Przeglądana kategoria

ochrona danych osobowych

dobra osobiste ochrona danych osobowych

Prawo do bycia zapomnianym nie dla znanych przedsiębiorców?

9 listopada 2017
prawo do bycia zapomnianym

Prawo do bycia zapomnianym jako dobro osobiste

Prawo do bycia zapomnianym było w ostatnim czasie przedmiotem postępowania przed Europejskim Trybunałem Praw Człowieka w Strasburgu. Trybunał rozpatrywał sprawę Fushmann przeciwko Niemcom, gdzie musiał wyważyć prawo do prywatności z wolnością słowa. Skarżącym w przedmiotowym postępowaniu był dość znany w Niemczech przedsiębiorca, który chciał skorzystać z tzw. prawa do bycia zapomnianym. Jak jednak  wynika z treści wyroku ETPCz, rozpoznawalny przedsiębiorca powinien być jednak traktowany jako osoba publiczna (public figure). W związku z tym musi liczyć się z krytyką w mediach, która w pewnych sytuacja może obierać ostrzejszą formę.

Ważenie dóbr osobistych

Skarżący domagał się przed sądami krajowymi ochrony dóbr osobistych, które – jego zdaniem – zostały naruszone przez zamieszczony w Internecie artykuł prasowy.  Zgodnie z jego treścią skarżący przedsiębiorca był m.in. powiązany z aferą korupcyjną, jak również z rosyjską mafią. Sądy krajowe zgodnie przyznawały rację pozwanym, twierdząc, że w interesie publicznym leży informowanie czytelników o tym, że znany przedsiębiorca jest częścią zorganizowanej grupy przestępczej. Stąd też prawo do bycia zapomnianym nie może być w tym przypadku czynnikiem decydującym o usunięciu przedmiotowej publikacji.

Skargę do ETPCz  Fushmann oparł na naruszeniu prawa do poszanowania życia prywatnego i rodzinnego (art. 8 Europejskiej Konwencji O Ochronie Praw Człowieka i Podstawowych Wolności, dalej: Konwencja). ETPCz przyznał rację sądom niemieckim i uznał, że utrzymywanie artykułów prasowych w archiwalnej wersji czasopisma było uzasadnione, gdyż zawarte tam treści były publikowane w interesie publicznym. Sąd podkreślił przy tym, że treści zawarte w artykule w tej sprawie były potwierdzone dokumentami. Ponadto odniósł się do tego, że artykuł dotyczył życia zawodowego Skarżącego, a nie prywatnego, stąd też nie doszło do naruszenia art. 8 Konwencji.

Komentarz

ETPCz poruszył aktualny problem ochrony dóbr osobistych (prawo do bycia zapomnianym) z punktu widzenia osób rozpoznawalnych przez szerokie grono osób. Omawiany wyrok pokazuje, że prawo do bycia zapomnianym nie działa automatycznie i może nie mieć zastosowania w określonych sytuacjach. W powyższej sprawie za pozostawieniem publikacji w Internecie przemawiał przede wszystkim interes publiczny. Z konkluzją tą oczywiście należy się zgodzić.

Z wyroku wynika również, że instytucja prawa do bycia zapomnianym może nie mieć zastosowania do określonych osób, tj. osób publicznych. Pojęcie osoby publicznej jest pojmowane w orzecznictwie bardzo szeroko, a ww. wyrok przypomina, że do kategorii tej zaliczają się także rozpoznawalni przedsiębiorcy, którzy zostali uznani przez ETPCz za public figure. Jednakże to, czy dana osoba zostanie zaliczona do tej kategorii, powinno zależeć od tego, jaką rolę pełni w życiu publicznym. Trzeba zauważyć, że pojawianie się danego przedsiębiorcy w mediach samo w sobie nie wystarcza do uznania go za osobę publiczną.

