GDPR ante portas

e-ochronadanych.pl // General Data Protection Regulation
GDPR ante portas

Nie słychać złowieszczego marsza ani płaczu potępionych. Na horyzoncie nie widać złowrogich chorągwi. Ziemia się nie trzęsie. Nie widać tłumów potępionych zrzucanych ku ogniom piekielnym. A jednak nadchodzi. Unijne ogólne rozporządzenie o ochronie danych osobowych, zwane GDPR – General Data Protection Regulation.

Europejska reforma prawa ochrony danych osobowych powoli staje się faktem. Ogólne założenia projektu opisaliśmy już wcześniej, gdyż prace nad projektem zmiany prawa trwają już od 2012 roku. W ostatnich dniach doszło do ważnego wydarzenia – 15 grudnia 2015 roku osiągnięto kompromis w ramach tzw. trilogue – nieformalnych negocjacjach trójstronnych między Komisją, Radą a Parlamentem. W ramach tych negocjacji został ustalony tekst rozporządzenia, który teraz, zgodnie z procedurą uchwalania prawa unijnego, będzie przedmiotem oficjalnych głosowań przez organy unijne.

Według niektórych tak będzie wyglądała Unia po wprowadzeniu nowego prawa ochrony danych osobowych. „Das Jüngste Gericht (Sąd Ostateczny)” autorstwa Hans Memling (około 1433–1494). Licencja Domena publiczna na podstawie Wikimedia Commons

Wynegocjowany tekst rozporządzenia został udostępniony publicznie. Raison d’ être nieformalnych negocjacji trójstronnych jest skrócenie czasu trwania oficjalnej procedury ustawodawczej poprzez uchwalenie takiego tekstu aktu prawnego, który będzie mógł potem zostać sprawnie przyjęty przez Parlament i Radę. Wydaje się więc, że ogłoszony tekst rozporządzenia jest już tekstem ostatecznym, który wkrótce zostanie poddany pod głosowanie i szybko przyjęty. Spodziewamy się głosowania w Parlamencie jeszcze w styczniu.

JAKIE ZMIANY PRZYNIESIE OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH?

Bazując na ogłoszonym tekście rozporządzenia, publikujemy nasze pierwsze obserwacje dotyczące zmian, jakie niesie rozporządzenie. Niektóre zmiany wynikają wprost z wykładni literalnej tekstu rozporządzenia. Część przepisów nie daje jasnej odpowiedzi na wątpliwości pojawiające się na gruncie obecnego prawa, a jedynie pozwala czerpać domysły lub wskazuje kierunek interpretacji. Pewnym ułatwieniem przy interpretacji prawa unijnego są niespotykane w ustawodawstwie polskim motywy (ang. recitals) – umieszczone w preambule wyjaśnienia norm zawartych w akcie prawnym, napisane zwykle jasnym, nieoficjalnym językiem.

Dane objęte zakresem rozporządzenia

Definicja danych osobowych, zawarta w art. 4 GDPR, nie różni się wiele od obecnie obowiązującej w prawie polskim. W obu aktach prawnych dane osobowe to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Różnica pojawia się w wyjaśnieniu pojęcia „osoby możliwej do zidentyfikowania”. Nowe przepisy w szczególności przewidują, że taką osobą jest ktoś, kto może być zidentyfikowany pośrednio lub bezpośrednio poprzez odwołanie do „identyfikatora sieciowego” (online identifier). Wydaje się, że dotyczy to w szczególności adresów IP oraz identyfikatorów zamieszczonych w plikach cookie.

Dla kwestii, czy adres IP to dana osobowa, ważny będzie oczekiwany w 2016 roku wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-582/14 Breyer – odpowiedź na pytanie prejudycjalne, zadane przez niemiecki sąd, dotyczące tego, czy przechowywanie adresów IP w logach dostawcy strony internetowej jest przetwarzaniem danych osobowych.

Uzasadniony interes administratora danych – organy administracji

Przesłanka uzasadnionego interesu administratora danych, w obecnie obowiązującej polskiej ustawie zwana „prawnie usprawiedliwiony interes administratora danych”, znajduje się jako przesłanka przetwarzania danych osobowych również w omawianym tekście rozporządzenia. Art. 6(1)(f) GDPR wyłącza jednak stosowanie tej przesłanki w stosunku do organów administracji publicznej.

