadczenia stanowiąca naruszenie tych zasad nie jest wiążąca.
Z kolei wycofanie zgody na przetwarzanie danych osobowych musi być równie łatwe, jak jej wyrażenie.
Nowością jest ponadto wskazanie, że oceniając, czy zgodę wyrażono dobrowolnie – uwzględnić należy, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
Podobnie, w przypadku opierania się przez administratora na przesłance tzw. uzasadnionych interesów – konieczna będzie jej ocena przez pryzmat interesów oraz podstawowych praw i wolności osoby, której dane dotyczą, w szczególności gdy osoba ta jest dzieckiem – zmiana ta może mieć istotne znaczenie chociażby przy przetwarzaniu danych w celach marketingowych.
!Administrator powołujący się na zgodę jako uzasadnienie przetwarzania danych musi być w stanie wykazać, że osoba, której dane dotyczą, ją wyraziła. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie oznaczają zatem zgody.
Dzieci pod specjalną ochroną
Unijny ustawodawca uznał, że dzieci wymagają szczególnej ochrony, gdyż mogą być mniej świadome swoich praw oraz zagrożeń związanych z przetwarzaniem danych osobowych.
Obecnie obowiązująca ustawa o ochronie danych osobowych nie przewiduje szczególnych regulacji dotyczących przetwarzania danych osobowych dzieci. Tymczasem rozporządzenie obejmuje najmłodszych szczególną ochroną: przewiduje nowe warunki w zakresie przetwarzania ich danych, uzależnione dodatkowo od wieku dziecka.
Zgodnie z nową zasadą, wprowadzona rozporządzeniem - dane osobowe dzieci mogą być przetwarzane na podstawie wyrażonej przez nie zgody wyłącznie wtedy, gdy ukończyło ono 16 lat.
Jeżeli dziecko nie ukończyło 16 lat, przetwarzanie jego danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem, oraz wyłącznie w zakresie wyrażonej zgody. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Ta nowa reguła, kłopotliwa bardzo dla przedsiębiorców, dotyczy tzw. usług społeczeństwa informacyjnego (a więc zasadniczo wszystkich usług świadczonych drogą elektroniczną, oferowanych bezpośrednio dziecku, np. przez portale społecznościowe, pocztę e-mail ect. ramka 2
RAMKA 2
Jaś napisał, Jan ma prawo domagać się zapomnienia
Nowością jest prawo do domagania się usunięcia danych (także z internetu), które zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku. U podstaw leży założenie, że dziecko nie było w pełni świadome ryzyka związanego z ich przetwarzaniem. Jeżeli w późniejszym czasie – już jako osoba dorosła – będzie chciało usunąć swoje wpisy – przedsiębiorca zasadniczo będzie zobowiązany żądanie to spełnić.
WAŻNE
Dziecko, które nie ukończyło lat 16, będzie mogło korzystać z portali społecznościowych i innych podobnych usług jedynie za zgodą rodzica lub prawnego opiekuna.
KOMENTARZ
Zgodnie z rozporządzeniem, administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.
Regulacja ta budzi poważne zastrzeżenia, zwłaszcza w zestawieniu z opisanym niżej katalogiem sankcji, jakie może ponieść administrator – nie wskazuje bowiem, jaki sposób weryfikacji można uznać za wystarczający, a jednocześnie obciąża wyłącznie administratora ryzykiem braku właściwej zgody, co w przypadku usług świadczonych w internecie, gdzie nietrudno stworzyć fałszywą tożsamość, jest szczególnie istotne. ©?
Dane wrażliwe
Przetwarzanie danych wrażliwych po zmianach wiązać się będzie ze szczególnymi obowiązkami administratora (zaostrzono m.in. przesłanki przetwarzania) oraz ryzykiem ponoszenia dalej idących konsekwencji w przypadku ich niezrealizowania.
Nowością wprowadzoną rozporządzeniem, jest przede wszystkim wyraźne wskazanie, że tzw. dane biometryczne są danymi wrażliwymi. Zgodnie z art. 9 ust. 1 rozporządzenia co do zasady „Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”.
Rozporządzenie wprowadza również istotne definicje, mające znaczenie dla kwalifikacji danych wrażliwych dotyczących cech fizycznych i zdrowia.