Orzeczenie wpisuje się w tendencję widoczną w ostatnich latach – zarówno w orzecznictwie europejskim, jak i polskim – poszerzania pojęcia osoby publicznej. Dotyka też ważkiego problemu ochrony dóbr osobistych poprzez skorzystanie z prawa do bycia zapomnianym, które do tej pory było raczej rozpoznawane w kontekście ochrony danych osobowych. Jak wynika z treści wyroku rozpoznawalni przedsiębiorcy muszą mieć świadomość, że informacje na ich temat zamieszczane w Internecie mogą pozostać tam na zawsze.

ochrona danych osobowych

Certyfikacja i jej korzyści na gruncie rozporządzenia RODO

2 listopada 2017
Certyfikacja

Certyfikacja a okres przejściowy RODO

Wielkimi krokami zbliża się koniec okresu przejściowego na dostosowanie się do wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO, rozporządzenie), które będzie mieć zastosowanie od 25 maja 2018 r. Obok licznych zmian RODO wprowadza m.in. mechanizm certyfikacji.

Czym jest certyfikacja na gruncie RODO?

Certyfikacja stanowi zupełną nowość na gruncie prawa ochrony danych osobowych. Ani dyrektywa 95/46/WE, ani obecnie obowiązująca ustawa o ochronie danych osobowych nie przewidywała instytucji certyfikacji. RODO to zmienia. Zgodnie z art. 42 ust. 1 rozporządzenia państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń,  mających świadczyć o zgodności przetwarzania danych z RODO. W swym założeniu certyfikat ma być dokumentem poświadczającym przestrzeganie przez administratora dobrych praktyk przetwarzania danych osobowych.

Certyfikacja a odpowiednie zabezpieczenie danych

Certyfikacja przypomina w pewnym zakresie System Zarządzania Bezpieczeństwa Informacji (Information Security Management System) zgodnym z wymaganiami normy ISO/IEC 27001[1]. System bezpieczeństwa podobnie jak mechanizm certyfikacji polega na wdrożeniu odpowiednich systemów zabezpieczeń, w szczególności ustanowienia polityki bezpieczeństwa oraz dostosowaniu systemów informatycznych do potencjalnych zagrożeń związanych m.in.: z ryzykiem utraty danych, naruszeniem poufności danych, a także brakiem integralności danych tj. dokładności i kompletności przetwarzanych danych.

Innymi słowy mechanizm certyfikacji polega na stworzeniu domniemania zgodności przetwarzania danych osobowych zgodnie z przepisami rozporządzenia. Niemniej jednak będzie to domniemanie wzruszalne, ponieważ certyfikat nie zwalnia od odpowiedzialności za naruszenie zasad przetwarzania danych określonych w RODO.  Warto podkreślić, że certyfikacja jest całkowicie fakultatywna. To bowiem od decyzji administratora danych czy podmiotu przetwarzającego będzie zależało czy wystąpi on o certyfikat.

Do kogo po certyfikat?

W ramach wstępnych założeń, tylko Prezes UODO będzie mógł udzielić certyfikacji mimo, że RODO dopuszcza udzielenie certyfikatu również przez inne podmioty certyfikujące tj. podmioty prywatne, posiadające stosowną akredytację krajowego organu nadzorczego. Takie rozwiązanie ma swoje plusy i minusy. Niewątpliwą korzyścią „urzędowej” certyfikacji „będzie zapewnienie jednolitości certyfikacji i wyeliminowanie niepewności związanej z oddaniem certyfikacji z prywatne ręce” (P. Litwiński, Certyfikacja w nowych przepisach o ochronie danych osobowych, Firma i Prawo). Z drugiej strony, postępowania administracyjne, toczące się przed Prezesem GIODO, notorycznie się przedłużają. Stoi to z kolei w sprzeczności z interesem administratora, który zainteresowany jest uzyskaniem certyfikatu w możliwie najkrótszym czasie.

Administrator danych lub podmiot przetwarzający, chcący uzyskać certyfikat, będzie musiał wykazać spełnienie kryteriów do jego uzyskania. Kryteria te w przyszłości określi i udostępni Prezes UODO (GIODO) w Biuletynie Informacji Publicznej Urzędu. Na obecną chwilę Prezes GIODO nie określił wspomnianych kryteriów i raczej w najbliższym czasie nie należy się spodziewać ich publikacji.

Przyznanie bądź odmowa przyznania certyfikatu będzie następować w drodze decyzji Prezesa UODO. Certyfikat będzie udzielany na czas określony – maksymalnie do 3 lat (art. 42 ust. 7 RODO). Będzie przy tym istniała możliwość przedłużenia ważności certyfikatu na kolejne okresy.  W trakcie ważności certyfikatu możliwe są kontrole w zakresie spełniania wymogów certyfikacji.

