06.04.2018
Rząd przyjął projekt krajowej ustawy o ochronie danych osobowych. Zaproponowane przepisy wynikają z konieczności dostosowania polskich przepisów do unijnego rozporządzenia o ochronie danych osobowych (tzw. RODO).
Projekt przewiduje m.in. powołanie nowego organu zajmującego się nadzorem spraw dotyczących ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który zastąpi dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Organem doradczym dla prezesa Urzędu będzie ustanowiona przy nim Rada do Spraw Ochrony Danych Osobowych. Zniesiona zostanie dotychczasowa dwuinstancyjność postępowania w sprawach naruszenia przepisów o ochronie danych osobowych.
Źródło: www.koben.pl
Wchodząca w życie 25 maja 2018 roku reforma ochrony danych osobowych wprowadza całkowicie nowe rozwiązania w tej dziedzinie. Powszechnie określa się ją jako rewolucję. Dotknie ona również organizacje pozarządowe, ponieważ co do zasady, będą one podlegały jej przepisom w całości. W artykule zostały omówione najważniejsze założenia reformy oraz pojęcia danych osobowych i podmiotów zobowiązanych do stosowania przepisów.
Jedną z ważniejszych cech reformy jest całkowita zmiana założeń dotyczących tego, jak powinna wyglądać ochrona danych osobowych. Dotychczas wystarczało, że administrator wypełniał obowiązki wskazane w przepisach prawa. Od wejścia w życie reformy administrator będzie zobowiązany stosować zasadę risk based approach. To znaczy, że będzie musiał samodzielnie oceniać, jakie są ryzyka związane z przetwarzanymi danymi osobowymi i jakie w związku z tym należy przedsięwziąć środki.
Uchylone zostanie rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), na podstawie którego tworzono Politykę bezpieczeństwa i Instrukcje zarządzania systemem informatycznym. W większości organizacji pozarządowych te dokumenty były podstawą do określenia obowiązków w zakresie danych osobowych.
Nie znaczy to jednak, że z chwilą uchylenia rozporządzenia z dnia 29 kwietnia 2004 r. wszystkie Polityki i Instrukcje stracą moc. Jeżeli analiza ryzyka przeprowadzona w organizacji pozarządowej potwierdzi, że są one wystarczające, będzie można je również stosować po wejściu w życie RODO (czyli opisywanej tu reformy). Trzeba być jednak uważnym w tym zakresie, ponieważ to na organizacji pozarządowej (administratorze) będzie spoczywał obowiązek udowodnienia, że nie była konieczna zmiana dokumentów.
Te dwa akty prawne są ze sobą w stosunku nadrzędności. Zgodnie z artykułem 91 ustęp 3 Konstytucji rozporządzenie unijne jest stosowane przed prawem wewnętrznym, o ile przepis taki znajduje się w ustawie lub akcie niższego rzędu. Zatem przepisy ustawowe tylko uzupełniają i w nielicznych przypadkach dozwolonych przez rozporządzenie zmieniają jego regulacje. Natomiast rozporządzenie wywołuje natychmiastowe skutki prawne od momentu wejścia w życie na poziomie Unii, jak i państw członkowskich.
Celem tego zabiegu było powstanie jednolitych zasad ochrony danych osobowych wszystkich osób przebywających na terenie Unii Europejskiej.
Ma to ogromne znaczenie praktyczne dla stosowania prawa. Dotychczas dla określenia swoich obowiązków wystarczyło posługiwanie się przepisami prawa polskiego. Od wejścia w życie RODO konieczna będzie znajomość przepisów unijnych, zasad ich wykładni oraz relacji do polskiego prawa. Konieczna będzie również większa znajomość orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej. Oczywiście sądy krajowe dalej będą orzekać w sprawach związanych z danymi osobowymi, ale w trakcie wykładni prawa zarówno sądy, jak i obywatele będą zobowiązani do stosowania wykładni zgodnej z celami prawa wspólnotowego.