W stosunku do aktualnej polskiej ustawy, rozporządzenie wprowadza ponadto istotną zmianę w zakresie przesłanek legalizujących przetwarzanie danych osobowych wrażliwych – przetwarzanie będzie dopuszczalne na podstawie zgody osoby, której dane dotyczą, która to zgoda nie będzie już musiała być wyrażana w formie pisemnej. Rozporządzenie jednocześnie wprowadza jednak możliwość wyłączenia przez prawo Unii lub państwa członkowskiego dopuszczalności przetwarzania danych wrażliwych na podstawie zgody.
WAŻNE
Rozporządzenie likwiduje wymóg udzielania zgód na przetwarzanie danych wrażliwych w formie pisemnej.
Unijne rozporządzenie daje ponadto państwom członkowskim uprawnienie do wprowadzenia dalszych, szczegółowych regulacji określających warunki, w tym ograniczeń dotyczących przetwarzania danych genetycznych, biometrycznych lub dotyczących zdrowia – oznacza to, że w przypadku zamiaru przetwarzania takich danych transgranicznie nadal konieczna będzie wzmożona czujność przedsiębiorców i kontakt z lokalnym doradcą.
Dane pracownicze
Rozporządzenie daje państwom członkowskim uprawnienie do przyjęcia dodatkowych, bardziej szczegółowych przepisów, mających zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.
Ustanowione przepisy będą musiały obejmować odpowiednie i szczegółowe środki, zapewniające osobie, której dane dotyczą, poszanowanie jej godności, prawnie uzasadnionych interesów i praw podstawowych, w szczególności pod względem przejrzystości przetwarzania, przekazywania danych osobowych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz systemów monitorujących w miejscu pracy.
KOMENTARZ
Obecne polskie przepisy dotyczące przetwarzania danych osobowych pracowników budzą wiele wątpliwości pracodawców, zwłaszcza w kontekście granic skuteczności zgody pracownika – chociażby w zakresie wykorzystywania danych biometrycznych (np. odcisk palca) do identyfikacji pracowników czy monitorowania czasu pracy, albo możliwości wymagania od niektórych kategorii pracowników zaświadczeń o niekaralności.
Na dodatek są bardzo lakoniczne i w znacznym stopniu nie uwzględniają postępu technologicznego – cyfryzacji, powszechności stosowania monitoringów, czy wykorzystywania danych biometrycznych, co istotnie utrudnia działanie przedsiębiorców.
Zatem to, w jakim stopniu uda się poprawić bieżącą sytuację, zależeć będzie od zakresu działań polskiego ustawodawcy – jest szansa, że tworząc nowe przepisy wyeliminuje mankamenty – przedsiębiorcy będą mogli łatwiej ustalić, jakie działania mogą legalnie podejmować, a pracownicy – łatwiej ochronić swoje prawa. ©?
Lepsza ochrona prywatności i bezpieczeństwo obywateli
Wzmocniono pozycję osób, których dane dotyczą, poprzez nadanie im nowych praw. Natomiast na administratorów nałożono nowe obowiązki.
Administratorzy mają obowiązek ułatwiać osobom, których dane dotyczą, wykonywanie przysługujących im praw oraz przetwarzać dane zgodnie z zasadą przejrzystości, zwłaszcza informując o prowadzonym przez siebie przetwarzaniu.
Prawo uzyskania kopii danych
Aktualne przepisy dają osobie, której dane dotyczą, prawo uzyskania informacji o przetwarzaniu jej danych (w tym o ich zakresie), natomiast nie uprawniają jej wprost do żądania wydania kopii dotyczących jej danych.
Uprawnienie takie wprowadzi jednak rozporządzenie – zgodnie z jego art. 15 ust. 3 administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej – informacji udziela się powszechnie stosowaną drogą elektroniczną.
Uprawnienie takie, choć korzystne z perspektywy osoby, której dane dotyczą, dla przedsiębiorców może w praktyce być znacznym utrudnieniem w ich działalności, niewykluczone również, że często może okazać się niewykonalne.
Klient niekiedy uiści opłatę
Przewidziano możliwość pobierania przez administratora opłat w związku z realizacją praw przez osoby, których dane dotyczą.
Rozporządzenie nadaje im wiele uprawnień, m.in. do informacji dotyczących przetwarzania danych (artykuły 13 i 14 rozporządzenia) oraz do sprostowania lub usunięcia danych osobowych oraz ograniczenia ich przetwarzania (artykuł 16 rozporządzenia).