Potencjalne korzyści płynące z certyfikacji

Można zadać pytanie, po co zdobywać certyfikat, skoro nie wyłącza on odpowiedzialności za ewentualne naruszenie przepisów RODO? Argumentów za wprowadzeniem takiego rozwiązania jest co najmniej kilka.

Po pierwsze uzyskanie certyfikatu może mieć istotny walor  wizerunkowy. Obecnie brak jest odpowiednich instrumentów, które pozwoliłby podmiotom danych zweryfikować, czy określony administrator danych rzetelnie wywiązuje się ze swoich obowiązków związanych z ochroną danych osobowych.  Dzięki certyfikacji administrator będzie mógł się wyróżnić na tle konkurencji. W przyszłości może się to przełożyć na wzmocnienie jego pozycji rynkowej. Co więcej, certyfikacja będzie pomocna również samym administratorom, ponieważ ułatwi wybór odpowiedniego podmiotu przetwarzającego dane osobowe na zlecenie (podwykonawcy) w ramach outsourcingu czynności związanych z przetwarzaniem danych. Naturalnym powinien być wybór podwykonawcy mającego certyfikat niż tego, który go nie ma.

Po drugie certyfikat będzie niezwykle użytecznym instrumentem do wykazania realizacji wielu obowiązków przewidzianych wprost w RODO np.: obowiązku zapewnienia bezpieczeństwa danych oraz wdrożenia odpowiednich rozwiązań technicznych i prawnych mające na celu realizację zasady privacy by design / privacy by default.

Po trzecie posiadanie certyfikatu będzie miało wpływ na wysokość administracyjnej kary pieniężnej w sytuacji naruszenia przez administratora przepisów rozporządzenia. Zgodnie z art. 83 ust. 2 lit. j RODO krajowy organ nadzorczy, decydując się na nałożenie kary pieniężnej, musi przy ustalaniu jej wysokości wziąć pod uwagę czy podmiot dopuszczający się naruszeń stosował zatwierdzone mechanizmy certyfikacji. W ten sposób podmiot posiadający certyfikat może liczyć na łagodniejszy wymiar kary.

Po czwarte certyfikacja jest rozwiązaniem relatywnie tanim. W świetle art. 16 ust. 1 projektu UODO za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobiera opłatę w wysokości trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa GUS. Biorąc pod uwagę, że przeciętne miesięczne wynagrodzenie za pracę w II kwartale 2017 r. wynosiło 4220,69 zł[2] to całkowity koszt certyfikacji wyniesie ok. 13 000 zł.

Publikacje:

[1] T. Osiej, Charakter prawny nowych mechanizmów certyfikacji w zakresie ochrony danych osobowych, Informacja w administracji publicznej, nr. 2, str. 31.

[2]http://stat.gov.pl/sygnalne/komunikaty-i-obwieszczenia/lista-komunikatow-i-obwieszczen/komunikat-w-sprawie-przecietnego-wynagrodzenia-w-ii-kwartale-2017-roku,271,17.html.

 

W celu zapoznania się z tematyką i najważniejszymi zmianami wprowadzanymi rozporządzeniem RODO zachęcamy lekturę artykułu, umieszczonego na blogu IP Procesowo, pt: „Nowe rozporządzenie o ochronie danych osobowych wprowadza zmianę modelu ochrony” autorstwa Huberta Kutkiewicza oraz Eweliny Ocipińskiej.

 

WSPÓŁAUTORAMI WPISU SĄ:

  MEC. ANETA PANKOWSKA                                       HUBERT KUTKIEWICZ

 

Powyższy wpis został również opublikowany na portalu Biznes Alert.

ochrona danych osobowych

RKKW partnerem projektu ZARZĄDZANIE LUDŹMI W ORGANIZACJI (IESE Business School)

31 października 2017
zarządzanie ludźmi w organizacji

Executive Education Center, będąca polskim partnerem IESE Business School – najlepszej szkoły biznesu na świecie w rankingu Financial Times w latach 2015, 2016 i 2017, organizuje panel zajęć edukacyjnych ZARZĄDZANIE LUDŹMI W ORGANIZACJI.

