Nowe rozporządzenie, nowe obowiązki

W Polsce General Data Protection Regulation otrzymało nazwę RODO (Rozporządzenie ogólne o ochronie danych). Zastąpi ono obowiązującą od 1995 roku dyrektywę o ochronie danych, zaś jego celem jest stworzenie jednolitych przepisów unijnych, działających tak samo w każdym kraju Unii Europejskiej, dostosowanych do obecnych warunków biznesowych i istniejących technologii, a także zapewnienie rozszerzonej kontroli nad danymi klientom indywidualnym usług cyfrowych.

To korzystne zwłaszcza dla korporacji i dużych przedsiębiorstw, które będą mogły wdrożyć jednolite procedury we wszystkich swoich oddziałach, co przyniesie spore oszczędności. Warto zauważyć, że na przyjęcie niektórych uregulowań GDPR nie zgadza się Wlk.Brytania, zaś po brexicie wprowadzenie jednolitych przepisów unijnych w tym kraju wydaje się raczej niemożliwe.

Wejście w życie General Data Protection Regulation jest jednocześnie końcem procesu rozpoczętego w 2012 roku, w trakcie którego ostatnie aspekty nowego rozporządzenia opracowywano jeszcze w połowie zeszłego roku, zaś zakończono w obecnym. Warto dodać, że nowy przepis ma postać rozporządzenia nie dyrektywy, tak, aby ułatwić jak najszybszą implementację, bez konieczności wkraczania w akty prawne wyższego rzędu, co powodowałoby konieczność prowadzenia prac parlamentarnych.

Mimo tego wdrożenie regulacji GDPR stanie się sporym wyzwaniem dla wszystkich: krajów członkowskich, firm, nawet małych i średnich przedsiębiorstw. Konieczne będą często spore nawet nakłady, a czas wdrożenia jest krótki. Cel nowego rozporządzenia jest przy tym jak najbardziej słuszny - podniesienie poziomu ochrony danych osobowych jest konieczne, jako że obecnie nie są one w należyty sposób chronione i zbyt wiele podmiotów i organizacji ma do nich zbyt łatwy dostęp. GDPR znacznie zmieni też stan rzeczy i to wieloaspektowo.

Nowe rozporządzenie ustala, że dane osobowe są wszystkimi informacjami dotyczącymi osoby fizycznej, czy określonej czy możliwej do identyfikacji, przy czym według nowej regulacji, osoba możliwa do identyfikacji to taka, którą można zidentyfikować pośrednim lub bezpośrednim identyfikatorem sieciowym (online identifier). Oznacza to, że identyfikatory w cookies i adres IP stają się automatycznie danymi osobowymi. Prawdopodobnie doprowadzi to do zmian we wprowadzonym obecnie protokole IPv6 tak, aby zawierał w sobie dane osobowe użytkownika jak dane personalne, adres e-mail oraz lokalizację.

Ustalono także iż zostanie obniżona z 16 do 13 lat granica wiekowa dla nastolatków wyrażających zgody na przetwarzanie danych osobowych ramach usług społeczeństwa informacyjnego. Uściśleniu i zarazem poszerzeniu ulegają także wszystkie typy danych, które mogłyby wchodzić w zestaw danych biometrycznych, genetycznych oraz dotyczących ochrony zdrowia.

Rozporządzenie stwarza także "twarde" czyli obejmujące wszystkich użytkowników "prawo do bycia zapomnianym". Oznacza to wykreślenie wszystkich danych osobowych, także tych w rozszerzonym zakresie (a nie tylko danych personalnych i adresu!) ze wszystkich rejestrów, systemów i baz danych podmiotu przetwarzającego dane osobowe, co administrator takich systemów i baz będzie musiał wyjechać natychmiastowo. Klient będzie miał prawo dostęp udo swoich danych oraz możliwość ich sprostowania oraz modyfikacji, a także zgłoszenia w dowolnym momencie sprzeciwu, dotyczącego dowolnego typu lub sposobu przetwarzania tych danych. Nowością jest też możliwość data portability czyli przenoszalności danych. Oznacza to iż użytkownik w dowolnym momencie będzie mógł zabrać dane z jednego serwisu czy witryny i przenieść je do drugiej.

