Europejskie Rozporządzenie
o ochronie danych osobowych

Poniższy przewodnik po kluczowych założeniach ogólnego Rozporządzenia w sprawie ochrony danych osobowych opisuje, w jaki sposób jego treść wpłynie na biznes oraz co przedsiębiorcy powinni (już teraz) zrobić, aby przygotować się na nowe wymagania prawne

.

Pełna nazwa aktu, który regulować będzie przetwarzanie danych osobowych to: „Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych 
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych”, dalej zwane Rozporządzeniem.

W tej publikacji:

  • przedstawiamy zarys zmian i nowych obowiązków ADO wprowadzanych przez ogólne Rozporządzenie.
  • zostanie dokonana subiektywna ocena jak zmiana wpłynie na działalność polskich podmiotów – czy będzie negatywna, pozytywna, czy neutralna.
  • zostanie wskazane jak można już teraz zacząć przygotowywać się na nowe przepisy.

Jednolite prawo w całej Europie

Rozporządzenie będzie spójnym narzędziem do stosowania we wszystkich państwach członkowskich. 28 porządków prawnych dotyczących ochrony danych zostanie zastąpione jednym aktem prawnym, obowiązującym w całej Unii.

Więcej

W efekcie wszyscy przedsiębiorcy w każdym państwie będą stosować się do tych samych zasad ochrony danych osobowych. W preambule w punkcie (10) podkreślono, że „aby zapewnić wysoki i spójny poziom ochrony osób fizycznych oraz usunąć przeszkody
w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku
z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku
z przetwarzaniem danych osobowych”.

Prawo dopasowane do rodzaju przedsiębiorstwa

Rozporządzenie (w końcu) zauważa małe i średnie przedsiębiorstwa. Dotychczasowe przepisy nakazywały stosować przepisy tak samo osobom fizycznym prowadzącym działalność gospodarczą jak i dużym spółkom akcyjnym. W efekcie większość małych podmiotów nie przestrzegała przepisów z zakresu ochrony danych osobowych.

Więcej

Przykładem tego, jak prawo nie zauważa małych podmiotów jest agent ubezpieczeniowy – osoba fizyczna prowadząca jednoosobową działalność gospodarczą – który wciąż musi sam dla siebie (sic!) przygotować politykę bezpieczeństwa informacji i instrukcję zarządzania systemem, w którym przetwarza się dane osobowe. Rozporządzenie to zmienia. W preambule w punkcie (13) podkreślono, że „aby zapewnić spójny poziom ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość (…).Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Ponadto zachęca się instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by stosując niniejsze rozporządzenie, uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw”.

Większa siła "oddziaływania" nowego prawa

Rozporządzenie wprowadza nowe sankcje za niezgodne z prawem przetwarzanie danych osobowych. Dzisiejsze kary za nieprzestrzeganie przepisów są względnie niskie – aby doszło do nałożenia grzywny trzeba uparcie nie „przywracać stanu zgodnego z prawem”.

Więcej

Są jeszcze kary wynikające z przepisów karnych, ale rzadko kierowane są zawiadomienia
o podejrzeniu popełnienia przestępstwa bądź postępowanie jest umarzane ze względu na niską szkodliwość społeczną. To była dość wygodna sytuacja dla wielu administratorów danych, którzy nierzadko dochodzili do wniosku, iż korzyści z nieprzestrzegania przepisów
z zakresu ochrony danych osobowych są zdecydowanie większe niż negatywne konsekwencje.

Nowe rozporządzenie wprowadza bardzo surowe kary.

W zakresie nakładania administracyjnych kar pieniężnych Rozporządzenie przewiduje grzywnę maksymalnie do 20 mln EUR, a w przypadku przedsiębiorstwa do 4% całkowitego światowego obrotu z poprzedniego roku za naruszenie istotnych przepisów ochrony danych osobowych przewidzianych w Rozporządzeniu, a dwukrotnie mniejsze kary (10 mln EUR lub do 2% światowego obrotu) w sprawach mniejszej wagi.

Każdy przypadek GIODO będzie musiał rozpatrzyć indywidualnie biorąc pod uwagę: m.in.:

  • skalę naruszenia;
  • umyślność działania;
  • działania podjęte w celu zminimalizowania szkody poniesionej przez osoby,
    których dane dotyczą;
  • „recydywę” (czy to kolejna „wpadka”);
  • kategorie danych osobowych ;
  • stopień współpracy z GIODO.

