Głównym motywem zmiany modelu ochrony danych osobowych na terytorium Unii Europejskiej (Europejskiego Obszaru Gospodarczego) była z jednej strony chęć zwiększenia skuteczności ochrony danych osobowych jako prawa podstawowego przewidzianego m.in. w Karcie Praw Podstawowych (art. 8) oraz Traktacie o funkcjonowaniu UE (art. 16), z drugiej zaś konieczność dostosowania unijnych regulacji prawnych do potrzeb wynikających z ciągłego rozwoju nowych technologii oraz postępującej cyfryzacji.
Konieczność zmiany modelu ochrony danych osobowych
Mająca ponad 20 lat Dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwana dalej: Dyrektywą) jawiła się jako instrument przestarzały, nieprzystosowany do nowych zjawisk, takich jak komercjalizacja Internetu, intensyfikacja transgranicznego przepływu danych czy też nowych metod przetwarzania danych np. w ramach chmury obliczeniowej (ang. cloud computing). Co więcej, Dyrektywa nie zapewniała w sposób wystarczający bezpieczeństwa danych osobowych obywateli Unii (EOG) w przypadku transferu danych do tzw. „państw trzecich”, czyli państw niebędących członkami UE (EOG). Najlepszym tego przykładem była decyzja Komisji Europejskiej 2000/520/WE uznająca adekwatność zasad programu amerykańskiej „bezpiecznej przystani” (ang. Safe Harbour) wydana na podstawie art. 25 ust. 6 Dyrektywy. Powyższy instrument miał umożliwić swobodny przepływ danych pomiędzy Stanami Zjednoczonymi a Unią Europejską w sytuacji, gdy państwo będące docelowym odbiorcą danych (mowa tu o USA) nie zapewnia adekwatnego poziomu ochrony (?) danych osobowych w rozumieniu Dyrektywy. W omawianym przypadku niespełnienie kluczowej przesłanki warunkującej przekazanie danych poza terytorium UE wiązało się z brakiem federalnych regulacji prawnych dotyczących ochrony danych osobowych. Program „bezpiecznej przystani” miał być w swoim założeniu swoistym kompromisem umożliwiającym pogodzenie dwóch odmiennych porządków prawnych. Ostatecznie Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z dnia 6 października 2015 r. w sprawie Maximillian Schrems przeciwko Data Protection Commissioner (C-362/14) orzekł o nieważności decyzji 2000/520/WE, a to za sprawą wielu nieprawidłowości ujawnionych w toku postępowania. Po pierwsze, omawiana decyzja uniemożliwiała krajowym organom nadzoru prowadzenie dochodzeń w sprawie skargi dotyczącej nieodpowiedniego stopnia ochrony, czego rezultatem może być zawieszenie dalszego przekazywania danych. Po drugie wykazano, że Komisja Europejska nie wykonała swojego podstawowego zobowiązania polegającego na ocenie, czy Stany Zjednoczone rzeczywiście poprzez swoje ustawodawstwo krajowe lub zobowiązania międzynarodowe zapewniają równoważny stopień ochrony praw podstawowych do gwarantowanego w ramach prawodawstwa Unii.
Jakie zmiany wprowadza Rozporządzenie?
Wraz z wejściem w życie Rozporządzenia doszło do istotnych zmian w unijnym modelu ochrony danych osobowych. Poniżej najważniejsze z nich.
Doprecyzowanie pojęcia „danych osobowych”
Rozporządzenie dokonało znaczącej redefinicji pojęcia „danych osobowych”. Podobnie jak miało to miejsce na gruncie Dyrektywy, dane osobowe to nadal informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Niemniej jednak, ze względu na szybki rozwój nowych technologii, pojęcie „danych osobowych” należało rozszerzyć o kolejne kategorie danych, które chociażby w potencjalny sposób mogłyby identyfikować daną osobę tj.: dane lokalizacyjne, adresy IP, identyfikatory internetowe czy też dane dotyczące stanu zdrowia.
Privacy by design / Privacy by default
Ochrona danych w fazie projektowania (ang. privacy by design) oraz ochrona danych w opcji domyślnej (ang. privacy by default) stanowią przykłady nowych zagadnień, jakie wprowadza ogólne rozporządzenie o ochronie danych osobowych. Koncepcja privacy by design zakłada wdrażanie wymogów rozporządzenia już na etapie projektowania pewnych rozwiązań mogących wiązać się z różnego rodzaju zagrożeniami wynikającymi z przetwarzania danych (art. 25 ust. 1 Rozporządzenia). Z kolei privacy by default wprowadza wymóg wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych po to, aby procesowi przetwarzania podlegały wyłącznie dane osobowe niezbędne dla osiągnięcia konkretnego celu (art. 25 ust. 2 Rozporządzenia).
