W dniu 14 kwietnia 2016 roku Parlament Europejski przyjął pakiet legislacyjny w zakresie ochrony danych, którego celem jest aktualizacja i unowocześnienie przepisów w tej dziedzinie. Jego trzon stanowi ogólne rozporządzenie o ochronie danych. Nowe rozwiązania prawne przynoszą rewolucyjną zmianę w europejskim systemie ochrony danych osobowych. Ich celem jest przede wszystkim zwiększenie poziomu ochrony osób fizycznych, których dane osobowe są przetwarzane.
Jednym z podstawowych założeń podczas prac nad nowym prawem ochrony danych było podwyższenie standardu ochrony danych. Wyrazem tej tendencji jest wprowadzenie do rozporządzenia szeregu instrumentów prawnych służących zapewnieniu osobom, których dane są przetwarzane zwiększenie kontroli nad swoimi danymi osobowymi. Tytułem przykładu można wskazać na następujące rozwiązania:
- Bardziej szczegółowe przepisy dotyczące przetwarzania danych osobowych przez administratorów danych (osoby odpowiedzialne za przetwarzanie danych), w tym dotyczące zasad uzyskiwania zgody zainteresowanego. Przepisy rozporządzenia stanowią, że aby dane użytkownika mogły być przetwarzane, administrator musi uzyskać na to wyraźną zgodę zainteresowanego, np. poprzez aktywne zaznaczenie na stronie internetowej pola z potwierdzeniem wyrażenia zgody na przetwarzanie danych. Nowe przepisy ułatwiają również użytkownikowi wycofanie zgody na przetwarzanie danych: administrator winien zapewnić, aby było równie proste, jak wyrażenie takiej zgody.
- Łatwiejszy dostęp do własnych danych osobowych i informacji na temat ich przetwarzania. Rozporządzenie gwarantuje pełniejsze informacje na temat tego, co się dzieje z danymi osobowymi, gdy zostają udostępnione. Dotyczy to m.in. informowania zainteresowanych o polityce ochrony prywatności w sposób jasny i łatwo zrozumiały (w zwięzłej, przejrzystej i łatwo dostępnej formie, z użyciem prostego i zrozumiałego języka). Jeśli dane mają być wykorzystywane w procesie automatycznego podejmowania decyzji, w tym profilowania, podmioty danych powinny być także o tym wyraźnie informowane.
- „Prawo do bycia zapomnianym”. Rozporządzenie uwzględnia koncepcję tzw. „prawa do bycia zapomnianym”, czyli prawa żądania od administratora danych definitywnego usunięcia danych osobowych zainteresowanej osoby, np. danych gromadzonych lub publikowanych na portalach społecznościowych. Prawo to nie ma jednak charakteru bezwzględnego – żądanie usunięcia danych musi być uzasadnione zaistnieniem choćby jednego z wymienionych w rozporządzeniu warunków, takich jak np.:
- dane osobowe nie są już niezbędne do celów, dla których zostały zebrane lub w inny sposób przetworzone;
- podmiot danych cofnął zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej do ich przetwarzania;
- podmiot danych wniósł sprzeciw wobec przetwarzania danych osobowych w trybie przewidzianym w rozporządzeniu;
- dane zostały przetworzone niezgodnie z prawem, etc.
- Ograniczenie profilowania. Zgodnie z przepisami rozporządzenia podmioty danych mają prawo nie podlegać decyzjom opartym w pełni na zautomatyzowanym procesie przetwarzania danych, w tym na profilowaniu, które wywoływać będzie określone konsekwencje prawne lub w inny istotny sposób oddziaływać na ich sytuację prawną. Profilowanie jest dopuszczalne, o ile administrator danych wykaże, że ma podstawę prawną do takiego działania (może to być niezbędne do realizacji umowy, wynikać wprost z przepisów prawa lub być oparte na zgodzie osoby, której dane dotyczą). Osobom zainteresowanym przysługuje prawo sprzeciwu wobec wykorzystywania ich danych do profilowania, w szczególności gdy związane jest ono z marketingiem bezpośrednim. Przed wyrażeniem zgody na ich przetwarzanie lub przed zawarciem umowy, której realizacja wymaga profilowania, osoba zainteresowana winna otrzymać jasne informacje o tym, co będzie się działo z jej danymi oraz jakie mogą być konsekwencje takiego procesu.
- Prawo do przenoszenia danych. Przepisy rozporządzenia ułatwiają przenoszenie danych od jednego usługodawcy do innego (np. z jednej sieci społecznościowej do innej). W przypadku danych przetwarzanych elektronicznie, każdy zainteresowany będzie miał prawo zażądać od administratora danych przekazania swoich danych, zapisanych w powszechnie wykorzystywanym formacie, w celu przeniesienia ich do innego usługodawcy. Celem takiego rozwiązania jest również zwiększenie konkurencji pomiędzy usługodawcami.