Trzeba pamiętać, że „osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów Rozporządzenia ma prawo do uzyskania od administratora lub procesora odszkodowania za poniesioną szkodę” (art. 82).

Przedsiębiorcy, którzy wcześniej mieli większy apetyt na ryzyko zostaną zmuszeni do ponownej kalkulacji ryzyka. W praktyce oznacza to, że wysokie kary zmuszą organizacje do przykładania większej wagi do respektowania przepisów ochrony danych osobowych – a co za tym idzie, do zainwestowania w bezpieczeństwo i ochronę informacji. Organizacje będą musiały zastanowić się nad przeznaczeniem większych kwot w swoich budżetach na ochronę i bezpieczeństwo informacji.

Ułatwione składanie skarg do GIODO

Skargę można będzie złożyć do GIODO bezpłatnie. Co więcej, skargę będzie można złożyć do dowolnego organu nadzorczego w Unii, i wtedy będzie on brał udział w sprawie jako tzw. „zainteresowany organ nadzorczy

Więcej

Rozporządzenie określa, że GIODO (i każdy jego odpowiednik w innych państwach Unii) ma wykonywać „zadania na rzecz podmiotów danych i, jeżeli istnieje, inspektora ochrony danych w sposób wolny od opłat”, a opłaty mogą się pojawić tylko wtedy, gdy wnioski są „ewidentnie nieuzasadnione lub nadmierne”, ale uwaga – to na GIODO będzie spoczywać ciężar udowodnienia, że wnioski mają taki charakter.

Do tej pory złożenie skargi do GIODO wymagało wniesienia opłaty skarbowej w wysokości 10 zł.

Rozporządzenie ułatwi składanie skarg. Jako że większość kontroli GIODO stanowiło efekt postępowania skargowego można zakładać prawdopodobieństwo częstszych kontroli. Nadto, biuro GIODO zostanie zapewne rozbudowane, każde państwo członkowskie będzie musiało zapewnić by organ nadzorczy dysponował odpowiednimi zasobami ludzkimi.

Ta zmiana jest doskonałym dowodem na to, że zmiana może mieć różnych charakter,
w zależności od punktu widzenia. Dla przedsiębiorców zmiana jest umiarkowanie negatywna, ale dla osób, których dane będą przetwarzane – jest bardzo pozytywna.

Prywatność domyślnie i „od podstaw”

(privacy by design and by default)

Ochrona danych ma być wbudowywana na etapie projektowania („by design”) i ma być aktywna domyślnie („by default”) bez konieczności podejmowania działań przez osoby, których dane dotyczą.

Więcej

W preambule (78) czytamy, że „administrator powinien przyjąć wewnętrzne polityki i
wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych
w fazie projektowania oraz z zasadą domyślnej ochrony danych”. Co więcej „Zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy też brać pod uwagę w przetargach publicznych.” Wywiązywanie się z tych obowiązków można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji (określonego w art. 42 Rozporządzenia ). 

Co ciekawe, wcześniej mówiło się o koncepcie „privacy by design”, ale skoro prawo dotyczy ochrony danych osobowych, a prywatność to szerszy koncept, przemianowano go późnej na "Data protection by design and by default” – w polskiej wersji przetłumaczone jako Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych (art. 25).

Kwestia domyślności już w wielu innych obszarach funkcjonuje w praktyce, przykładowo producenci domowych routerów sieci bezprzewodowej już nie ustalają takich samych haseł dla każdego urządzenia – użytkownicy często podłączali takie urządzenie i korzystali
z domyślnych urządzeń. Ułatwiało to dostęp do sieci a nawet informacji osobom nieupoważnionym. Teraz przyszedł czas na dane osobowe.

Domyślną ochronę można łatwo zobrazować przykładem z serwisów społecznościowych. Każdy nowy post powinien być niewidoczny, użytkownik sam powinien po założeniu konta ustawić ich „widoczność” dla np. znajomych.

