Unijna reforma przepisów o ochronie danych osobowych

25 maja 2018 r. zacznie obowiązywać w naszym kraju unijne rozporządzenie 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Przepisy tego aktu będą musiały być stosowane bezpośrednio, a osoby, których dane są przetwarzane, będą mogły korzystać z przysługujących im uprawnień określonych w tym rozporządzeniu. Zmianom ulegną również nasze krajowe przepisy, które muszą zostać dostosowane do wymogów unijnego rozporządzenia. Do tego czasu wejdzie też w życie nowa polska ustawa o ochronie danych osobowych

Zmiana unijnego prawa

Ogólne rozporządzenie dotyczące ochrony danych osobowych weszło w życie w maju 2016 r., ale w naszym kraju będzie stosowane dopiero od 25 maja 2018 r. Na wdrożenie regulacji wynikających z rozporządzenia oraz z dyrektywy państwa członkowskie miały w sumie dwa lata. Również Polska ma czas do maja 2018 r. na dostosowanie swojego ustawodawstwa do zmian wynikających z nowych dyrektyw unijnych, mimo że gruntowną przebudowę modelu ochrony danych osobowych (m.in. fakultatywność powoływania administratora bezpieczeństwa informacji) przeprowadzono w styczniu 2015 r.

Celem unijnej reformy prawa ochrony danych osobowych jest głównie zharmonizowanie ochrony przetwarzanych danych osobowych w całej Unii Europejskiej oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi. Stąd konieczność wprowadzenia równorzędnego we wszystkich państwach członkowskich stopnia ochrony praw i wolności osób fizycznych w związku z przetwarzaniem ich danych. Ogólne rozporządzenie o ochronie danych ma zapewnić wysoki, ujednolicony poziom ochrony danych w całej Unii Europejskiej, przyczyniając się również do wzrostu poczucia pewności prawnej w tym zakresie. Nowe przepisy zawarte w dyrektywie mają z kolei na celu ochronę osób w związku z przetwarzaniem danych osobowych na potrzeby zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw albo wykonywania sankcji karnych.

Przepisy ogólnego rozporządzenia obejmują m.in. kwestie dotyczące przetwarzania danych osobowych, wyrażania przez osoby fizyczne zgody na przetwarzanie ich danych, cofnięcia zgody, czy też kwestie zgłaszania tzw. wycieku danych itp. Ogólne rozporządzenie opisuje też np. dotychczas nieuregulowane warunki wyrażania zgody na przetwarzanie danych osobowych przez dziecko (do 16. roku życia) w przypadku tzw. usług społeczeństwa informacyjnego. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie będzie zgodne z prawem jedynie w przypadkach, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Państwa członkowskie będą mogły przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.

Unijne rozporządzenie RODO reguluje prawa osoby, której dane są przetwarzane, do usunięcia danych, tzw. prawo do bycia zapomnianym. Przykładowo osoba, której dane dotyczą, będzie miała prawo żądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator będzie miał obowiązek bez zbędnej zwłoki je usunąć, jeżeli np. dane te nie są już niezbędne do celów, do których zostały zebrane albo osoba taka zgodę wycofała.

Organy nadzorcze państw członkowskich (w przypadku Polski Prezes Urzędu Ochrony Danych) otrzymają zwiększone uprawnienia kontrolne, a także będą miały prawo nakładać administracyjne kary pieniężne za naruszenia unijnych przepisów. Przykładowo za naruszenia w zakresie podstawowych zasad przetwarzania danych osobowych, w tym warunków zgody, na organy publiczne i instytucje będą mogły być nakładane kary do 20 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Inspektor Ochrony Danych

Obowiązek powoływania inspektora ochrony danych będą mieli administratorzy danych i podmioty przetwarzające dane osobowe w imieniu administratora, będące organami lub podmiotami publicznymi (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości). Ponadto obowiązek taki będzie dotyczył administratorów i podmiotów przetwarzających, których główna działalność polega na operacjach przetwarzania danych wymagających - ze względu na swój charakter, zakres lub cele - regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Oprócz tego obejmie podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Użyte w rozporządzeniu pojęcia, niestety, wydają się nieostre, dlatego warto w tym miejscu sięgnąć do publikacji Generalnego Inspektora Ochrony Danych Osobowych "Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych" dostępnej na stronie www.giodo.gov.pl. Czytamy w niej, że: "W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Ocena kryterium dużej skali z pewnością będzie musiała być dokonywana w kontekście konkretnego stanu faktycznego (...) w poszczególnych przypadkach konieczne może być uwzględnienie proporcji, np. wielkości terytorium, na którym następować będzie przetwarzanie danych osobowych (im większe terytorium, tym większa liczba danych będzie podstawą uznania, że przetwarzanie odbywa się na dużą skalę)".

Warto też zaznaczyć, że państwa członkowskie będą mogły w ramach własnych przepisów rozszerzyć obowiązek wyznaczania inspektora ochrony danych na inne przypadki.

Zadania i kwalifikacje inspektora

Inspektor ochrony danych będzie miał m.in. następujące zadania:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia oraz innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
   
• monitorowanie przestrzegania ogólnego rozporządzenia, innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych oraz polityki administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
   
• współpraca z organem nadzorczym,
   
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.

Unijne przepisy określają, iż inspektor ochrony danych powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia nałożonych na niego zadań. W powołanej już publikacji GIODO czytamy, że: "Poziom wiedzy inspektora ma być ustalany w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający, a zatem w kontekście specyfiki i konkretnych potrzeb administratora danych i podmiotu przetwarzającego dane". Inspektor ochrony, podobnie jak dziś ABI, będzie mógł wykonywać inne zadania i obowiązki, a administrator lub podmiot przetwarzający będą musieli zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Przepisy ogólnego rozporządzenia uszczegóławiają kwestie dotychczas wątpliwe, tj. w zakresie wyznaczania jednego inspektora dla kilku przedsiębiorców. Art. 37 ust. 2 rozporządzenia stanowi, że grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Z kolei art. 37 ust. 6 wyraźnie określa, że inspektor ochrony danych będzie mógł być zarówno członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i wykonywać swoją funkcję na podstawie umowy o świadczenie usług. Co bardzo istotne, rozporządzenie stanowi, że administrator oraz podmiot przetwarzający dane muszą czuwać nad niezależnością inspektora. Będzie on podlegał najwyższemu kierownictwu administratora lub podmiotu przetwarzającego