Skutki i uwarunkowania nowych przepisów wspólnotowych RODO - aktualizacja
06.04.2018
Rząd przyjął projekt krajowej ustawy o ochronie danych osobowych. Zaproponowane przepisy wynikają z konieczności dostosowania polskich przepisów do unijnego rozporządzenia o ochronie danych osobowych (tzw. RODO).
Projekt przewiduje m.in. powołanie nowego organu zajmującego się nadzorem spraw dotyczących ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który zastąpi dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Organem doradczym dla prezesa Urzędu będzie ustanowiona przy nim Rada do Spraw Ochrony Danych Osobowych. Zniesiona zostanie dotychczasowa dwuinstancyjność postępowania w sprawach naruszenia przepisów o ochronie danych osobowych.
Źródło: www.koben.pl
Od 25 maja 2018 zaczynamy stosować przepisy o ochronie danych osobowych zawarte w unijnym rozporządzeniu, zwanym w skrócie RODO. Na czym będzie polegać ochrona danych osobowych po europejsku?
Wchodząca w życie 25 maja 2018 roku reforma ochrony danych osobowych wprowadza całkowicie nowe rozwiązania w tej dziedzinie. Powszechnie określa się ją jako rewolucję. Dotknie ona również organizacje pozarządowe, ponieważ co do zasady, będą one podlegały jej przepisom w całości. W artykule zostały omówione najważniejsze założenia reformy oraz pojęcia danych osobowych i podmiotów zobowiązanych do stosowania przepisów.
Jedną z ważniejszych cech reformy jest całkowita zmiana założeń dotyczących tego, jak powinna wyglądać ochrona danych osobowych. Dotychczas wystarczało, że administrator wypełniał obowiązki wskazane w przepisach prawa. Od wejścia w życie reformy administrator będzie zobowiązany stosować zasadę risk based approach. To znaczy, że będzie musiał samodzielnie oceniać, jakie są ryzyka związane z przetwarzanymi danymi osobowymi i jakie w związku z tym należy przedsięwziąć środki.
Uchylone zostanie rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), na podstawie którego tworzono Politykę bezpieczeństwa i Instrukcje zarządzania systemem informatycznym. W większości organizacji pozarządowych te dokumenty były podstawą do określenia obowiązków w zakresie danych osobowych.
Nie znaczy to jednak, że z chwilą uchylenia rozporządzenia z dnia 29 kwietnia 2004 r. wszystkie Polityki i Instrukcje stracą moc. Jeżeli analiza ryzyka przeprowadzona w organizacji pozarządowej potwierdzi, że są one wystarczające, będzie można je również stosować po wejściu w życie RODO (czyli opisywanej tu reformy). Trzeba być jednak uważnym w tym zakresie, ponieważ to na organizacji pozarządowej (administratorze) będzie spoczywał obowiązek udowodnienia, że nie była konieczna zmiana dokumentów.
Podstawowym aktem prawnym wprowadzającym reformę jest:
- Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 27 kwietnia 2016 r. tzw. ogólne rozporządzenie o ochronie danych (w skrócie RODO).
- Będzie wydana również polska ustawa o ochronie danych osobowych.
Te dwa akty prawne są ze sobą w stosunku nadrzędności. Zgodnie z artykułem 91 ustęp 3 Konstytucji rozporządzenie unijne jest stosowane przed prawem wewnętrznym, o ile przepis taki znajduje się w ustawie lub akcie niższego rzędu. Zatem przepisy ustawowe tylko uzupełniają i w nielicznych przypadkach dozwolonych przez rozporządzenie zmieniają jego regulacje. Natomiast rozporządzenie wywołuje natychmiastowe skutki prawne od momentu wejścia w życie na poziomie Unii, jak i państw członkowskich.
Celem tego zabiegu było powstanie jednolitych zasad ochrony danych osobowych wszystkich osób przebywających na terenie Unii Europejskiej.
Ma to ogromne znaczenie praktyczne dla stosowania prawa. Dotychczas dla określenia swoich obowiązków wystarczyło posługiwanie się przepisami prawa polskiego. Od wejścia w życie RODO konieczna będzie znajomość przepisów unijnych, zasad ich wykładni oraz relacji do polskiego prawa. Konieczna będzie również większa znajomość orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej. Oczywiście sądy krajowe dalej będą orzekać w sprawach związanych z danymi osobowymi, ale w trakcie wykładni prawa zarówno sądy, jak i obywatele będą zobowiązani do stosowania wykładni zgodnej z celami prawa wspólnotowego.