Przetwarzanie danych wrażliwych

UODO – w przypadku przetwarzania na podstawie zgody osoby, której dane dotyczą, zgoda musi być na piśmie [art. 27 UODO]

GDPR – w przypadku przetwarzania na podstawie zgody osoby, której dane dotyczą – nie ma obowiązku pisemnej zgody. Dodatkowo, zakres danych wrażliwych został poszerzony o dane biometryczne. [art. 9(2)(a) GDPR]

Obowiązek informacyjny – dane DPO (Data Protection Officer)

UODO – nie ma obowiązku podania danych ABI (administratora bezpieczeństwa informacji – odpowiednik DPO w UODO) [art. 24-25 UODO]

GDPR – administrator danych osobowych ma obowiązek podania danych kontaktowych DPO [art. 14(1)(a) GDPR]

Obowiązek informacyjny – podstawy przetwarzania

UODO – Brak obowiązku wskazania podstawy przetwarzania danych [art. 24-25 UODO]

GDPR – Obowiązek wskazania podstawy przetwarzania danych osobowych. Jeżeli podstawą jest usprawiedliwiony interes administratora danych, należy wskazać ten interes [art. 14(1)(b) do (c) GDPR]

Obowiązek informacyjny – okres retencji danych

UODO – Brak obowiązku wskazania okresu retencji danych [art. 24-25 UODO]

GDPR – Obowiązek dokładnego wskazania, przez jaki czas dane będą przechowywane lub, jeżeli to nie jest możliwe, obowiązek wskazania kryteriów jakie będą brane pod uwagę przy ustalaniu tego okresu [art. 14(1a)(a) GDPR]

Więcej niż jeden administrator danych

UODO – Dotychczas, na gruncie interpretacji UODO, nie była przez GIODO dopuszczana możliwość, aby istniał więcej niż jeden administrator określonego zbioru danych [art. 27 UODO]

GDPR – GDPR wprost przewiduje możliwość istnienia joint controllers, czyli „wspólnych administratorów danych” lub „połączonych administratorów danych” (swoją drogą, ciekawe jak ten zwrot zostanie przetłumaczony w oficjalnej polskiej wersji rozporządzenia) [art. 24 GDPR]

Powierzenie przetwarzania danych osobowych

UODO – Powierzenie przetwarzania danych uregulowane bardzo ogólnie [art. 31 UODO]

GDPR – Powierzenie przetwarzania danych uregulowane niezwykle szczegółowo, dodano nowe wymogi, jakie powinna spełniać umowa powierzenia. [art. 26 GDPR]

Dalsze powierzenie przetwarzania danych osobowych

UODO – W UODO uregulowano powierzenie danych osobowych (art. 31 UODO), lecz ani słowa nie napisano o dalszym powierzeniu danych osobowych.

GDPR – Wprost uregulowano dalsze powierzenie danych osobowych. Z nowych postanowień wynika między innymi, że procesor, który chce dalej powierzyć przetwarzanie danych osobowych, będzie potrzebował na to zgodę administratora danych osobowych. W GDPR znalazły się w sumie ponad 3 strony przepisów dotyczących tylko dalszego powierzenia przetwarzania danych. [art.26(1a) GDPR]

Zgłaszanie naruszeń związanych z ochroną danych osobowych

UODO – Brak obowiązku zgłaszania naruszeń i uchybień związanych z ochroną danych osobowych

GDPR – Przewidziany obowiązek zgłaszania uchybień w ochronie danych osobowych (personal data breach) w ciągu 72 godzin od odkrycia tego przez administratora danych. Uchybienia będą zgłaszane do organu zajmującego się ochroną danych, czyli w Polsce do GIODO. Z obowiązku wyłączone będą uchybienia, które nie powodują ryzyka dla praw i wolności osób, których dane są przetwarzane. [art. 31 GDPR]

Ocena oddziaływania – data protection impact assessment, prior consultation

Sekcja 3 projektu rozporządzenia wprowadza instrumenty nieznane dotąd w polskim prawie ochrony danych osobowych – ocenę oddziaływania na ochronę danych (data protection impact assessment) oraz uprzednie konsultacje (prior consultation). Nie są to jednak instrumenty nowe w prawie europejskim – oceny oddziaływania są przewidziane przez niektóre obowiązujące obecnie ustawy krajowe, a uprzednie konsultacje, pod nazwą prior check, występują w rozporządzeniu o ochronie danych obowiązującym organy Unii Europejskiej (Rozporządzenie 45/2001).