Panel jest skierowany do kadry menedżerskiej i osób odpowiedzialnych za rozwój kapitału ludzkiego, w szczególności szefów działów HR, menedżerów kierujących zespołem, przedsiębiorców inwestujących w nowe działania i zespoły, a także właścicieli firm rodzinnych, którzy pragną kształcić kolejne generacje liderów. Zajęcia organizowane są w ramach inicjatywy IMPACT, opracowanej przez Absolwentów IESE Business School.

Zajęcia będą odbywać się w Warszawie od lutego do maja 2018 roku, w pięciu dwudniowych modułach. Komisja rekrutacyjna przyjmuje już zgłoszenia w formie aplikacji.

Kancelaria RKKW jest partnerem projektu, a mec. Aneta Pankowska poprowadzi wykład w module Regulacje Prawne w temacie „Ochrona danych osobowych w skali polskiej, europejskiej i globalnej”.

Czytaj więcej: ZARZĄDZANIE LUDŹMI W ORGANIZACJI

ochrona danych osobowych prawa autorskie prawo IT

Nowe rozporządzenie w sprawie przenoszenia usług online

2 sierpnia 2017
przenoszenie usług online

Przenoszenie usług online – przyczyny zmian

W ostatnim czasie znaczny postęp technologiczny na rynku urządzeń przenośnych spowodował, iż szczególną popularność zdobyła dystrybucja cyfrowa polegająca na odpłatnym udostępnianiu online treści, najczęściej chronionej prawem autorskim, zebranej w jednym pakiecie. Wśród platform, które zdecydowały się na tak funkcjonujący model biznesowy, są tacy potentaci rynku jak Valve, Amazon.com, Netflix czy też Spotify.

Dynamiczny rozwój oraz duże zainteresowanie na tego typu usługi uwypukliły wszelkiego rodzaju mankamenty prawa unijnego. Okazało się chociażby, iż świadczenie powyższych usług online konsumentom czasowo obecnym w państwie członkowskim innym niż państwo członkowskie ich miejsca zamieszkania jest znacznie utrudnione, a często wręcz niemożliwe. Główną przyczyną takiego stanu rzeczy są istotne różnice istniejące pomiędzy poszczególnymi krajowymi porządkami prawnymi w zakresie praw autorskich, zwłaszcza dotyczące ograniczeń terytorialnych (licencje na korzystanie z utworów są co do zasady ograniczane terytorialnie).

Panaceum na powyższe problemy ma być niedawno przyjęte Rozporządzenie Parlamentu Europejskiego i Rady w sprawie transgranicznego przenoszenia na rynku wewnętrznym usług online w zakresie treści. Motywem przyjętego aktu prawnego jest utworzenie jednolitego rynku cyfrowego w ramach całej UE.

Zakres zastosowania

Niniejsze Rozporządzenie znajduje zastosowanie do umów świadczenia usług online w zakresie treści:

  • w ramach których dostawcy po uzyskaniu licencji na rozpowszechnianie przedmiotów prawa autorskiego (utworów lub transmisji) na danym terytorium umożliwiają za pomocą różnych technik transmisji i pobierania danych korzystanie z utworów prawa autorskiego,
  • z których użytkownik może korzystać bez względu na miejsce swojego pobytu, w szczególności usług dostępnych na przenośnych urządzeniach typu laptop, smartfon, tablet,
  • w ramach których dystrybutor ma możliwość weryfikacji miejsca dokonania płatności za świadczone usługi.

Nadto ustawodawca unijny precyzuje, iż zakresem stosowania niniejszego Rozporządzenia nie są objęte te usługi online, które nie są usługami kulturalnymi i gospodarczymi oraz jedynie pomocniczo wykorzystują przedmioty prawa autorskiego. Chodzi tu o taką działalność, w zakresie której prawa autorskie stanowią jedynie tło dla funkcjonowania całości (np. szata graficzna).

Najważniejsze zmiany

Rozporządzenie, mając na celu zniesienie geoblokad na rynku dystrybucji treści cyfrowych, wprowadza swoistego rodzaju fikcję prawną, zgodnie z którą korzystanie z usług online w miejscu czasowego pobytu odbywa się w miejscu zamieszkania użytkownika takiej platformy. Oznacza to, iż obywatele RP, przebywając w innym państwie UE, chociażby na wakacjach, wyjazdach służbowych czy wymianach studenckich, będą mogli korzystać z platform dystrybucji cyfrowej na tych samych zasadach i warunkach, jakie obowiązują w Polsce. Co więcej, w świetle Rozporządzenia, konsumenci korzystający z powyższych treści będą traktowani tak jakby nadal przebywali w kraju.