- Ograniczenia w przetwarzaniu danych osobowych dzieci. W przypadku usług oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka na podstawie jego zgody jedynie, gdy ukończyło ono 16 lat. Jeżeli dziecko nie ukończyło 16 lat, konieczna jest zgoda rodziców lub opiekunów prawnych. Poszczególne państwa członkowskie mogą obniżyć wskazaną wyżej granicę wiekową do 13 lat. Rozporządzenie nakłada na administratorów danych obowiązek podejmowania rozsądnych starań (uwzględniając dostępną technologię), by zweryfikować, czy rodzic lub opiekun wyraził zgodę na przetwarzanie danych dziecka.
- Informowanie o zagrożeniach. Przedsiębiorcy i instytucje publiczne mają obowiązek informowania organy nadzorujące ochronę danych o poważnych incydentach niosących ryzyko dla ochrony danych, takich jak np. jak atak hakerski.
- Prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych odnoszących się do interesu publicznego lub do uzasadnionego interesu administratora danych. Prawo to obejmuje m.in. sprzeciw wobec wykorzystywania danych osobowych do celów „profilowania”.
Bardziej skuteczne narzędzia egzekwowania prawa ochrony danych
Rozporządzenie zawiera szereg środków mających na celu zwiększenie odpowiedzialności i rozliczalności administratorów danych, by zapewnić pełną zgodność z nowymi przepisami o ochronie danych. Administratorzy danych muszą wdrożyć pewne środki bezpieczeństwa, w tym dostosować się do wymogu powiadamiania w określonych przypadkach o naruszeniu ochrony danych osobowych.
Rozporządzenie wprowadza zasady ochrony danych zwane privacy by design oraz privacy by default. Administratorzy danych już na etapie planowania swoich działań dotyczących przetwarzania danych (tworzenia odpowiedniej technologii czy procedur), zobowiązani są wybierać takie rozwiązania i środki techniczne, które najlepiej służą ochronie prywatności i danych osobowych, oraz wskazywać jako domyślne takie ustawienia, które temu sprzyjają. Przepisy rozporządzenia wymuszają na administratorach danych uwzględnienie zasad ochrony prywatności w każdym projekcie przewidującym przetwarzanie danych osobowych w taki sposób, by od początku jego realizacji ochrona prywatności była jego immanentną częścią składową. W praktyce oznacza to przykładowo, że ustawienia aplikacji bądź systemów informatycznych służących przetwarzaniu danych winny domyślnie przetwarzać minimalną ilość informacji o użytkowniku. Zwiększenie zakresu udostępnianych danych powinno się dokonywać wyłącznie poprzez zmianę przez samego użytkownika domyślnych ustawień. Przed wejściem w życie rozporządzenia zasady te stanowiły jedynie dobrą praktykę. Obecnie będą wiążącym standardem działania przedsiębiorców.
Podmioty publiczne, jak również przedsiębiorstwa, których główna działalność polega na szczególnego rodzaju operacjach przetwarzania danych (w tym operacjach, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę), mają obowiązek wyznaczyć inspektora ochrony danych. Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych. Rolą inspektora jest czuwanie na bieżąco nad prawidłowością procesu przetwarzania danych.
W razie zaistnienia naruszenia przepisów o ochronie danych, osoby, których dotyczą dane, oraz – pod pewnymi warunkami – organizacje ochrony danych, mogą wnieść skargę do organu nadzorczego bądź skierować sprawę na drogę sądową. Administratorzy danych mogą zostać ukarani grzywną do wysokości 20 mln EUR lub 4% ich całkowitego rocznego obrotu, co w wypadku globalnych potentatów może wyrażać się kwotach miliardów euro. Dla konsumentów przewidziano uproszczony tryb składania skarg w razie naruszenia ich prywatności. Będą oni mogli kierować takie skargi do organu w kraju swojego miejsca zamieszkania, nawet jeśli do złamania prawa doszło w innym państwie członkowskim (tzw. zasada jednego okienka – „one stop shop”).
Warunki przekazywania danych osobowych poza UE
Rozporządzenie reguluje również kwestię przekazywania danych osobowych do państw trzecich oraz organizacji międzynarodowych. Do przekazania może dojść wyłącznie gdy spełnione zostaną warunki ku temu, a w szczególności o ile Komisja podjęła decyzję potwierdzającą, że państwo trzecie, do którego ma nastąpić przekazanie danych, zapewnia odpowiedni poziom ochrony. Decyzje stwierdzające odpowiedni poziom ochrony danych będą podlegały przeglądowi co najmniej raz na 4 lata.
Wejście w życie rozporządzenia
Rozporządzenie weszło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, czyli z dniem 25 maja 2016 roku, jednak będzie miało zastosowanie od dnia 25 maja 2018 roku. Dwuletni okres vacatio legis ma służyć przygotowaniu się przede wszystkim państw członkowskich, ale także organów ochrony danych osobowych i przedsiębiorców przetwarzających dane. Bardzo istotna jest ocena własnej sytuacji, rozpoznanie tego, jakie dane są przetwarzane, określenie celu tego przetwarzania oraz ocena ryzyka związanego z wyciekiem danych. Niewątpliwie rozporządzenie zwiększa zakres odpowiedzialności administratora danych za bezpieczeństwo danych osobowych, stąd w interesie samego przedsiębiorcy leży odpowiednie przygotowanie się do stosowania przepisów rozporządzenia.