Co ta zmiana oznacza dla przedsiębiorców? Bez wątpienia ostrożniej należałoby projektować nowe produkty czy usługi. Bardzo ważnym elementem jest technologia komputerowa – programiści powinni być świadomi nowych regulacji. Za naruszenie przez administratora lub procesora obowiązku uwzględniania ochrony danych osobowych w fazie projektowania i ustanawiania mechanizmów ochrony domyślnej Rozporządzenie wprowadza administracyjną karę pieniężną w wysokości do 10 mln EUR, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Zmiana ta wydaje się więc istotna.

Inspektor Ochrony Danych zamiast ABI

Rozporządzenie zastępuję administratora bezpieczeństwa informacji określeniem inspektora ochrony danych.

Więcej

Inspektora danych należy wyznaczyć w przypadku gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii, o których mowa w art. 9 ust. 1, oraz danych o wyrokach skazujących za przestępstwa i o przestępstwach, o których mowa w art. 9a.

Należy zwrócić uwagę na występowanie „podmiotu przetwarzającego” – oznacza to,
że zleceniobiorcy (procesorzy) będą także w określonych przypadkach musieli wyznaczać inspektora ochrony danych.

Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy. Dane kontaktowe inspektora ochrony danych podaje się podczas zbierania danych osobowych.

Dokonując oceny pod kątem ochrony danych, administrator zasięga porady inspektora ochrony danych, jeżeli został on wyznaczony (…)

Rozporządzenie określa, że osoby, których dane się przetwarza, mogą kontaktować się
z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych oraz z korzystaniem z praw przysługujących im na mocy niniejszego rozporządzenia.

Inspektor ochrony podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Powołanie ABI dzisiaj jest w pełni dobrowolne, a wprowadzenie takiego obowiązku należy uznać za zmianę wyjątkowo niekorzystną dla organizacji.

Nowością jest obowiązek powołania IOD także przez procesora („podmiot przetwarzający”).

Grupa przedsiębiorstw może powołać jednego Inspektora Ochrony Danych.

Trzeba pamiętać, że tam, gdzie inspektor będzie powołany, osoby, których dane się przetwarza będą mogły się z nim bezpośrednio kontaktować. Jego dane będą więc musiały znaleźć się na formularzach zgody. Rozporządzenie nie wskazuje jakie dane kontaktowe inspektora należy podać ale wydaje się, iż podanie adresu mailowego bezpośrednio do inspektora będzie wystarczające.

Ponieważ Rozporządzenie używa w treści tego przepisu pojęć szerokich i niedookreślonych nie do końca jasne jest kiedy powołać IOD. Tytułem przykładu: od kiedy należy uznawać, że główna działalność polega na przetwarzaniu danych osobowych szczególnych kategorii? Czy przykładowo przetwarzanie danych osób zatrudnionych będzie można już uznać za operacje przetwarzania, które ze względu na swój charakter, zakres, cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą? W takim przypadku każdy podmiot zatrudniający pracowników będzie musiał powołać IOD.

Za naruszenie przez administratora obowiązku wyznaczenia IOD Rozporządzenie wprowadza karę w wysokości do 10 mln EUR, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Zmiana ta wydaje się więc istotna.

Na korzyść przemawia możliwość wyznaczenia przez grupę przedsiębiorstw jednego inspektora, pod warunkiem, że z każdej siedziby będzie można się z nim łatwo skontaktować. Inspektor może być pracownikiem lub wykonywać zadania na podstawie umowy o świadczenie usług, trzeba jednak zauważyć, że w każdym przypadku należy zapewnić mu „zasoby niezbędne do podtrzymania jego wiedzy fachowej”.

Inspektor ma być angażowany we wszystkie sprawy związane z ochroną danych osobowych, ma mieć odpowiednie zasoby do wykonywania pracy, raportować do najwyższego kierownictwa. Może wykonywać inne obowiązki, o ile nie powodują konfliktu interesów.

Dokonywanie oceny skutków przetwarzania

Art. 35 ust. 1 Rozporządzenia określa, że jeżeli dany rodzaj przetwarzania – zwłaszcza
z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Więcej

Oceny skutków należy zawsze dokonywać, gdy:

  • stosuje się profilowanie,
  • przetwarza się dane wrażliwe na dużą skalę,
  • monitoruje się na dużą skalę miejsca publiczne,
  • przetwarza się dane określone przez GIODO na mocy art. 35 ust. 4 jako „podlegające wymogowi dokonania oceny skutków pod kątem ochrony danych”.