Powyższa fikcja prawna odnosi się także do funkcjonalności oraz treści świadczonych usług, które nie powinny odbiegać od stanu jaki obowiązuje w państwie miejsca zamieszkania. Wyjątkiem jest tu regulacja dotycząca jakości, która co do zasady winna być taka sama jak w państwie miejsca zamieszkania, ale nie musi przewyższać swoim poziomem jakości dostępnej lokalnie.

Poprzez utworzenie fikcji prawnej dalszego obowiązywania regulacji krajowych wobec konsumentów przebywających czasowo w państwie trzecim ustawodawca europejski stworzył system, w którym dostawcy i dystrybutorzy treści nie ponoszą odpowiedzialności za potencjalne naruszenia umów licencyjnych ograniczonych terytorialne. Przyjmuje się bowiem, iż usługi są nadal świadczone na podstawie i w ramach prawa państwa miejsca zamieszkania. Z tego też wynika, iż omawiane Rozporządzenie nie ingeruje bezpośrednio w porządek prawny poszczególnych państw europejskich i nie modyfikuje istniejących modeli licencjonowania treści (w tym nie niweczy zasady ograniczenia terytorialnego).

Poza obowiązkiem zapewnienia konsumentom możliwości transgranicznego przenoszenia treści online, dostawcy zobowiązani są do weryfikowania lokalizacji użytkownika w momencie zawierania i każdorazowego przedłużania umowy. W praktyce tego rodzaju usługi są zazwyczaj przez konsumentów opłacane przy pomocy systemu automatycznych transakcji pieniężnych niewymagających obecności osób fizycznych zlecanych na podstawie odnawialnych miesięcznie subskrypcji. W związku z tym wydaje się, że najczęściej stosowanymi środkami weryfikacji lokalizacji konsumentów korzystających z usług dostawców treści online, oprócz sprawdzenia adresów IP, mogą być uzyskiwane informacje dotyczące szczegółów płatności, takich jak rachunek bankowy lub karta kredytowa. Przedsiębiorcy muszą jednak pamiętać, iż stosowanie środków weryfikacyjnych musi być uzasadnione, proporcjonalne, skuteczne oraz zgodne z regulacjami dotyczącymi ochrony danych osobowych.

Kontrowersje i uwagi

Problem istnienia geoblokad od wielu lat stanowił przedmiot dyskusji społecznych oraz debat parlamentarnych. Dotychczasowy stan prawny stanowił niekorzystne z punktu widzenia relacji konsument – przedsiębiorca ograniczenie dla pełnej realizacji zawieranych stosunków cywilnoprawnych. Obie grupy były zainteresowane zniesieniem zasady terytorialności obowiązywania praw autorskich w zakresie treści udostępnianej online – konsumenci z uwagi na chęć korzystania z wcześniej wykupionego pakietu w niezmienionym zakresie podczas swojego pobytu za granicą, zaś przedsiębiorcy z uwagi na obawę przed stratami wynikającymi z ewentualnych rezygnacji zgłaszanych przez użytkowników udających się do państwa trzeciego.

Grupą społeczną negatywnie nastawioną na tego rodzaju zmiany byli przede wszystkim posiadacze praw autorskich. Jest to o tyle zrozumiałe, iż autorzy czerpią zyski z każdorazowo zawieranej umowy licencyjnej obowiązującej na poszczególnych terytoriach państw członkowskich. Dystrybutorzy, chcąc umożliwić korzystanie konsumentom z pakietu w tej samej formie, która istnieje w państwie miejsca zamieszkania, byliby zobowiązani do zawierania kilkunastu umów lub jednej umowy o wyższych kosztach całkowitych.