Co do zasady realizacja tych praw jest wolna od opłat, rozporządzenie przewiduje jednak, że jeśli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator będzie mógł pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań. Alternatywnie administrator może w takim przypadku nawet odmówić podjęcia działań w związku z żądaniem, przy czym takie decyzje będzie należało każdorazowo podejmować z ostrożnością i ze świadomością, że mogą stać się przedmiotem oceny, co do ich zasadności, przez właściwe organy państwa.
!Na życzenie zainteresowanego administrator będzie musiał dostarczyć kopię danych osobowych podlegających przetwarzaniu. Pierwszą kopię dostarczy bezpłatnie. Za kolejne będzie mógł pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.
Sprzeciw wobec przetwarzania danych osobowych
Podobnie jak w przypadku obecnie obowiązujących regulacji, rozporządzenie przewiduje, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych opartego na przesłankach:
1) wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
2) realizacji celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Rozporządzenie wskazuje ponadto, że sprzeciw taki będzie mógł zostać wniesiony, gdy dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, w tym profilowania (które art. 4 pkt 4 rozporządzenia definiuje jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się). W przypadku wniesienia sprzeciwu, dalsze przetwarzanie danych osobowych w tym zakresie jest niedopuszczalne.
O prawie wniesienia sprzeciwu należy powiadomić osobę, której dane dotyczą, przy okazji pierwszej komunikacji z nią, wyraźnie, jasno i odrębnie od wszelkich innych informacji. W związku z korzystaniem z usług społeczeństwa informacyjnego (usługi świadczone drogą elektroniczną) osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne – co może wymagać odpowiedniego dostosowania funkcjonowania serwisów internetowych lub wtyczek.
WAŻNE
O prawie wniesienia sprzeciwu należy powiadomić osobę, której dane dotyczą, przy okazji pierwszej komunikacji z nią, wyraźnie, jasno i odrębnie od wszelkich innych informacji.
Powyższa regulacja stanowi kolejny wyraz dostrzeżenia przez unijnego prawodawcę zagrożeń przetwarzania danych osobowych związanych z profilowaniem oraz szeroko pojętym marketingiem bezpośrednim. Zakresem nie wykracza znacząco poza dotychczasowe regulacje, natomiast istotnie zwiększa pewność co do dopuszczalności określonych zachowań i związanych z tym praw, co ma znaczenie zarówno dla przedsiębiorców przetwarzających dane, jak i osób, które chcą swoje dane chronić.
Nowe „prawo do bycia zapomnianym”
Obecnie obowiązujące przepisy przewidują sytuacje, w których osoba, której dane dotyczą, może żądać od administratora niezwłocznego usunięcia jej danych osobowych. Rozporządzenie – poza co do zasady utrzymaniem dotychczasowych regulacji w tym zakresie – poszerza ten katalog o uprawnienie żądania usunięcia danych osobowych zebranych w związku z oferowaniem usług społeczeństwa informacyjnego dzieciom (osobom niepełnoletnim).
Wprowadza ponadto rewolucję – niespotykany w obecnym porządku prawnym obowiązek nazwany w toku prac legislacyjnych „prawem do bycia zapomnianym”, aby administrator, który upublicznił dane osobowe, a ma obowiązek je usunąć, podjął rozsądne (biorąc pod uwagę dostępną technologię i koszt realizacji) działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Ze względu na specyfikę internetu, w szczególności zazwyczaj brak wiedzy o podmiotach, które zamieszczają odesłania do danych czy ich kopie, realizacja tego obowiązku może być jednak w praktyce istotnie utrudniona, jeśli nie niemożliwa.
WAŻNE
W przypadku jeśli administrator, który upublicznił dane osobowe, ma obowiązek je usunąć, to on będzie zobowiązany poinformować innych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Rozporządzenie wprowadza jednak dodatkowe ograniczenie – powyższe uprawnienia i skorelowane z nimi obowiązki nie dotyczą m.in. sytuacji, gdy przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji.