Należy „konsultować” się z GIODO, jeśli przetwarzanie „niosłoby duże zagrożenie”.

Dokonanie oceny skutków wymagać będzie zaangażowania inspektora ochrony danych, jeśli został powołany. Jeśli nie, to mało prawdopodobne, aby przedsiębiorca bez zewnętrznej wiedzy eksperckiej sam dokonał takiej oceny, na którą ma składać się m.in.:

  • opis planowanych operacji przetwarzania i ich celów,
  • ocena proporcjonalności operacji przetwarzania w stosunku do celów,
  • ocena zagrożenia dla prawa i wolności osób,
  • ocenę środków mających zmniejszyć zagrożenia i mających chronić dane osobowe.

Co więcej, „w stosownym przypadku administrator zasięga opinii podmiotów danych lub ich przedstawicieli w sprawie zamierzonego przetwarzania”, zaś jeśli ocena skutków wskaże, że „przetwarzanie niosłoby duże zagrożenie, gdyby administrator nie przedsięwziął środków
w celu zminimalizowania tego zagrożenia, to przed przetworzeniem danych osobowych administrator konsultuje się z organem nadzorczym”. Oznacza to nie mniej, nie więcej,
że należy „na wszelki wypadek” w razie wątpliwości zapytać GIODO o opinię. I tak pewnie będzie najczęściej.

Za naruszenie przez administratora obowiązku dokonania oceny skutków przetwarzania danych Rozporządzenie wprowadza karę w wysokości do 10 mln EUR, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Nowe obowiązki i ograniczenia procesorów (zleceniobiorcy)

Ustawodawca w unijnym Rozporządzeniu wprowadził szereg nowych regulacji względem osoby procesora.

Więcej

Nie wolno powierzać dalej przetwarzania danych osobowych bez zgody administratora. Podmiot przetwarzający „nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W tym drugim przypadku podmiot przetwarzający powinien zawsze informować administratora
o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian”.

Podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu administratora.

Procesor w razie stwierdzenia, iż doszło do naruszenia ochrony danych osobowych, zgłasza przedmiotowe naruszenie administratorowi. (art. 33 ust. 2).

Umowa z podmiotem przetwarzającym już wcześniej musiała być zawarta na piśmie. Rozporządzenie dodaje też, że może zostać uregulowana „innym instrumentem prawnym ”.

Podmiot przetwarzający musi zgłaszać wszystkie naruszenia ochrony danych osobowych administratorowi.

Obowiązkiem podmiotu przetwarzającego będzie prowadzenie rejestru wszelkich kategorii czynności przetwarzania dokonywanych w imieniu administratora Procesor będzie również miał obowiązek udostępnić przedmiotowy rejestr na żądanie GIODO. No i ostatecznie podmiot przetwarzający ma obowiązek powołać inspektora ochrony danych osobowych, jeśli chce realizować zlecenia wymagające przetwarzania niektórych kategorii przetwarzania (np. przetwarzanie danych wrażliwych na dużą skalę).

O ile ogólnie zmiany mają wpływ negatywny na przedsiębiorców, to na plus należy uznać fakt dokładnego sprecyzowania obowiązków stron. Wcześniej samemu trzeba je było określać w umowie pomiędzy stronami. 

Rozporządzenie wskazuje, iż „jeżeli podmiot przetwarzający, wbrew niniejszemu rozporządzeniu określi cele i sposoby przetwarzania danych, uznaje się go za administratora w odniesieniu do tego przetwarzania”. Zatem jeśli dane powierzy się agentowi w celu oferowania ubezpieczeń, a on postanowi zmienić pierwotny cel
i wykorzystać te dane osobowe w celu oferowania innych produktów i usług stanie się on administratorem tych danych. Taki stan już wcześniej obowiązywał, ale nie był wprost opisany w przepisach, tak naprawdę wynikał on z interpretacji prawnej przepisów – warto podkreślić, Rozporządzenie kompleksowo traktuje ochronę danych osobowych, a przy tym jest napisane przystępnym językiem.

Współadministratorzy i grupy przedsiębiorstw

W Rozporządzeniu pojawiają się nowe definicje współadministratorów oraz grup przedsiębiorstw.

