Unijne propozycje zmian w zakresie przepisów dotyczących ochrony danych osobowych

European Union flags in front of the blurred European Parliament in Brussels, Belgium

      Jak powszechnie wiadomo 25 stycznia 2012r. Komisja Europejska przedstawiła projekt kompleksowej reformy  przepisów dotyczących ochrony danych osobowych. Z racji przyjętej formy zaproponowanego uregulowania, tzn. rozporządzenia, nowe przepisy będą bezpośrednio obowiązywały w polskim porządku prawnym, bez konieczności dodatkowej ich implementacji. Przygotowywany projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i  swobodnego przepływu tych danych, ma na celu zastąpienie obecnie obowiązującej dyrektywy z dnia 24 października 1995r. (95/46/WE), postanowienia której, chociażby z racji upływu prawie 20 lat od jej uchwalenia, nie przystają do obecnych realiów związanych z szybkim rozwojem technologicznym. Ważnym jest, że proponowane zmiany zastąpić mają przepisy o ochronie danych osobowych obowiązujące w poszczególnych krajach członkowskich, ujednolicając prawo materialne w tym zakresie.

Kluczową datą w procedowaniu nad nowymi przepisami był dzień 21 października 2013 r. Tego dnia Komisja wolności obywatelskich, sprawiedliwości i spraw wewnętrznych (LIBE) Parlamentu Europejskiego głosowała w przedmiocie raportu (stanowiącego propozycję brzmienia przepisów) dotyczącego Rozporządzenia Ogólnego o Ochronie Danych. Pochylono się jednocześnie nad licznie zgłoszonymi poprawkami do projektu. Ostatecznie Komisja w trwającym ponad godzinę głosowaniu, przyjęła raport oparty na wynegocjowanych wcześniej (co do zasady) kompromisach.

Poniżej przedstawiamy najważniejsze rozwiązania dotyczące nowych przepisów ochrony danych osobowych z uwzględnieniem poprawek naniesionych przez LIBE.

            Jedna z najistotniejszych propozycji, związana jest z nałożeniem na administratora danych osobowych, obowiązku niezwłocznego (nie później niż w ciągu 24 godzin), informowania organu nadzorczego (w Polsce jest nim Generalny Inspektor Ochrony Danych Osobowych – dalej GIODO), o wystąpieniu naruszenia (incydentu) w zakresie ochrony danych osobowych (art. 31 projektu). Ponadto, administrator zostanie zobowiązany do sporządzania dokumentacji dotyczącej wszelkich naruszeń ochrony danych osobowych, obejmującej opis okoliczności incydentu, jego skutków oraz podjętych działań zaradczych. Z założenia takie zmiany mają doprowadzić do sukcesywnego ograniczania przypadków naruszania przepisów.

            Projekt przyznaje organom nadzorczym kompetencje do nakładania sankcji finansowych na administratorów dopuszczających się naruszeń przepisów o ochronie danych osobowych (w polskim systemie prawnym GIODO nie ma takich kompetencji, gdyż nie można uznać, by taki charakter miała grzywna w celu przymuszenia w postępowaniu egzekucyjnym w administracji). Zgodnie z projektem Komisji Europejskiej za naruszenie zasad regulujących przetwarzanie danych, organ nadzorujący mógłby wymierzyć maksymalną karę w wysokości do 1mln EUR, a w przypadku przedsiębiorstw do 2% ogólnego (światowego) rocznego obrotu.  W tym zakresie LIBE znacznie zaostrzyła dotychczasową propozycję. W myśl przyjętej poprawki, łamiący przepisy podmiot, liczyć musi się z karą nawet do 100 mln EUR, lub do 5 % światowego rocznego obrotu. Wydaję się, że dzięki tej zmianie, krajowi inspektorzy ochrony danych otrzymają potężną broń, przy pomocy której będą w stanie wpłynąć nawet na największe (globalne) korporacje. Zgodnie z omawianym projektem sankcja administracyjna ma być w każdym indywidualnym przypadku skuteczna, proporcjonalna oraz odstraszająca.

Kolejna propozycja wyrażona w treści art. 35 projektu, zakłada, iż na administratorze danych i podmiocie przetwarzającym, ciążyć będzie obowiązek wyznaczenia inspektora ochrony danych (dzisiejszy administrator bezpieczeństwa informacji – dalej ABI). Wspomniany obowiązek dotyczyć będzie administratorów będących organami lub podmiotami publicznymi, lub zatrudniającymi przynajmniej 250 osób, albo w przypadku, gdy ich główna działalność będzie polegała na operacjach przetwarzania danych.