Zgodnie z art. 33 GDPR przetwarzanie danych, w szczególności przy użyciu nowych technologii, może spowodować wysokie ryzyko dla praw i wolności jednostek, administrator danych przed przystąpieniem do przetwarzania powinien dokonać oceny oddziaływania takiego przetwarzania na ochronę danych osobowych. Artykuł 33 zawiera szczegółowe postanowienia dotyczące takiej oceny, m.in. co powinno się w niej znaleźć oraz przykłady przetwarzania, w których ocena będzie niezbędna.

W sytuacji, w której ocena oddziaływania wykaże, że zachodzi wysokie ryzyko dla praw i wolności jednostek, administrator będzie zobowiązany podjąć uprzednie konsultacje z organem ochrony danych osobowych. Artykuł 34 GDPR przewiduje, że w efekcie takich uprzednich konsultacji organ udzieli administratorowi danych pisemnych wskazówek dotyczących przetwarzania.

Data Protection Officer

Data Protection Officer, czyli nasz polski Administrator Bezpieczeństwa Informacji, przyjął się w Europie do tego stopnia, że w GDPR przewidziano obowiązek powołania takiej osoby. Obowiązek nie dotyczy wszystkich, a jedynie trzech kategorii podmiotów:

– podmiotów publicznych

– podmiotów, których główna aktywność to przetwarzanie danych osobowych polegające na regularnym i systematycznym monitorowaniu osób na dużą skalę (processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale)

– podmiotów, których główna aktywność to przetwarzanie danych wrażliwych w rozumieniu art. 9 GDPR oraz danych dotyczących skazań i przestępstw.

Obowiązek powołania DPO/ABI nie dotyczy więc większości przedsiębiorstw działających w obrocie gospodarczym. Nie mają one obowiązku, ale mają taką możliwość.

Kary finansowe

Temat, który wywołuje największe emocje – kary finansowe. Są. Duże.

Artykuł 79 przewiduje drakońskie kary finansowe – do 20 000 000 EUR za ciężkie uchybienia w ochronie danych osobowych oraz 10 000 000 za te lżejsze. Kary te będą miały charakter kar administracyjnych, a zatem nie będzie badana wina, a jedynie fakt popełnienia danego uchybienia.

Cechą odróżniającą „karę” w rozumieniu przepisów karnych
od „kary” sankcji administracyjnej jest to, że ta pierwsza musi mieć charakter zindywidualizowany – może być wymierzana tylko, jeżeli osoba fizyczna swoim zawinionym czynem wypełni znamiona przestępstwa (wykroczenia, przestępstwa karnoskarbowego), natomiast ta druga może zostać nałożona zarówno na osobę fizyczną, jak i na osobę prawną, stosowana jest automatycznie, z tytułu odpowiedzialności obiektywnej i ma przede wszystkim znaczenie prewencyjne.

Z uzasadnienia wyroku TK z dnia 22 września 2009 r., SK 3/08

Podsumowanie

Zapowiadanej rewolucji nie ma. Są zmiany, niektóre istotne, np. wprowadzenie kar finansowych, ale nie ma całkowitej zmiany porządku prawnego. W projekcie znajdziemy wiele instrumentów znanych już polskiemu prawu ochrony danych osobowych. Kilka rzeczy jest zupełnie nowych, kilka przeszło diametralne zmiany, ale większość została poddana tylko delikatnemu liftingowi lub została doprecyzowana. Za najważniejszą zmianę uznaję ujednolicenie prawa na całym kontynencie (chociaż, jak zwykle, znaleźli się dysydenci: Cała Galia została podbita przez Rzymian… Cała? Nie! Jedna, jedyna osada, zamieszkała przez nieugiętych Galów, wciąż stawia opór najeźdźcom… – osada jest zamieszkana przez potomków Celtów, nazywa się Wielka Brytania, i korzysta ze swojego prawa opt-out w kwestii niektórych postanowień GDPR).

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.