Więcej

„Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych, są oni współadministratorami. W drodze wspólnych uzgodnień
w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności
w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji” przy czym „osoba, której dane dotyczą może egzekwować przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów i przeciwko każdemu z nich”.

Grupa przedsiębiorstw oznacza „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane”.

Wcześniej współadministratorzy mieli te same prawa i obowiązki, a więc tak naprawdę każdy z nich był odrębnym administratorem. Rozporządzenie pozwala podzielić się prawami
i obowiązkami, ale osoby, których dane się przetwarza należy poinformować, kto i za co odpowiada – mówi o tym art. 26 ust. 2 : „zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą”.

Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, „o ile można będzie łatwo nawiązać́ z nim kontakt z każdej siedziby”.

Raportowanie naruszenia bezpieczeństwa danych do GIODO

Przez „naruszenie ochrony danych osobowych” rozumieć należy „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”;

Więcej

Art. 33 w całości poświęcony jest naruszeniom ochrony danych osobowych.

W sytuacji, w której naruszenie prawdopodobnie będzie skutkować ryzykiem naruszenia praw lub wolności osób fizycznych naruszenie ochrony danych osobowych zgłasza się do GIODO bez zbędnej zwłoki – ale nie później niż w ciągu 72 godzin (3 dni) do GIODO.

W ust. 4 omawianego przepisu ustanowiono obowiązek prowadzenia przez administratora danych osobowych dokumentacji w zakresie wszelkich naruszeń ochrony danych osobowych. Oznacza to, że w sytuacji, w której ADO nie ma obowiązku poinformowania GIODO o naruszeniu musi i tak odnotować je w swojej dokumentacji. 

W sytuacji, w której przedmiotowe naruszenie niesie wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator powinien również bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o takim naruszeniu - jasnym i prostym językiem (art. 34 ust.
1 i 2).

Należy jednak pamiętać, iż sposób, w jaki organ nadzorczy dowiedział się o naruszeniu,
w szczególności, czy i w jakim stopniu administrator lub podmiot przetwarzający zgłosili naruszenie będzie brane pod uwagę przez organ nadzorczy przy ustalaniu ewentualnej kary finansowej.

Raportowanie takich incydentów nie jest takie zupełnie nowe, przepisy prawa nakazują raportowanie incydentów przez operatorów telekomunikacyjnych.

W preambule (87) czytamy, że „należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych”. Nie bardzo wiadomo, co należy przez to rozumieć, być może tego rodzaju deklaracje będą uzupełniane przez interpretacje GIODO. Możliwe jednak, że będzie konieczne wdrażanie rozwiązań pozwalających monitorować stan bezpieczeństwa, takich jak systemy klasy SIEM.

Wracając jednak do tego, jak biznes ma się przygotować – konieczne będzie przygotowanie planów awaryjnych, aby sprawnie zareagować w przypadku incydentu. Większe organizacje, które już dzisiaj doceniają konieczność zarządzania ciągłością działania będą mieć zadanie ułatwione.

Trzeba pamiętać, że informowanie o naruszeniu bezpieczeństwa, szczególnie wszystkich klientów, może być bardzo kosztowne, zarówno operacyjnie jak i wizerunkowo, dlatego trzeba będzie dołożyć starań aby zmniejszyć ryzyko np. wycieków danych – a za tym będzie szła konieczność wdrożenia rozmaitych zabezpieczeń technicznych i organizacyjnych. Można śmiało powiedzieć, iż organizacje będą musiały uwzględnić większy budżet na wdrożenie mechanizmów zabezpieczenia danych osobowych .

Pamiętajmy, że jeśli zostanie wykazane, iż do naruszenia doszło z rażącego zaniedbania administratora, czy podmiotu przetwarzającego, to można liczyć się z ryzykiem nałożenia administracyjnych kar pieniężnych (art. 83), które w nowym rozporządzeniu są bardzo wysokie.

Szerszy katalog danych wrażliwych

Tzw. dane wrażliwe zostały w Rozporządzeniu nazwane mianem „danych szczególnych kategorii”. Katalog danych tzw. wrażliwych poszerza się o dane biometryczne. Nadto rozporządzenie do tego katalogu zaliczyło dane genetyczne.