Ważnym elementem projektu, podtrzymanym w całości w głosowaniu z dnia 21 października 2013 r. jest umożliwienie żądania całkowitego usunięcia danych osobowych tzw. „right to erasure” określanego wcześniej jako „prawo do bycia zapomnianym”. Ponadto uznanie w oczach LIBE znalazła możliwość przeniesienia wcześniej przekazanych danych na żądanie osoby, której dotyczą. W  efekcie każdy będzie mógł żądać całkowitego usunięcia jego danych przetwarzanych nawet w związku z wcześniej wyrażoną zgodą. Dodatkowo administrator będzie musiał przekazać kopie przetwarzanych przez siebie danych w takim formacie, aby można je było przenieść w całości do innego podmiotu. Wydaje się, że zmiana ta może korzystnie wpłynąć na zwiększenie konkurencji rynkowej.

Kolejna zmiana dotyczy kwestii związanych ze zjawiskiem profilowania (art. 20 projektu). Propozycja Komisji Europejskiej dopuszczała jedynie trzy sytuacje, w których byłoby ono dopuszczalne, tj. w związku z  zawarciem lub wykonaniem umowy, na podstawie przepisu prawa, bądź po wyrażeniu zgody przez osobę zainteresowaną. Przepis wprowadzał również obowiązek poinformowania osoby, która podlega profilowaniu. W tej materii LIBE dokonała pewnych modyfikacji, wzbudzających największe kontrowersje. Uznano mianowicie, że profilowanie nie musi prowadzić do „istotnej” ingerencji w prawa osób fizycznych, a zatem szczególnie w przypadku przetwarzania danych wyrażonych wyłącznie pseudonimem, nie zawsze będzie podlegało ograniczeniom. LIBE uznało, iż profilowanie będzie dopuszczalne, aż do momentu zgłoszenia sprzeciwu. Wydaje się, że komentowana zmiana, stanowi zielone światło dla upowszechnienia się zjawiska profilowania. Wynika to z faktu, że dla profilowania nie będzie koniecznym uzyskanie zgody, a jedynie sprzeciw może tenże proces zahamować. Pozostawiono natomiast twardy zakaz profilowania wywołującego skutek dyskryminujący. LIBE nie zakwestionowało również ograniczeń w przypadku środków opartych o profilowanie, które wywierają skutek prawny lub mają istotny wpływ na podmiot danych.

Projekt zakłada również (i w tym zakresie jest rewolucyjny w porównaniu do obowiązujących w Polsce przepisów) zniesienie obowiązku rejestracji zbiorów danych. Jednakże każdy administrator oraz podmiot przetwarzający, będzie zobowiązany do prowadzenia dokumentacji wszystkich operacji przetwarzania, za które jest odpowiedzialny. Na wniosek organu nadzorczego, podmioty przetwarzające, muszą okazać pełną dokumentację operacji na danych. Dodatkowo, powyższe podmioty zobowiązane zostaną do opracowania raportów zawierających ocenę skutków przetwarzania danych oraz informacje o  przewidywanych środkach i gwarancjach mających zapewnić ich ochronę.

Zmiany dotkną również definicji danych osobowych i podmiotu danych. Propozycja Komisji Europejskiej w tym zakresie, została przyjęta w głosowaniu LIBE. Danymi osobowymi będą zatem wszelkie informacje dotyczące choćby pośrednio identyfikowalnej osoby. Podmiotem danych, będzie natomiast każda osoba, której tożsamość można w jakikolwiek sposób ustalić. Dla pośredniej identyfikacji, wystarczającym będzie wyróżnienie osoby z tłumu (single out), np. za pomocą tymczasowego identyfikatora w Internecie.

LIBE podtrzymała dotychczasowy kompromis w przedmiocie cech, jakimi musi charakteryzować się zgoda na przetwarzanie danych. Kluczową cechą zgody będzie jej swobodne i wyraźne wyrażenie. Tylko taka zgoda będzie mogła zostać uznana za ważną.

Eurodeputowani wchodzący w skład LIBE, mając zapewne w pamięci aferę PRISM, przegłosowali przywrócenie artykułu 43a projektu (usuniętego wcześniej pod wpływem nacisków ze strony USA). Wskazany przepis ma ograniczyć przekazywanie danych osobowych poza granice Unii, na żądanie organów innych państw, nawet policji czy sądów. Jedyną uznawaną podstawą dla przekazania danych w takiej sytuacji ma być umowa międzynarodowa, przewidująca odpowiednie gwarancje ochrony prywatności. W praktyce, jeżeli administrator danych otrzyma żądanie przekazania danych do jakichkolwiek organów z poza Unii Europejskiej, będzie musiał o tym powiadomić organ nadzorujący ochronę danych osobowych (odpowiednik polskiego GIODO w danym kraju). To organ zadecyduje, czy dane będą mogły zostać przekazane.

