Zgodnie z regulacjami przejściowymi nowe unijne rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (GPDR) zacznie obowiązywać w maju 2018 roku. Przepisy te nie wymagają implementacji, znajdą zatem bezpośrednie zastosowanie na gruncie krajowym. Nie możemy jednak wykluczyć, iż ustawodawca będzie chciał stworzyć dodatkowe regulacje prawa polskiego w tym zakresie. Choć na przygotowanie się do zmian pozostało jeszcze trochę czasu, to uchylenie aktualnie obowiązujących przepisów i wprowadzenie nowych budzi pewne kontrowersje i rodzi pytania prawne w szczególności w grupie administratorów danych osobowych.
Zgoda na przetwarzanie danych osobowych
W kontekście GDPR pojawia się pytanie o ważność i dopuszczalność zgody wyrażonej na przetwarzanie danych osobowych zgodnie z aktualnie obowiązującą ustawą (ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych). Zgodnie z punktem 171 preambuły GDPR: Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Z powyższego wynika, iż otrzymane – przed wejściem w życie rozporządzenia – zgody na przetwarzanie danych będą nadal obowiązywać. Stwierdzić należy jednak, iż zwrot jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia oznacza w praktyce konieczność każdorazowej analizy wytycznych GDPR co do legalności przetwarzania danych osobowych. To na administratorze spoczywa obowiązek dokonania oceny posiadanej zgody, zarówno w odniesieniu do sposobu jej wyrażenia przez podmiot wyrażający zgodę, jak i jej treść. Jeżeli w wyniku takiej oceny okaże się, iż obecna zgoda nie spełnia wymogów GDPR, zaistnieje konieczność uzyskania nowej zgody.
Wskazujemy w tym miejscu, iż celem uniknięcia wątpliwości co do ważności posiadanej już zgody możemy ją w każdej chwili zastąpić nową zgodą tj. zgodną z postanowieniami GPDR. Jeżeli natomiast będziemy po raz pierwszy uzyskiwać zgodę nawet przed dniem 25 maja 2018 roku to warto już teraz posiłkować się przepisami rozporządzenia tak ażeby nie musieć zgody później zmieniać. Im wcześniej przedsiębiorstwa rozpoczną wdrażanie nowych przepisów, tym większa pewność, że zapewnią bezpieczeństwo danych swoich kontrahentów.
Obowiązek usunięcia danych w przypadku zgłoszenia żądania przez uprawnionego
(Right to be Forgotten)
Jeżeli np. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane to osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe. Jest to tzw. prawo do bycia zapomnianym. Termin ten odnosi się do prawa podmiotu, którego dotyczą przetwarzane dane, do żądania ich trwałego usunięcia, celem uniemożliwienia zapoznania się z tymi informacjami osobom trzecim.
Privacy impast assesment
Sposób przetwarzania danych, w szczególności przy użyciu nowych technologii, może spowodować ryzyko dla praw i wolności indywidualnie oznaczonych osób. GDPR nakłada na administratorów obowiązek samooceny pod kątem oceny skutków wynikających z przetwarzania dla ochrony danych osobowych. Chodzi tutaj o dokonanie oceny skutków konkretnego przedsięwzięcia dla prywatności. Administrator ma oceniać jakie dane przetwarza i jakie zagrożenie może mieć miejsce przy przetwarzaniu danych. To wszystko ma pomóc w ustaleniu, jakie środki należy podjąć w celu ochrony danych w ramach ich przetwarzania.
Rozporządzenie zawiera katalog operacji przetwarzania, które uznano za związane ze szczególnym ryzykiem, między innymi wskazuje się tu na:
- profilowanie,
- przetwarzanie danych wrażliwych,
- przetwarzanie danych osobowych na potrzeby ochrony zdrowia,
Ponadto na administratorze będzie spoczywać obowiązek zgłaszania organowi nadzoru (w Polsce jest to GIODO) zaistnienia zdarzenia skutkującego naruszeniem ochrony danych osobowych.
Kary
Mogą one wynieść dla naruszających nowe przepisy nawet do 4% rocznego światowego obrotu lub do 20 mln euro. Lżejsze przewinienia karane będą grzywną w kwocie do 10 000 000 EUR, albo 2% całkowitego światowego obrotu podmiotu. Zastosowanie znajdzie surowsza z kar. Mówimy tutaj o karach administracyjnych, zatem organ ustali jedynie fakt zaistnienia danego naruszenia przepisów o ochronie danych osobowych, poza przedmiotem analizy pozostanie ewentualny stopień zawinienia. Ponadto GDPR reguluje prawo do dochodzenia odszkodowania od administratora za szkodę majątkową lub niemajątkową w sytuacji stwierdzenia naruszenia przepisów rozporządzenia.
Nie sposób mówić o rewolucji aktualnie obowiązujących przepisów, natomiast z całą pewnością skala wyzwań, przed jaką stoi sektor nowych technologii, jest ustawodawcy europejskiemu dobrze znana, co widać w nowych przepisach rozporządzenia. Omawiane przepisy mają znacznie podnieść bezpieczeństwo przetwarzanych danych osobowych, w praktyce skorelowane to będzie z rozbudowanymi obowiązkami administratorów danych osobowych, którzy w przypadku stwierdzenia naruszeń w zakresie przetwarzania danych osobowych lub wykrycia zaniedbań/naruszeń będą mogli zostać pociągnięci do dość surowej odpowiedzialności. GDPR znacząco wpłynie na zakres obowiązków podmiotów przetwarzających dane osobowe i wymusi liczne zmiany w polityce ich ochrony. W porównaniu z obecnie obowiązującą ustawą, nowe unijne prawo wymaga znacznie większej odpowiedzialności i świadomości przy przetwarzaniu danych osobowych.
Autor: Paulina Śmigielska