Więcej

W polskiej ustawie o ochronie danych osobowych do katalogu danych wrażliwych ustawodawca zaliczył dane o kodzie genetycznym. Określenie to było jednak niefortunne na co zwróciła uwagę doktryna. Sam kod genetyczny jest bowiem uniwersalny dla całego świata ożywionego. W genetyce uznaje się, że kod genetyczny to nic innego jak odnalezienie sposobu odczytania informacji genetycznej. Stąd postulowano o wprowadzenie szerszego sformułowania - „dane genetyczne” na co ustawodawca przystał.

Zgodnie z treścią art. 9 ust. 1 zabrania się przetwarzania danych osobowych ujawniających:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych.

oraz przetwarzania:

  • danych genetycznych,
  • danych biometrycznych

w celu jednoznacznego zidentyfikowania osoby; lub

  • danych dotyczących zdrowia lub
  • seksualności i orientacji seksualnej.

Dane o skazaniach, w tym dane o niekaralności można przetwarzać wyłącznie pod nadzoremArt. 10 mówi o tym, że: „przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych”.

Zupełną nowością jest włączenie danych biometrycznych do danych wrażliwych. Wcześniej to były dane zwykłe, a wszelkie ograniczenia miały charakter indywidualnych decyzji GIODO. Słowo o tym, jakie to dane.

Biometria jest dziedziną nauki, zajmującą się „pomiarami istot żywych” w celu określenia ich indywidualnych cech. Biometria bada wszystko, co pozwala na identyfikowanie indywidualnych cech wśród których są m.in.:

  • owal twarzy, rozkład punktów charakterystycznych (oczy, usta) lub temperatur na twarzy,
  • geometria (kształt) ucha,
  • układ naczyń krwionośnych na dłoni lub przegubie ręki,
  • kształt linii zgięcia wnętrza dłoni,

Biometria interesuje się także cechami behawioralnymi, związanymi z zachowaniem, takimi jak np.:

  • sposób chodzenia,
  • podpis odręczny,
  • sposób pisania na klawiaturze,
  • cechy charakterystyczne ruchu ust i poruszania gałki ocznej.

Wykorzystywana głównie w takich dziedzinach jak: weryfikacja tożsamości, autoryzacja dostępu do systemów informatycznych, czy identyfikacja – nowe rozporządzenie utrudni korzystanie czy wdrażanie tego rodzaju systemów. 

Przetwarzanie informacji o niekaralności już dzisiaj było mocno ograniczone, zatem dalsze ograniczenia w tej sferze nic specjalnie nie zmieniają.

Profilowanie

Przez „profilowanie” rozumie się „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

Więcej

Profilowanie jest procesem automatycznym, wynika to z definicji, potwierdzonej dalej w art. 22 : „Osoba, której dane dotyczą ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na niego wpływa”.

Należy jednak zwrócić uwagę, że ten zapis nie ma zastosowania, jeśli decyzja jest „jest niezbędna do zawarcia lub wykonania umowy między podmiotem danych a administratorem” lub „opiera się na wyraźnej zgodzie osoby”.

Przy automatycznym przetwarzaniu „administrator wdraża właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania danej decyzji.”

Do profilowania co do zasady nie wolno używać danych wrażliwych chyba, że osoba, której dane dotyczą:

  • wyraziła na to zgodę,
  • jest to podyktowane ważnym interesem publicznym.

Pojęcie automatycznego przetwarzania danych znane jest w obecnie obowiązującej Ustawie o ochronie danych osobowych. Rozporządzenie uszczegółowiło ten proces i warunki w jakich może do niego dochodzić. Jeżeli profilowanie odbywa się w celu marketingu bezpośredniego (który do tej pory stanowił w naszym prawie tzw. usprawiedliwiony prawnie cel przetwarzania, zaś w rozporządzeniu jest teraz mowa o tzw. celach wynikających z uzasadnionych interesów administratora danych) – można zgłosić sprzeciw w związku z takim przetwarzaniem. Niekorzystny wpływ tej zmiany łagodzi możliwość korzystania z profilowania o ile jest to niezbędne do zawarcia umowy – tak będzie zapewne w przypadku np. ubezpieczeń.

O profilowaniu należy informować na etapie zbierania danych osobowych, a także na wniosek osoby – fakt ten spowoduje konieczność modyfikacji istniejących formularzy i pism dotyczących zbierania i przetwarzania danych osobowych.