LIBE przegłosowało ponadto, zmiany w zasadach regulujących przetwarzanie danych bez zgody osoby, której dane dotyczą, w związku z uzasadnionym interesem administratora. Kontrowersyjnym jest jednak to, iż interes zostanie określony przez samego administratora. LIBE wprowadziło dodatkowo w tym przepisie pojęcie tzw. stron trzecich, czyli innych podmiotów z którymi współpracuje administrator danych. W efekcie przepis ten, może osłabić rzeczywistą kontrolę nad tym, kto i przede wszystkim, w jakim celu będzie przetwarzał dane osobowe. Wydaje się, że niejasno określona definicja „uzasadnionego interesu”, może rodzić w przyszłości pole do nadużyć.

Wreszcie nowe przepisy jasno określą zakres podmiotów podlegających pod jego „jurysdykcję”. Kluczowym będzie nie tylko miejsce siedziby, bądź zamieszkania na terenie UE. Europejskie przepisy będzie musiał stosować również podmiot mający miejsce siedziby poza UE, jeżeli jego działalność wiąże się z oferowaniem towarów lub usług na terenie UE, lub z monitorowaniem zachowania podmiotów mających siedzibę w UE.

Jakkolwiek, jednym z głównych celów rozporządzenia jest ujednolicenie przepisów obowiązujących w całej UE, to jednak pozostawiono Komisji Europejskiej możliwość większego wpływania na wewnętrzne systemy prawne określające zasady ochrony danych osobowych, poprzez tzw. akty delegowane.

Głosowanie LIBE ma kardynalne znaczenie dla dalszych losów unijnej reformy. Wprawdzie, nie przesądza jeszcze o ostatecznym brzmieniu przepisów, to jednak można pokusić się o stwierdzenie, że określa wyraźne ich ramy. Eurodeputowani przyjęli również wytyczne, co do dalszego sposobu procedowania nad projektem reformy. Dalsze prace będą opierały się o zasadę tzw. trialogu, czyli negocjacje wszystkich zaangażowanych instytucji, rozpoczną się już teraz, a dopiero jej efekty trafią pod głosowanie plenarne w Parlamencie Europejskim. Wydaje się, że przyjęte rozwiązanie pozwoli na ostateczne zaakceptowanie zmian wiosną 2014 r. (ważnym jest, aby nastąpiło to przed wyborami do Parlamentu Europejskiego, gdyż ewentualna zmiana opcji rządzącej, może spowodować zaprzepaszczenie dotychczasowych prac, względnie znaczne opóźnienie wejścia w życie rozporządzenia).

Komentując prace nad reformą unijnych przepisów, Generalny Inspektor Ochrony Danych Osobowych, w związku z podsumowaniem zakończonej 26 września 2013 r. w Warszawie, 35 Międzynarodowej Konferencji Rzeczników Ochrony Danych Osobowych i Prywatności, stwierdził, że „do połowy przyszłego roku mają być gotowe wszystkie regulacje. A wejdą w życie w połowie 2016 roku”. Podobną opinię GIODO wyraził w wypowiedzi udzielonej portalowi www.e-ochronadanych.pl w dniu 23 października 2013 r. – „Parlament przewiduje, że będzie jeszcze wiosną głosował na temat tego aktu. O ile się orientuję również Rada Unii Europejskiej chciałaby, żeby odbyło się to w 2014 r. Ja mam szczerą nadzieję, że tak będzie”. Zatem w ocenie GIODO nowe przepisy powinny zacząć obowiązywać w Polsce w 2016 r.

Prace nad projektem unijnego rozporządzenia znajdują się już w  końcowym etapie. Podczas otwarcia odbywającej się 28 stycznia 2014 r. z inicjatywy Generalnego Inspektora Danych osobowych konferencji pt. „Prywatność w cyfrowym świecie”, minister administracji i cyfryzacji dr Rafał Trzaskowski podkreślił wagę ukończenia prac  nad rozporządzeniem w ciągu bieżącego roku. Dodał jednak,  że trudno będzie ukończyć proces legislacyjny przed końcem kadencji Parlamentu i Komisji Europejskiej.

 W Polsce także  trwają prace nad kolejnymi nowelizacjami przepisów o  ochronie danych osobowych. Najnowsze propozycje zmian związane są z tzw. 4 pakietem deregulacyjnym. Przesłany w dniu 23 maja 2013 r. przez Ministerstwo Gospodarki do Rady Ministrów ostateczny tekst założeń projektu ustawy o ułatwieniu warunków wykonywania działalności gospodarczej, zawiera szereg zmian w ustawie o ochronie danych osobowych. Generalnie sprowadzają się one do trzech elementów. Pierwsza propozycja zakłada wyłączenie obowiązku rejestracyjnego wobec administratorów danych, którzy powołali i  zgłosili do GIODO ABI (z wyjątkiem zbiorów zawierających dane sensytywne), oraz wobec przetwarzających dane w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych. Ponadto, zakłada się rozszerzenie kompetencji rejestracyjnych GIODO na informacje o ABI oraz wprowadzenie uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych. Trzecia zmiana dotyczyć ma zwiększenia uprawnień ABI w zakresie przekazywania danych do państw trzecich bez każdorazowej, indywidualnej zgody GIODO (chodzi o przypadki, gdy zastosowano standardowe klauzule umowne zatwierdzone przez Komisję Europejska zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE lub wiążące reguły korporacyjne zatwierdzone przez GIODO). W dniu 9. grudnia 2013 r. w Centrum Partnerstwa Społecznego DIALOG, w Warszawie, odbyła się konferencja uzgodnieniowa przedstawianego projektu ustawy. Jak widać, prace na projektem postępują. Oczekujemy obecnie na przedstawienie projektu do opinii podmiotom przewidzianym przepisami prawa a następnie skierowanie jej do prac parlamentarnych.