Obowiązek informowania o sprostowaniu lub usunięciu danych
Rozporządzenie wprowadza jeszcze jeden nowy mechanizm podobny do „prawa do bycia zapomnianym”: obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania. Administrator jest zobowiązany do skierowania takiego powiadomienia do każdego odbiorcy, któremu ujawnił dane osobowe. Może tego nie robić wyłącznie w przypadku, gdy okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
Przenoszenie danych do innego usługodawcy
Całkowitą nowością jest również wprowadzone rozporządzeniem „prawo do przenoszenia danych”. Polega ono na tym, że każda osoba, której dane dotyczą, ma prawo „otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe”.
Uprawnienie to dotyczy sytuacji, w których przetwarzanie danych osobowych odbywa się na podstawie zgody osoby, której dane dotyczą (dotyczącej zarówno danych „zwykłych”, jak i danych „wrażliwych”) lub na podstawie umowy, której ta osoba jest stroną, a ponadto przetwarzanie danych odbywa się w sposób zautomatyzowany, i jest wyrazem dość konsekwentnie realizowanej przez UE polityki dążącej do interoperacyjności systemów oraz związanej z nią przenoszalności danych.
Osoba, której dane dotyczą, zgodnie z rozporządzeniem – może żądać, aby w celu wykonania prawa do przenoszenia dane zostały wydane jej lub też zostały przesłane przez administratora bezpośrednio innemu, wskazanemu przez nią administratorowi, pod warunkiem że jest to technicznie możliwe.
Poszerzone obowiązki administratora
Od 2018 r. będzie musiał on przekazywać więcej informacji dla klienta. Wprowadzono też konieczność sporządzania oceny skutków przed podjęciem nowego rodzaju przetwarzania danych osobowych i prowadzenia rejestru czynności przetwarzania danych osobowych
Zwiększenie ochrony osób, których dane są przetwarzane, jednocześnie oznacza nowe obowiązki dla administratorów i podmiotów.
Więcej informacji dla klienta
Poszerzono istotnie katalog informacji, które administrator jest zobowiązany przekazać osobie, której dane dotyczą.
Zgodnie z rozporządzeniem każdy administrator danych osobowych jest zobowiązany przekazać osobie, której dane dotyczą, podstawowy katalog informacji, o zakresie podobnym do wynikającego z obecnie obowiązujących regulacji.
Rozporządzenie wprowadza kolejne nowe obowiązki informacyjne. Osobie, której dane są gromadzone będzie należało przekazać dodatkowo np.:
dane kontaktowe inspektora ochrony danych (odpowiednika obecnego administratora bezpieczeństwa informacji);
informację o okresie, przez który dane osobowe będą przechowywane (a gdy nie jest to możliwe – kryteria ustalania tego okresu).
Ponadto jeżeli przetwarzanie odbywa się na podstawie przesłanki realizacji prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – będzie należało wskazać te interesy.
W przypadkach gdy dochodzi do podejmowania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, będzie należało o tym poinformować oraz przekazać istotne informacje o zasadach podejmowania takich decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (np. zautomatyzowane procesy wstępnej rekrutacji).
Nowością jest również regulacja, zgodnie z którą jeżeli administrator zamierza dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem musi on poinformować osobę, której dane dotyczą, o tym innym celu oraz udzielić jej wszelkich innych stosownych informacji, należących do wskazanego powyżej katalogu.
!Jeżeli administrator zamierza dalej przetwarzać dane osobowe w celu innym niż ten, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem będzie musiał poinformować o tym osobę, której dane dotyczą, oraz udzielić jej wszelkich innych stosownych informacji.
Rejestr czynności przetwarzania
Rozporządzenie nakłada na administratora danych osobowych obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. ramka 3
RAMKA 3
Zawartość rejestru administratora...
W rejestrze czynności przetwarzania danych osobowych administrator zamieszcza następujące informacje:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – dane przedstawiciela administratora oraz inspektora ochrony danych (odpowiednik obecnego administratora bezpieczeństwa informacji);
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) dokumentację przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w określonych przypadkach również dokumentację odpowiednich zabezpieczeń (gdy ma to zastosowanie);
f) planowane terminy usunięcia poszczególnych kategorii danych – jeżeli jest to możliwe;
g) ogólny opis stosowanych technicznych i organizacyjnych środków bezpieczeństwa – jeżeli jest to możliwe. ©?