Rozszerzony obowiązek informacyjny wobec osób

Obowiązek informacyjny podczas zbierania danych zostanie znacznie poszerzony
o informowanie o:

Więcej

  • inspektorze ochrony danych;
  • nazwie i danych kontaktowych przedstawiciela jeżeli istnieje;
  • podstawę prawną przetwarzania;
  • prawnie uzasadniony interes administratora jeżeli na tej podstawie odbywa się przetwarzanie;
  • informacje o zamiarze przekazywania danych do państwa trzeciego;
  • okresie przez, który dane osobowe będą przechowywane bądź kryteria ustalania tego okresu;
  • profilowaniu
  • o prawie wniesienia skargi do organu nadzorczego;
  • w przypadku istnienia obowiązku podania danych osobowych: wskazanie ewentualnych konsekwencji niepodania danych;
  • prawach osoby, której dane dotyczą tj prawie do :
    • usunięcia danych;
    • ograniczenia przetwarzania
    • prawie przenoszenia danych
    • prawie do cofnięcia zgody (gdy osoba, której dane dotyczą wyraża zgodę na przetwarzanie danych).

Zmiana bez wątpienia kosztowna dla przedsiębiorców, bo wymagać będzie wymiany wszelkich formularzy dotyczących zgody na przetwarzanie danych osobowych, zarówno papierowych jak i elektronicznych. Obecnie istniejące klauzule zgody, formularze czy check boxy poszerzą swoją obojętność niemal dwukrotnie. Dla organizacji może to oznaczać większe trudności przy pozyskiwaniu zgód na przetwarzanie danych osobowych. Już teraz przedsiębiorcy często wskazywali, iż osoby fizyczne narzekają na obszerność klauzul zgód na przetwarzanie danych osobowych.

Przetwarzanie danych dzieci

Zgodę na przetwarzanie danych osobowych przy świadczeniu „usług społeczeństwa informacyjnego” może wyrazić dziecko, które ukończyło 16 lat, w przeciwnym wypadku zgodę musi wyrazić w imieniu dziecka lub zaaprobować osoba sprawująca władzę rodzicielską lub opiekę.

Więcej

Konieczne będą działania, aby zweryfikować „czy opiekun prawny dziecka udzielił zgody lub ją zaaprobował”.

Nowe przepisy podkreślają w preambule:

  • (38) Zgoda osoby sprawującej odpowiedzialność rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku.
  • (58) Zważywszy, że dzieci zasługują̨ na szczególną ochronę, wszelkie informacje
    i komunikaty – gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło go bez trudu zrozumieć.

Z jednej strony dotychczasowa niejasność mogła działać na korzyść przedsiębiorców.
W przypadku „usług społeczeństwa informacyjnego” (takich jak Facebook, poczta elektroniczna czy gry w sieci) przedsiębiorcy co prawda stawiali pewne wymogi wiekowe (np. w regulaminie), ale nie wydaje się, aby zbytnio przykładali się do ich sprawdzania.

A z drugiej strony po wprowadzeniu nowych przepisów „uwzględniając dostępną technologię” trzeba będzie podejmować racjonalne działania aby zweryfikować wiek użytkownika – w efekcie częściej będzie dochodzić do zbierania daty urodzenia.
W przypadku dziecka będzie trzeba zbierać informację o rodzicu lub opiekunie prawnym – tym bardziej, administrator powinien wykazać fakt, że zebrane zgody są prawidłowe.

W tym zakresie zmiana jest korzystna dla osób (a przede wszystkim dzieci), a od przedsiębiorców wymaga przyjrzenia się dotychczasowemu podejściu. Na marginesie warto dodać, iż państwa członkowskie, zgodnie z wytyczną Rozporządzenia, będą miały prawo przewidzieć niższą granicę wiekową (co najmniej 13 lat) przed ukończeniem, której będzie wymagana zgoda. Na chwile obecną nie wiadomo jakie są plany w tym zakresie naszego ustawodawcy.

Raport 2017

Zbadaliśmy stan wiedzy Polaków na temat ochrony danych osobowych sprawdź wyniki. więcej

Potencjalnie nieBezpieczni

Kampania edukacyjna, która ma na celu zwiększyć wiedzę społeczeństwa na temat bezpieczeństwa informacji i ochrony danych osobowych. Dowiedz się... więcej