Prawo do bycia zapomnianym
Prawo do bycia zapomnianym (ang. right to be forgotten), zwane również prawem do usunięcia danych (ang. right to erasure), to zupełnie nowa instytucja na gruncie europejskiego prawa ochrony danych osobowych. Pierwszy raz na temat prawa do bycia zapomnianym wypowiedział się TSUE na kanwie sprawy Google Spain (C-131/12). Wymieniona sprawa dotyczyła możliwości przetwarzania danych przez wyszukiwarki internetowe poprzez ujawnienie informacji dotyczących określonych osób, w tym na stronach internetowych innych podmiotów, w postaci listy wyników wyszukiwania. Trybunał Sprawiedliwości Unii Europejskiej uznał, że działalność wykonywana przez operatorów wyszukiwarek internetowych może być zakwalifikowana jako przetwarzanie danych. Co więcej, Trybunał potwierdził istnienie prawa, które na gruncie Dyrektywy nie zostało wprost wyrażone – mowa tu oczywiście o prawie do bycia zapomnianym. Zdaniem TSUE osoby fizyczne muszą mieć zapewnioną możliwość zgłoszenia roszczenia w przedmiocie usunięcia danych ich dotyczących z listy wyszukiwania wyszukiwarki, w tym ze stron internetowych osób trzecich. W aktualnym stanie prawnym prawo do bycia zapomnianym zostało wyrażone expressis verbis w art. 17 Rozporządzenia. W myśl przytoczonego przepisu, administrator danych jest zobowiązany do niezwłocznego usunięcia danych, jeśli zachodzi jedna poniższych przesłanek:
-
dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
-
osoba, której dane dotyczą, cofnęła zgodę na ich przetwarzanie i nie ma innej podstawy prawnej przetwarzania – chodzi tutaj głownie o przypadki profilowania danych;
-
osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
-
dane osobowe były przetwarzane niezgodnie z prawem;
-
dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego, któremu podlega administrator;
-
dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
Ograniczenie profilowania
Zgodnie z motywem 71 Rozporządzenia profilowanie to jedna z form przetwarzania danych polegająca na ocenie niektórych aspektów danych życia osobistego w ramach automatycznego przetwarzania danych. Profilowanie jest narzędziem często wykorzystywanym przez firmy z branży marketingowej oraz e-commerce, ponieważ pozwala analizować oraz prognozować chociażby takie czynniki jak efekty pracy, sytuację ekonomiczną, stan zdrowia czy osobiste preferencje danej osoby. Według ustawodawcy unijnego podejmowanie konkretnych decyzji wobec podmiotów, których dane dotyczą, w oparciu o dane zabrane w toku profilowania może mieć miejsce jedynie w ściśle określonych sytuacjach. Mianowicie, profilowanie jest dozwolone na gruncie prawa UE albo prawa państwa członkowskiego, któremu podlega administrator danych. Ponadto profilowanie można wykorzystywać 1) w celu monitorowania i zapobiegania oszustwom uchylania się od podatków, 2) gdy profilowanie jest konieczne do zapewnienia bezpieczeństwa i niezawodności usług świadczonych przez administratora danych albo 3) gdy jest to niezbędne do zawarcia lub wykonania umowy zawartej pomiędzy osobą, której dane dotyczą, a administratorem danych. Zgoda podmiotu danych jest również jedną z przesłanek legalizujących profilowanie. Jeśli czynności profilowania są dokonywane w innych przypadkach niż te wymienione powyżej, osobie fizycznej przysługuje prawo do zgłoszenia sprzeciwu (art. 21 Rozporządzenia).
Mechanizm One-stop-shop
Pewnym ułatwieniem zarówno dla administratorów danych jak i podmiotów danych jest wprowadzenie tzw. one-stop-shop („mechanizm kompleksowej współpracy”), który dotyczy przedsiębiorców (administratorów) podejmujących działalność transgraniczną. Koncepcja one-stop-shop w swoim zamyśle polega na tym, że kompetencje nadzorcze administratora danych działającego na terytorium więcej niż jednego państwa członkowskiego zostaną przyznane organowi nadzorczemu (regulatorowi) właściwemu ze względu na miejsce dominującej działalności administratora. Dzięki temu wszelkie rozstrzygnięcia nadzorcze będą respektowane w pozostałych krajach UE. Niewątpliwie takie rozwiązanie w istotnym sposób przyczyni się do zmniejszenia obciążeń o charakterze administracyjnym. Co więcej, omawiany mechanizm będzie istotnym ułatwieniem dla podmiotów danych, ponieważ skargi w sprawie nieprawidłowego przetwarzania danych ich dotyczących, będzie można zgłosić w dowolnym państwie członkowskim z obowiązkiem ich przekazania właściwemu organowi nadzorczemu.