Obowiązek prowadzenia podobnego rejestru rozporządzenie nakłada również na każdy podmiot przetwarzający (podmiot, któremu powierzono dane do przetwarzania) oraz – gdy ma to zastosowanie – na przedstawiciela podmiotu przetwarzającego. Powinni oni prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. ramka 4
RAMKA 4
...i przetwarzającego
Rejestr czynności przetwarzania dokonywanych w imieniu administratora prowadzony przez podmiot przetwarzający powinien zawierać następujące informacje:
a) imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
c) gdy ma to zastosowanie – przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w określonych przypadkach również dokumentację odpowiednich zabezpieczeń;
d) jeżeli jest to możliwe, ogólny opis stosowanych technicznych i organizacyjnych środków bezpieczeństwa. ©?
Rejestry takie należy prowadzić w formie pisemnej, w tym w formie elektronicznej.
Rozporządzenie zwalnia z obowiązku prowadzenia rejestru przedsiębiorców zatrudniających mniej niż 250 osób, chyba że to przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje dane wrażliwe lub dotyczące wyroków skazujących i naruszeń prawa.
Domyślna ochrona danych
Rozporządzenie nakłada na administratorów obowiązek projektowania przetwarzania danych osobowych poprzez wdrożenie takich środków technicznych i organizacyjnych, aby domyślnie (standardowo) przetwarzane były wyłącznie te, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz dostępności. Środki te powinny w szczególności zapewniać, że dane osobowe nie będą domyślnie udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
Jako przykład środka służącego takim celom rozporządzenie podaje pseudonimizację. Chodzi o takie przetworzenie danych, aby nie można ich było przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji; przy czym warunkiem jest, że takie dodatkowe informacje muszą być przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Ocena skutków oraz konsultacje
Przed rozpoczęciem nowego rodzaju przetwarzania danych osobowych administrator będzie zobowiązany sporządzić ocenę skutków oraz przeprowadzić konsultacje z organem nadzorczym.
Rozporządzenie przewiduje, że jeżeli dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to w takim wypadku administrator przed rozpoczęciem przetwarzania powinien dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. ramka 5 Jeśli w danej firmie wyznaczono inspektora ochrony danych – dokonując ww. oceny skutków administrator konsultuje się z nim.
RAMKA 5
Co w umowie o przetwarzanie
Umowa o powierzenie danych osobowych do przetwarzania powinna określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.
Umowa taka powinna w szczególności stanowić, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie wymagane rozporządzeniem środki techniczne i organizacyjne zapewniające odpowiedni stopień bezpieczeństwa danych osobowych;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzania danych osobowych, zgłaszania naruszeń ochrony danych osobowych oraz oceny skutków przetwarzania i związanych z tym konsultacji z organem nadzorczym;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia jego obowiązków oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. ©?
Ocena skutków jest wymagana w szczególności w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
b) przetwarzania na dużą skalę danych osobowych wrażliwych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Niezależnie wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych ustanawia i podaje do publicznej wiadomości organ nadzorczy (tj. w Polsce – GIODO) oraz przekazuje go Europejskiej Radzie Ochrony Danych. Organ nadzorczy może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. W takim wypadku również taki wykaz przekazywany jest Europejskiej Radzie Ochrony Danych.
Jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka – to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Ten, w przypadku stwierdzenia, że zamierzone przetwarzanie stanowiłoby naruszenie rozporządzenia, udziela administratorowi lub także podmiotowi przetwarzającemu pisemnego zalecenia i może skorzystać z dowolnego ze swoich uprawnień (w tym z uprawnień naprawczych).
Nowe możliwości dla firm
Przepisy wskazują nowe możliwości w zakresie organizacji przetwarzania danych osobowych. Ponadto zamiast ABI – administratora bezpieczeństwa informacji – pojawi się inspektor ochrony danych.
Rozporządzenie wprowadza nowe uregulowanie, którego dotychczas istotnie brakowało – pojęcie współadministratorów danych osobowych, tj. co najmniej dwóch administratorów, którzy wspólnie ustalają cele i sposoby przetwarzania, do czego w praktyce często dochodzi.
Współadministratorzy
Zgodnie z rozporządzeniem współadministratorzy zobowiązani są wspólnie uzgodnić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw oraz ich obowiązków informacyjnych.