Warto w tym miejscu zatrzymać się jeszcze nad projektem rozporządzenia Ministra Cyfryzacji i Administracji w sprawie trybu wykonywania zadań przez administratora bezpieczeństwa informacji. Omawiana propozycja jest ściśle powiązana z powyżej opisanym projektem nowelizacji ustawy o ochronie danych osobowych i zwiększeniem zakresu obowiązków i uprawnień ABI. Wedle proponowanego rozporządzenia, ABI będzie dokonywał przeglądu zgodności przetwarzania danych osobowych z przepisami dotyczącymi ich ochrony, oraz przygotowywał sprawozdania w tym zakresie, które następnie zostaną przedstawione administratorowi danych. Ponadto, ABI będzie zobligowany do przygotowania dokumentacji dotyczącej sposobu przetwarzania danych, oraz określającej środki techniczne
i organizacyjne zapewniające ochronę przetwarzanych danych. Co niezwykle istotne, powyższa dokumentacja będzie musiała zostać opracowana przed rozpoczęciem procesu przetwarzania danych. Dodatkowo, ABI będzie na bieżąco (jednak nie rzadziej, niż co trzy miesiące) monitorował stan dokumentacji, co ma zagwarantować jej aktualność. Wedle autorów projektu, zmiana spowoduje, że powyższa dokumentacja, będzie „nadążała”
za procesem (przede wszystkim celem) przetwarzania danych. W celu prowadzenia nadzoru, ABI przygotuje plany obejmujące nie więcej niż 6 miesięcy, z zaznaczeniem obszarów wyznaczonych do objęcia nadzorem. Przeprowadzony nadzór zostanie zakończony raportem, przedstawianym administratorowi danych.

Otwierając konferencję w dniu 28 stycznia, minister Trzaskowski zapowiedział  przyśpieszenie prac nad nowym rozporządzeniem wykonawczym do ustawy. Ten długo oczekiwany akt prawny ureguluje na nowo kwestie związane z wymaganą dokumentacją oraz dostosuje wymagania zabezpieczeń zbiorów danych do obecnych wyzwań technologicznych. Mamy nadzieję, że już niedługo będziemy mogli przedstawić projekt tego oczekiwanego przez całe środowisko aktu prawnego.

Na zakończenie należy podkreślić, iż trwają obecnie również prace nad ustawą regulującą kwestie monitoringu wizyjnego. Niewątpliwie istnieje w obecnym stanie prawnym konieczność ustawowego odniesienia się do kwestii związanych z monitoringiem, gdyż aktualnie brakuje usystematyzowanych rozwiązań w tym zakresie. Prowadzone przez Ministerstwo Spraw Wewnętrznych prace legislacyjne mają dotyczyć przede wszystkim kwestii związanych z określeniem zasad stosowania monitoringu, ewidencjonowaniem i  sprawowaniem kontroli nad pozyskanymi w ten sposób informacjami, a także prawami osób, których wizerunki zostały zarejestrowane z wykorzystaniem monitoringu, oraz co jest nie mniej istotne, obowiązkami podmiotów z niego korzystających. 19 grudnia 2013 r. opublikowany został projekt założeń do projektu ustawy o monitoringu wizyjnym. MSW przeprowadza obecnie szerokie konsultacje z innymi organami i służbami na temat założeń przyszłej ustawy. Ważną informacją jest także okoliczność, że podjęto decyzję o uregulowaniu w dwóch odrębnych ustawach problematyki monitoringu wizyjnego oraz kwestii dotyczących wzmocnienia mechanizmów kontroli dostępu uprawnionych służb do pozyskiwania i wykorzystywania danych telekomunikacyjnych. Pierwotnie, bowiem zakładano uregulowanie powyższych kwestii w jednym akcie prawnym. Wydaje się, że pomysł wydzielenia kwestii związanych z monitoringiem wizyjnym sprzyjać będzie szybszemu ukończeniu prac legislacyjnych.

Autor: Marcin Cwener

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.