Obowiązek wyznaczenia inspektora ochrony danych
Oprócz przyznania nowych praw podmiotom danych, Rozporządzenie nakłada również dodatkowe obowiązki na administratorów danych. Dotychczasowy administrator bezpieczeństwa informacji (ABI) zmieni nazwę na inspektora ochrony danych. Co ważne, grupa przedsiębiorstw (jak w Rozporządzeniu określana jest grupa kapitałowa) może wyznaczyć jednego inspektora ochrony danych, pod warunkiem, że każda z jednostek organizacyjnych będzie mogła z nim łatwo nawiązać kontakt. Rozporządzenie ustanawia obowiązek powołania inspektora ochrony danych osobowych w następujących przypadkach:
-
przetwarzanie danych przez organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości);
-
główna działalność administratora/podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób na dużą skalę;
-
główna działalność administratora/podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Warto w tym miejscu nadmienić, że w poprzednim stanie prawnym wyznaczenie administratora bezpieczeństwa danych miało charakter fakultatywny.
Wśród głównych zadań inspektora ochrony danych wskazanych w Rozporządzeniu można wymienić m.in.: czuwanie nad przestrzeganiem przepisów Rozporządzenia przez organy administratora danych oraz pracowników administratora, kontaktowaniem się z organem nadzoru (np.: polskim GIODO) w celu zgłoszenia naruszeń wynikających z nieprzestrzegania Rozporządzenia, czy też wydawanie zaleceń dotyczących ochrony danych osobowych. W porównaniu do wcześniejszych regulacji, rozszerzono katalog kompetencji przysługujących inspektorowi ochrony danych przy jednoczesnym zwiększeniu ciążących na nim obowiązków.
Europejska Rada Ochrony Danych
Na mocy Rozporządzenia ustanowiono nowy organ UE – Europejską Radę Ochrony Danych (dalej: „EROD”), która zastąpi Grupę Roboczą powołaną na mocy art. 29 Dyrektywy. Podobnie jak Grupa Robocza, EROD ma być ciałem doradczym Komisji Europejskiej w zakresie ochrony danych osobowych. W świetle art. 70 Rozporządzenia do głównych zadań EROD należy zapewnienie spójnego stosowania Rozporządzenia m.in. poprzez monitorowanie jego stosowania, doradzanie Komisji Europejskiej w sprawach związanych z ochroną danych osobowych czy wydawanie wytycznych, zaleceń oraz określanie najlepszych praktyk.
Co istotne, Rada będzie rozstrzygać spory o właściwość pomiędzy organami nadzorczymi a także spory w sytuacjach, w których zgłoszono sprzeciw do projektu decyzji organu wiodącego.
Kary za naruszenie Rozporządzenia
W Rozporządzeniu przewidziano wysokie („w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”) kary pieniężne dla podmiotów, które nie będą się stosować do regulacji Rozporządzenia. Kary pieniężne dla przedsiębiorstwa, w zależności od naruszenia, stosowane będą w wysokości do 2% lub do 4% (w przypadku cięższego naruszenia) całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego danego przedsiębiorcy.
Wejście w życie i stosowanie Rozporządzenia
Jak wspomniano na początku niniejszego artykułu, Rozporządzenie weszło w życie 17 maja 2016 r., a jego przepisy będą obowiązywać od 25 maja 2018 r. (w tym dniu uchylona zostanie Dyrektywa 95/46). Przedsiębiorcy powinni zatem do tego czasu przystosować swoje wewnętrzne procedury tak, aby spełniały one wymogi Rozporządzenia. Należy bowiem nadmienić, że posłużenie się w ramach reformy unijnego prawa ochrony danych osobowych aktem prawnym, jakim jest rozporządzenie, ma swoje istotne konsekwencje. Zgodnie z art. 288 TFUE rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. W przeciwieństwie do dyrektywy rozporządzenie nie wymaga implementacji (transpozycji) do krajowych porządków prawnych. Dzięki temu dojdzie do ujednolicenia stosowania prawa na całym terytorium Unii Europejskiej (EOG) – zlikwidowana zostanie „mozaika” ustawodawstw państw członkowskich w zakresie ochrony danych osobowych, które w wielu przypadkach bardzo różniły się między sobą, ponieważ Dyrektywa, jako akt harmonizacji minimalnej, zobowiązuje jedynie do wdrożenia odpowiednich środków wyznaczających dolny pułap ochrony, zaś w pozostałym zakresie pozostawia państwom członkowskim margines swobody, jeśli chodzi o bardziej restrykcyjne uregulowania (motyw 8 i 9 Dyrektywy).
Współautorami wpisu są Ewelina Ocipińska i Hubert Kutkiewicz