RODO zawiera bardzo obszerną preambułę składającą się ze 173 motywów. W wersji papierowej mieści się ona na ponad 30 stronach. Formalnie preambuła nie ma charakteru wiążącego (por. Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-134/08 HauptzollamtBremen przeciwko J.E. Tyson Parketthandel GmbH). Jej zadanie polega na wskazaniu intencji prawodawcy w czasie wprowadzania konkretnego rozwiązania. Daje to wskazówki do interpretacji poszczególnych przepisów – pokazuje, jak należy je rozumieć. Na przykład motyw 43 mówi, że „zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych”. Dlatego zgoda taka powinna osobno dotyczyć samego wykonania umowy, a osobno na przykład przetwarzania dla celów marketingowych.
Z perspektywy preambuły do RODO warto zwrócić uwagę na dwa cele. W motywie 1 podkreślono, że prawo do ochrony danych należy do praw podstawowych Unii Europejskiej oraz praw człowieka. Na tej podstawie należy sądzić, że celem RODO jest ochrona praw jednostki, a interpretacja tego aktu powinna iść w kierunku jak najpełniejszej ich ochrony. Inaczej mówiąc, w przypadku wątpliwości należy wybierać rozwiązanie, które będzie chroniło dane osobowe.
Jednocześnie w motywie 2 wskazano, że celem rozporządzenia jest działanie na rzecz „tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi”. To znaczy, że co do zasady wolno wykorzystywać dane osobowe w obrocie gospodarczym, ale na zasadach wskazanych w przepisach.
Cel zawarty w motywie pierwszym i drugim nie pozostają ze sobą w sprzeczności. Mogą jednak wchodzić w konflikt. W tej sytuacji interpretacja przepisów będzie wymagała uwzględnienia obu wskazanych wartości w najszerszy możliwy sposób poprzez ich wyważenie. Należy jednak pamiętać, że uzasadnienie wyboru jest obowiązkiem administratora.
Definicja danych osobowych w RODO nie odbiega od dotychczas stosowanej. Zgodnie z nią dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Wprowadzono natomiast wytyczne w zakresie uznania, że dana osoba jest „możliwa do zidentyfikowania”.
Identyfikacja może mieć bezpośredni lub pośredni charakter, a jej podstawa jest dowolna. W RODO wskazuje się przykładowo, że za środek identyfikacji mogą posłużyć imię i nazwisko, numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy.
Jednocześnie nie rozstrzygnięto, w jaki sposób ocenia się, czy administrator jest w stanie zidentyfikować danego człowieka. Istnieją w tej kwestii dwa poglądy. Obiektywny, który mówi, że danymi osobowymi są te informacje, które pozwalają na identyfikację jednostki niezależnie od tego, czy administrator ma do nich dostęp, czy nie. Pogląd subiektywny wskazuje, że tylko wtedy dana informacja będzie daną osobową, jeżeli administrator sam ma możliwości stwierdzenia tożsamości osoby fizycznej. Na przykład numer PESEL lub numer prawa jazdy w wersji obiektywnej zawsze będzie daną osobową, ponieważ są rejestry, które pozwalają przypisać je do konkretnej osoby. Według koncepcji subiektywnej tylko wtedy będą to dane osobowe, jeżeli administrator przetwarza jeszcze inne informacje – na przykład imię i nazwisko.
W motywie 26 wskazuje się, że do oceny, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby jej identyfikacji. Dotyczy to również czasu, kosztów oraz dostępnej technologii, która ma służyć ustaleniu tożsamości. Jednak, jak wspomniano, preambuła (zawarte w niej motywy) nie jest bezpośrednio wiążąca.
Z rozstrzygnięciem tego sporu należy więc poczekać na oficjalne interpretacje i orzecznictwo sądowe. Na tę chwilę trzeba pamiętać, że regulacje RODO nie zawierają ograniczenia, znanego z polskiej ustawy, które wyłączało spod reżimu ochrony danych osobowych informacje, których wykorzystanie do określenia tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań.
Rozporządzenie wprowadza dwa podmioty odpowiedzialne za jego stosowanie.
- Pierwszym jest administrator, którym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Zatem administratorem mogą być zarówno organizacje pozarządowe w rozumieniu ustawy o pożytku, jak również inne podmioty prowadzące działalność pożytku publicznego, w tym grupy nieformalne czy jednostki organizacyjne niemające osobowości prawnej (jak stowarzyszenia zwykłe). Forma prawna nie ma istotnego znaczenia. Jako wyróżnik administratora wskazuje się fakt wskazywania celów i sposobów przetwarzania danych. Należy pamiętać, że w przypadku osób prawnych administratorem będzie ta osoba, a nie członkowie organów działających w jej imieniu. Stąd administratorem jest fundacja lub stowarzyszenie, a nie prezes czy zarząd.
- Drugim podmiotem odpowiedzialnym za stosowanie RODO jest podmiot przetwarzający. Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. W tym przypadku organizacja nie decyduje o celach i sposobach przetwarzania danych, tylko prowadzi operacje na nich w zakresie wskazanym przez administratora. Najczęściej podmiotem przetwarzającym stajemy się w wyniku podpisania stosownej umowy. Przykładowo może to mieć miejsce, kiedy organizacja jest podwykonawcą projektu lub współorganizuje jakąś akcję z zaprzyjaźnioną NGO.