RODO zawiera bardzo obszerną preambułę składającą się ze 173 motywów. W wersji papierowej mieści się ona na ponad 30 stronach. Formalnie preambuła nie ma charakteru wiążącego (por. Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-134/08 HauptzollamtBremen przeciwko J.E. Tyson Parketthandel GmbH). Jej zadanie polega na wskazaniu intencji prawodawcy w czasie wprowadzania konkretnego rozwiązania. Daje to wskazówki do interpretacji poszczególnych przepisów – pokazuje, jak należy je rozumieć. Na przykład motyw 43 mówi, że „zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych”. Dlatego zgoda taka powinna osobno dotyczyć samego wykonania umowy, a osobno na przykład przetwarzania dla celów marketingowych.
Z perspektywy preambuły do RODO warto zwrócić uwagę na dwa cele. W motywie 1 podkreślono, że prawo do ochrony danych należy do praw podstawowych Unii Europejskiej oraz praw człowieka. Na tej podstawie należy sądzić, że celem RODO jest ochrona praw jednostki, a interpretacja tego aktu powinna iść w kierunku jak najpełniejszej ich ochrony. Inaczej mówiąc, w przypadku wątpliwości należy wybierać rozwiązanie, które będzie chroniło dane osobowe.
Jednocześnie w motywie 2 wskazano, że celem rozporządzenia jest działanie na rzecz „tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi”. To znaczy, że co do zasady wolno wykorzystywać dane osobowe w obrocie gospodarczym, ale na zasadach wskazanych w przepisach.
Cel zawarty w motywie pierwszym i drugim nie pozostają ze sobą w sprzeczności. Mogą jednak wchodzić w konflikt. W tej sytuacji interpretacja przepisów będzie wymagała uwzględnienia obu wskazanych wartości w najszerszy możliwy sposób poprzez ich wyważenie. Należy jednak pamiętać, że uzasadnienie wyboru jest obowiązkiem administratora.
Definicja danych osobowych w RODO nie odbiega od dotychczas stosowanej. Zgodnie z nią dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Wprowadzono natomiast wytyczne w zakresie uznania, że dana osoba jest „możliwa do zidentyfikowania”.
Identyfikacja może mieć bezpośredni lub pośredni charakter, a jej podstawa jest dowolna. W RODO wskazuje się przykładowo, że za środek identyfikacji mogą posłużyć imię i nazwisko, numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy.
Jednocześnie nie rozstrzygnięto, w jaki sposób ocenia się, czy administrator jest w stanie zidentyfikować danego człowieka. Istnieją w tej kwestii dwa poglądy. Obiektywny, który mówi, że danymi osobowymi są te informacje, które pozwalają na identyfikację jednostki niezależnie od tego, czy administrator ma do nich dostęp, czy nie. Pogląd subiektywny wskazuje, że tylko wtedy dana informacja będzie daną osobową, jeżeli administrator sam ma możliwości stwierdzenia tożsamości osoby fizycznej. Na przykład numer PESEL lub numer prawa jazdy w wersji obiektywnej zawsze będzie daną osobową, ponieważ są rejestry, które pozwalają przypisać je do konkretnej osoby. Według koncepcji subiektywnej tylko wtedy będą to dane osobowe, jeżeli administrator przetwarza jeszcze inne informacje – na przykład imię i nazwisko.
W motywie 26 wskazuje się, że do oceny, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby jej identyfikacji. Dotyczy to również czasu, kosztów oraz dostępnej technologii, która ma służyć ustaleniu tożsamości. Jednak, jak wspomniano, preambuła (zawarte w niej motywy) nie jest bezpośrednio wiążąca.
Z rozstrzygnięciem tego sporu należy więc poczekać na oficjalne interpretacje i orzecznictwo sądowe. Na tę chwilę trzeba pamiętać, że regulacje RODO nie zawierają ograniczenia, znanego z polskiej ustawy, które wyłączało spod reżimu ochrony danych osobowych informacje, których wykorzystanie do określenia tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań.
Rozróżnienie między administratorem danych a podmiotem przetwarzającym jest kluczowe dla określenia odpowiedzialności prawnej. Zasadniczo odpowiada administrator, a podmiot przetwarzający odpowiada w zakresie umowy zawartej z administratorem, chyba że przepis szczególny stanowi inaczej.
Dodatkowe informacje TUTAJ .
Źródło: www.poradnik.ngo.pl ; www.etransport.pl