Zasadnicza treść uzgodnień pomiędzy współadministratorami powinna być udostępniana podmiotom, których dane dotyczą. Mogą oni ponadto wskazać punkt kontaktowy dla osób, których dane dotyczą.
WAŻNE
Za spełnienie wymogu zawarcia umowy powierzenia w formie pisemnej będzie uważane jej zawarcie w formie elektronicznej.
Niezależnie jednak od uzgodnień pomiędzy współadministratorami osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wobec każdego z nich.
Powierzenie w okowach przepisów
Szerokie i szczegółowe będą po zmianach przepisy regulujące powierzenie danych osobowych do przetwarzania. Rozporządzenie reguluje m.in. szczegółowo treść umowy z podmiotem przetwarzającym.
Obecnie, choć powierzenie przez administratora danych osobowych do przetwarzania podmiotowi będącemu niejako jego podwykonawcą, jest w praktyce powszechnie stosowane, to jednak regulacja polskiej ustawy o ochronie danych osobowych jest w tym zakresie bardzo lakoniczna. Tę lukę wypełnia rozporządzenie, szeroko i kompleksowo regulując tę materię.
Pierwsza istotna zmiana to określenie, że za spełnienie wymogu zawarcia umowy powierzenia w formie pisemnej uważa się jej zawarcie w formie elektronicznej – będzie to stanowiło olbrzymie ułatwienie w działalności wielu przedsiębiorców.
!Zniknie obowiązek rejestracji baz danych w GIODO, a tę rolę przejmie inspektor ochrony danych osobowych. Taki inspektor będzie powołany wewnętrznie w każdej firmie (będzie to odpowiednik dzisiejszego ABI).
Rozporządzenie reguluje również szczegółowo treść umowy o powierzenie danych osobowych do przetwarzania. ramka 6
RAMKA 6
Obowiązkowy inspektor
Do wyznaczenia takiej osoby zobowiązani będą administratorzy oraz przetwarzający, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę tzw. danych „wrażliwych” oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. ©?
Rozporządzenie reguluje ponadto stosowane w praktyce, jednak dotychczas nieuregulowane ustawowo, tzw. dalsze powierzenie danych osobowych do przetwarzania, zwane również „podpowierzeniem”. Wprowadza ono zasadę, zgodnie z którą podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora, a w przypadku ogólnej pisemnej zgody informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Ponadto jeśli podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, nałożone zostają na niego te same obowiązki ochrony danych, jakieobowiązują w przypadku umowy pomiędzy administratorem a podmiotem przetwarzającym. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie tych obowiązków spoczywa na pierwotnym podmiocie przetwarzającym.
Teraz inspektor ochrony danych
Wprowadzono go w miejsce administratora bezpieczeństwa informacji. Nie jest to już funkcja fakultatywna. Obowiązkowo trzeba go powołać w każdym przypadku, kiedy wymaga tego kategoria przetwarzanych danych osobowych i cele przetwarzanych danych osobowych na duża skalę, a także w jednostkach publicznych.
Obecnie obowiązujące w Polsce przepisy przewidują możliwość powoływania administratora bezpieczeństwa informacji (ABI) jako podmiotu zapewniającego i nadzorującego u administratora lub przetwarzającego przestrzeganie przepisów o ochronie danych osobowych.
Rozporządzenie nazywa podmiot pełniący takie funkcje inspektorem ochrony danych, i wprowadza w tym zakresie pewne nowe regulacje.
Rozporządzenie wprost przewiduje ponadto, stosowane obecnie często w praktyce, wyznaczanie jednego inspektora ochrony danych przez grupę przedsiębiorstw, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.
Inspektor ochrony danych może być członkiem personelu administratora / podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Może wykonywać inne zadania i obowiązki, jednak należy zapewnić, że nie będzie to powodowało konfliktu interesów.
Przewidziano ponadto gwarancje daleko idącej niezależności inspektora ochrony danych – należy zapewnić, by nie otrzymywał on instrukcji dotyczących wykonywania zadań, nie był odwoływany ani karany za wypełnianie swoich zadań, a ponadto podlegał bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
Administrator powołujący inspektora ochrony danych będzie musiał opublikować jego dane kontaktowe, a także zawiadomić o nich organ nadzorczy (co odpowiada obecnemu obowiązkowi zgłoszenia administratora bezpieczeństwa informacji do rejestru prowadzonego przez GIODO).