Rozróżnienie między administratorem danych a podmiotem przetwarzającym jest kluczowe dla określenia odpowiedzialności prawnej. Zasadniczo odpowiada administrator, a podmiot przetwarzający odpowiada w zakresie umowy zawartej z administratorem, chyba że przepis szczególny stanowi inaczej.
Zakres terytorialny stosowania RODO jest określony w artykule 3. Wskazuje on dwie zasady.
- Pierwsza to obowiązek stosowania przepisów dla wszystkich podmiotów mających siedzibę na terenie Unii Europejskiej. Dotyczy to również sytuacji, gdy przetwarzanie odbywa się poza jej terenem. Dlatego polska organizacja pozarządowa prowadząca projekt pomocowy w Afganistanie ma obowiązek stosować przepisy RODO.
- Druga zasada dotyczy podmiotów mających siedzibę poza Unią Europejską. Muszą one stosować RODO, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług dla osób przebywających na terenie Unii lub z monitorowaniem ich zachowania.
Podsumowanie:
- RODO zmusza administratorów danych do większej aktywności w szacowaniu ryzyka, ale daje większe możliwości doboru narzędzi ochrony danych
- Rozporządzenie unijne ma pierwszeństwo w stosowaniu przed polską ustawą, a jego poprawna interpretacja wymaga znajomości reguł wykładni prawa unijnego
- Preambuła nie ma bezpośredniej treści normatywnej, pomaga jednak w ustaleniu celów reformy. Jednym z nich jest ochrona praw jednostki
- Pojęcie danych osobowych pozostaje bez zmian, nie wiadomo jednak, w którym kierunku pójdzie interpretacja posiadania środków do zidentyfikowania osoby
- Organizacje działające na terenie Polski będą zobowiązane do stosowania RODO niezależnie od tego, gdzie mają siedzibę
Dodatkowe informacje TUTAJ .
Źródło: www.poradnik.ngo.pl ; www.etransport.pl
ARCHIWUM
- Wybierz rok/miesiąc
- Kwiecień 2024 (41)
- Marzec 2024 (80)
- Luty 2024 (92)
- Styczeń 2024 (90)
- Grudzień 2023 (69)
- Listopad 2023 (55)
- Paździenik 2023 (58)
- Wrzesień 2023 (65)
- Sierpień 2023 (56)
- Lipiec 2023 (71)
- Czerwiec 2023 (59)
- Maj 2023 (103)
- Kwiecień 2023 (69)
- Marzec 2023 (84)
- Luty 2023 (63)
- Styczeń 2023 (69)
- Grudzień 2022 (67)
- Listopad 2022 (66)
- Paździenik 2022 (53)
- Wrzesień 2022 (49)
- Sierpień 2022 (37)
- Lipiec 2022 (32)
- Czerwiec 2022 (31)
- Maj 2022 (37)
- Kwiecień 2022 (44)
- Marzec 2022 (42)
- Luty 2022 (32)
- Styczeń 2022 (32)
- Grudzień 2021 (55)
- Listopad 2021 (50)
- Paździenik 2021 (35)
- Wrzesień 2021 (35)
- Sierpień 2021 (29)
- Lipiec 2021 (28)
- Czerwiec 2021 (28)
- Maj 2021 (30)
- Kwiecień 2021 (35)
- Marzec 2021 (51)
- Luty 2021 (34)
- Styczeń 2021 (27)
- Grudzień 2020 (42)
- Listopad 2020 (39)
- Paździenik 2020 (54)
- Wrzesień 2020 (20)
- Sierpień 2020 (23)
- Lipiec 2020 (35)
- Czerwiec 2020 (39)
- Maj 2020 (35)
- Kwiecień 2020 (51)
- Marzec 2020 (71)
- Luty 2020 (13)
- Styczeń 2020 (13)
- Grudzień 2019 (16)
- Listopad 2019 (11)
- Paździenik 2019 (5)
- Wrzesień 2019 (20)
- Sierpień 2019 (7)
- Lipiec 2019 (7)
- Czerwiec 2019 (7)
- Maj 2019 (9)
- Kwiecień 2019 (12)
- Marzec 2019 (13)
- Luty 2019 (18)
- Styczeń 2019 (14)
- Grudzień 2018 (11)
- Listopad 2018 (13)
- Paździenik 2018 (6)
- Wrzesień 2018 (17)
- Sierpień 2018 (5)
- Lipiec 2018 (11)
- Czerwiec 2018 (12)
- Maj 2018 (13)
- Kwiecień 2018 (14)
- Marzec 2018 (5)
- Luty 2018 (13)
- Styczeń 2018 (21)