Istotną zmianą jest także iż według nowego rozporządzenia zgoda na przetwarzanie danych wrażliwych musi być wyrażona w jakikolwiek wyraźny sposób; polskie prawodawstwo przewiduje w tym wypadku jedynie formę pisemną. Dane wrażliwe zostały przy tym rozszerzone o dane biometryczne. Warto przy tym zauważyć iż organy administracji publicznej nie muszą wykazywać ważnego prawnie interesu w przetwarzaniu tych danych; wystarczy że konieczność ich przetwarzania wynika z ich obowiązków, zadań i celów. W Polsce wymagać będzie to zmiany funkcjonowania instytucji Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Trzy kategorie jednostek przetwarzających dane osobowe, będą musiały powołać Data Protection Officera, odpowiedzialnego za nadzór nad przetwarzaniem danych. Stanowisko to w zasadzie odpowiada polskiemu ABI, zaś nowy obowiązek będzie dotyczył podmiotów publicznych (z wyjątkiem sądów), jednostek, których aktywność główna opiera się na automatycznym i regularnym przetwarzaniu danych osobowych, jako, że zajmują się na dużą skalę monitorowaniem osób, których dane są przetwarzane, jednostek, których główna aktywność polega na przetwarzaniu wrażliwych danych oraz danych osobowych dotyczących przestępstw i osób za nie skazanych.

Inne podmioty nie muszą powoływać DPO lub ABI, trzymając się polskiej terminologii. Jednak warto wspomnieć, że do opisanych powyżej kategorii należeć będą wszystkie urzędy administracji samorządowej od szczebla gminy poczynając, podobnie jak administracji skarbowej, gdzie kontrola danych musi być szczególnie rygorystyczna.

Obowiązkiem każdego, przetwarzającego dane osobowe jest dokonanie ocen ryzyk naruszenia dóbr oraz praw i wolności osób, o których posiada informacje. Wszyscy przetwarzający dane w sposób automatyczny, będą musieli przeprowadzić standardową ocenę skutków tych działań (Data Protection Impact Assesment - DPIA) oraz udokumentować jej wyniki. Analiza ta może bowiem wykazać na jakie szkody oraz jakie niepożądane konsekwencje mogą wystąpić jeśli dane klientów dostaną się niepowołane ręce lub w sposób niezgodny z prawem zostaną poddane obróbce. Wyniki tejże analizy umożliwią dobór takich środków i metod przetwarzania danych ora zdziałania systemów IT, które pozwolą na minimalizację ryzyka i ewentualnych szkód dla klientów. Ocena taka musi być stale aktualizowana i dostosowywana do zmieniającej się sytuacji i nowych uwarunkowań - czy to biznesowych czy regulacyjnych czy technologicznych. Firma, w niewielkim zakresie przetwarzająca dane osobowe, co dzieje się przy okazji jej podstawowej działalności, może zastosować inne środki ochrony niż przedsiębiorstwo opierające swój biznes na wykorzystywaniu pozyskanych danych osobowych.

Warto przy tym zauważyć, że General Data Protection Regulation wprowadza bardzo restrykcyjne obowiązki dotyczące powiadamiania o naruszeniach w ochronie danych osobowych (tzw. personal data breach). Musi to nastąpić w czasie 72 godzin od wykrycia faktu naruszenia przez administratora danych. Administratorzy, którzy do tej pory nie byli obowiązani zgłaszać naruszenia, do jakich mogło dojść w procesie przetwarzania danych muszą także zgłaszać je w czasie 72 godzin od wykrycia. Rozporządzenie w tym momencie staje się nieco nieprecyzyjne, bowiem stwierdza iż nie jest konieczne zgłaszanie naruszenia, które nie spowoduje ryzyka dla praw i wolności osób, których dane są przetwarzane, co oznacza, że ABI musi sam dokonać oceny. Zgłoszenia przyjmują organy zajmujące się ochroną danych osobowych w kraju członkowskim UE; w Polsce będzie to Generalny Inspektor Ochrony Danych Osobowych (GIODO). Jeśli ryzyko naruszenia praw i wolności osoby, której dane są przetwarzane , staje się wysokie, administrator danych obowiązany jest do przedstawienia jasnej informacji poszkodowanemu.

W rozporządzeniu bardzo wysoko ustalono górną granicę kar administracyjnych za naruszenia ochrony danych osobowych. Przewinienia w tym zakresie mogą być ukarane grzywną do 10 mln EUR lub 2 proc. całkowitego światowego obrotu firmy, natomiast przy ciężkich naruszeniach kara może być dwukrotnie wyższa tj. do 20 mln EUR lub 4 proc. całkowitego światowego obrotu firmy. Kary te są przy tym administracyjne czyli organ nie bada winy i jej stopnia, a wymierza je po stwierdzeniu naruszenia przepisów o ochronie danych osobowych.

Marek Meissner