Kodeksy postępowania
W celu promocji oraz ułatwiania właściwego stosowania przepisów rozporządzenia przedsiębiorcy zachęcani są do sporządzania kodeksów postępowania oraz uzyskiwania odpowiednich certyfikacji – ich wdrożenie / uzyskanie zwalnia administratorów oraz podmioty przetwarzające z wielu określonych rozporządzeniem obowiązków.
Kodeksy postępowania mogą być tworzone przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające, aby doprecyzować zastosowanie rozporządzenia. Ich stosowanie jest zabezpieczane przez zawarte w kodeksach mechanizmy pozwalające akredytowanym w tym celu przez właściwy organ nadzorczy podmiotom na prowadzenie obowiązkowych monitorowań przestrzegania przepisów danego kodeksu przez administratorów lub podmioty przetwarzające, które podjęły się jego stosowania. W przypadku stwierdzenia naruszenia kodeksu, podmiot monitorujący podejmuje odpowiednie działania w tym zawiesza lub wyklucza administratora lub podmiot przetwarzający spośród stosujących kodeks, a o działaniach tych i powodach ich podjęcia informuje właściwy organ nadzorczy.
W celu opracowania kodeksu postępowania, jego zmiany lub rozszerzenia należy przedłożyć jego projekt właściwemu organowi nadzorczemu. Wydaje on opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z rozporządzeniem i zatwierdza go, jeżeli uzna, że stanowi on odpowiednie zabezpieczenia. W takim wypadku kodeks jest rejestrowany i publikowany.
W przypadku gdy projekt kodeksu postępowania dotyczy czynności przetwarzania prowadzonych w kilku państwach członkowskich, organ nadzorczy przed jego zatwierdzeniem przedkłada go Europejskiej Radzie Ochrony Danych, która w przypadku wydania pozytywnej opinii o zgodności projektu z rozporządzeniem przedkłada tę opinię Komisji Europejskiej. Komisja może w drodze aktów wykonawczych stwierdzić, że zatwierdzone kodeksy postępowania są powszechnie obowiązujące w Unii Europejskiej. Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie zatwierdzone kodeksy podstępowania, zmiany i rozszerzenia i udostępnia je opinii publicznej.
Certyfikacja
Z kolei mechanizmy certyfikacji, znaki jakości i oznaczenia w zakresie ochrony danych osobowych mają świadczyć o zgodności z rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające.
Certyfikacja ma być dobrowolna, udzielana na maksymalny okres trzech lat, i można ją będzie przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi.
Będą jej dokonywać akredytowane podmioty certyfikujące lub właściwy organ nadzorczy – na podstawie kryteriów zatwierdzonych przez niego lub przez Europejską Radę Ochrony Danych. W przypadku gdy kryteria są zatwierdzane przez Europejską Radę Ochrony Danych, może to skutkować wspólną certyfikacją, europejskim znakiem jakości ochrony danych. Europejska Rada Ochrony Danych gromadzić będzie w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych i udostępniać je opinii publicznej za pomocą odpowiednich środków.
Naruszenia: więcej obowiązków, a sankcje wyższe
Nowością jest nałożenie na przedsiębiorców obowiązku zgłaszania do GIODO wszelkich naruszeń danych osobowych (np. wycieku informacji), a w poważniejszych przypadkach - dodatkowo informowania o tym fakcie osób których dane zostały zagrożone. Za niedopełnienie obowiązków grożą wysokie kary
Rozporządzenie znacząco zmienia zasady postępowania w przypadku naruszeń danych osobowych. Chodzi m.in. o sytuacje wycieku danych, ich kradzieży ect.
Nowością jest wprowadzony obowiązek raportowania tego typu naruszeń ochrony danych osobowych organowi nadzorczemu. W przypadku Polski takim organem nadzorczym jest aktualnie Generalny Inspektor Ochrony Danych Osobowych. Ponadto w przypadkach poważniejszych naruszeń – konieczne będzie poinformowanie tych osób, których dane są gromadzone. ramka 7
RAMKA 7
Zawartość zgłoszenia
Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu (w Polsce – GIODO) będzie musiało zawierać co najmniej:
a) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;
b) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisy możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków. ©?
Powstanie obowiązku
Przez naruszenie ochrony danych osobowych rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Termin
W przypadku gdy do takiego naruszenia dojdzie, administrator zobowiązany jest zgłosić je organowi nadzorczemu bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po jego stwierdzeniu, a w przypadku gdy zgłoszenie nastąpi po upływie 72 godzin – załączając wyjaśnienie przyczyn opóźnienia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Niezależnie od zgłoszenia administrator zobowiązany jest prowadzić również dokumentację wszelkich naruszeń ochrony danych osobowych, w tym ich okoliczności, skutków oraz podjętych działań zaradczych.
Dokumentacja naruszeń
W przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator będzie miał obowiązek zawiadomienia o nim bez zbędnej zwłoki również osoby, której dane dotyczą – jasnym i prostym językiem opisując charakter naruszenia oraz zawierając co najmniej informacje określone w zgłoszeniu do organu nadzorczego, o których mowa powyżej pod lit. b), c) i d).
Wyjątki
Zawiadomienie osoby, której dane dotyczą, nie jest wymagane, gdy:
a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
WAŻNE
Rozporządzenie wprowadza rewolucyjny system administracyjnych kar pieniężnych – w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Ponieważ składanie takich zgłoszeń / komunikatów o naruszeniach może negatywnie odbić się na reputacji danego podmiotu, wprowadzenie rozporządzeniem obowiązków w tym zakresie z pewnością zwiększy świadomość przedsiębiorców i będzie stanowiło dodatkową motywację do wdrożenia odpowiednich procedur i zabezpieczeń.
Odstraszające kary
Przewidziano dotkliwe sankcje za naruszenia i nakładanie wysokich kar pieniężnych – nawet do 4 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa.
Rozporządzenie przewiduje dwa systemy sankcji, które mogą być nakładane równolegle.
Pierwszy to – podobny charakterem do przewidzianego obecną ustawą o ochronie danych osobowych – katalog uprawnień naprawczych
Niezależnie jednak, oprócz lub zamiast środków naprawczych możliwe będzie nakładanie wysokich administracyjnych kar pieniężnych – w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa).
!Wysokość kary uzależniana jest od okoliczności danego przypadku – zwraca się uwagę m.in. na charakter, wagę i czas trwania naruszenia czy liczbę poszkodowanych.
Wysokość kary uzależniana jest od okoliczności danego przypadku – zwraca się uwagę m.in. na charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte w celu zminimalizowania szkody, wcześniejsze naruszenia czy też stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.
Uprawnienia naprawcze GIODO:
wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu, dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania (na mocy art. 16, 17 i 18 rozporządzenia) oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43 rozporządzenia lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
zastosowanie administracyjnej kary pieniężnej, zależnie od okoliczności konkretnej sprawy (na mocy art. 83 rozporządzenia);
nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej (art. 58 ust. 2 rozporządzenia). ©?
PODSUMOWANIE
Zakres oraz skala zmian w ochronie danych osobowych na poziomie UE w pełni uzasadniają stwierdzenie, że ma miejsce „rewolucja”. Jej głównym celem jest ochrona interesów osób, których dane są na co dzień przetwarzane, zwłaszcza przez przedsiębiorców i administrację publiczną, w zderzeniu z coraz nowocześniejszymi technologiami, a co za tym idzie – z coraz większą łatwością budowania olbrzymich baz danych.
Co ważne, chociaż nowe regulacje zaczną obowiązywać „dopiero” w 2018 r., z uwagi na skalę nowych obowiązków, w relacji do potencjalnie wielomilionowych sankcji grożących za ich niedotrzymanie, administratorzy danych osobowych już dzisiaj powinni przeanalizować, jakie zmiany w modelu ich działania powinni wdrożyć. Często nie będzie to już tylko kwestia stworzenia / zaktualizowania odpowiedniej dokumentacji przetwarzania danych osobowych, ale przebudowania elementów systemów informatycznych w celu np. umożliwienia sprawnego realizowania obowiązków typu eksport bazy danych dotyczących zainteresowanej osoby czy ewidencjonowania odbiorców danych. Koniecznie trzeba też pamiętać o nowym prawie w przypadku wdrażania nowych produktów czy usług, tak aby w niedługim czasie nie okazały się problematyczne. Z tej perspektywy dwa lata to obiektywnie niewiele czasu na pełną analizę i wdrożenie nowych zasad.