Powyższe Rozporządzenie starało się wyjść naprzeciw wszystkim zainteresowanym grupom, choć nie obyło się bez legislacyjnych nieścisłości. W praktyce dużo kontrowersji budzi rozumienie pojęcia „czasowej obecności w innym państwie”. Mimo, iż ustawodawca postarał się o definicję legalną powyższego terminu, to uczynił to w wysoce nieprecyzyjny sposób. Nie wiadomo bowiem jak należy rozumieć przesłankę obecności przez ograniczony okres w państwie trzecim. Czy przykładowo wyjazdy w ramach wymian studenckich typu Erasmus będą traktowane jako spełniające powyższy warunek? Na tak postanowione pytanie dopóty trudno będzie udzielić odpowiedzi dopóki przesłanka ograniczenia czasowego nie będzie zakreślona konkretnymi ramami czasowymi.

Jak już słusznie zauważono, opisywane Rozporządzenie ma dość jednostronny charakter[1]. Należy się zgodzić, iż fakt pominięcia sytuacji, w której użytkownik wykupuje pakiet usług online w miejscu czasowej obecności w innym państwie niż państwo miejsca zamieszkania, stanowi swoistego rodzaju lukę prawną, która będzie wykładana zgodnie z dotychczasowym i nieprzystającym do dzisiejszych realiów porządkiem prawnym.

Ciekawą do rozważenia kwestią są także środki weryfikacyjne i ich potencjalny wpływ na konsumentów. Zgodnie z dyspozycją art. 5 Rozporządzenia do dystrybutorów treści cyfrowych UE należy wybór dwóch środków weryfikacji lokalizacji użytkownika spośród wymienionych enumeratywnie w powyższym przepisie. Wydaje się, że niektóre z proponowanych rozwiązań mogą w rzeczywistości być zbyt uciążliwe dla klientów. Taka sytuacja może dotyczyć chociażby wymogu przesłania dysponentom kopii swojego dowodu tożsamości potwierdzającego miejsce zamieszkania, kopii zawieranych umów z przedsiębiorcami udostępniającymi Internet, kopii opłacanych podatków czy też kopii dokonanej rejestracji na liście wyborczej. Pomimo tego, iż Rozporządzenie wymaga, by zastosowane środki były uzasadnione, proporcjonalne i skuteczne, należy stwierdzić, że niektórzy użytkownicy zaniepokojeni możliwością dokonania potencjalnych naruszeń ich danych osobowych, mogą rezygnować z usług transgranicznego przenoszenia treści online. Zdaje się, iż zasadnym byłby postulat przyznania przedsiębiorcom większej swobody w kształtowaniu środków weryfikacji, bowiem to w interesie dystrybutorów leży stworzenie takich mechanizmów, które w jak najmniejszym stopniu będą ingerowały w komfort konsumentów.

Na sam koniec należy zaznaczyć, iż Rozporządzenie nie normuje kwestii związanych z dostarczaniem usługi online świadczonych pierwotnie poza granicami UE. Wydaje się jednak, iż powyższe relacje na tle przenoszenia treści poza granicami państw unijnych będą wynikiem ewentualnych negocjacji w sprawie współpracy, co należy uznać za pozytywne rozwiązanie (zwłaszcza z punktu widzenia ochrony danych osobowych).

[1] M. Kubiak, M. Zawadka, Zmiany w dostępie do usług online wewnątrz UE?, LSW IP BLOG: http://lswipblog.pl/pl/2016/01/zmiany-w-dostepie-do-uslug-online-wewnatrz-ue/

cyberbezpieczeństwo ochrona danych osobowych

Nowe rozporządzenie o ochronie danych osobowych wprowadza zmianę modelu ochrony

14 lutego 2017

Głównym motywem zmiany modelu ochrony danych osobowych na terytorium Unii Europejskiej (Europejskiego Obszaru Gospodarczego) była z jednej strony chęć zwiększenia skuteczności ochrony danych osobowych jako prawa podstawowego przewidzianego m.in. w Karcie Praw Podstawowych (art. 8) oraz Traktacie o funkcjonowaniu UE (art. 16), z drugiej zaś konieczność dostosowania unijnych regulacji prawnych do potrzeb wynikających z ciągłego rozwoju nowych technologii oraz postępującej cyfryzacji.

Konieczność zmiany modelu ochrony danych osobowych

Mająca ponad 20 lat Dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwana dalej: Dyrektywą) jawiła się jako instrument przestarzały, nieprzystosowany do nowych zjawisk, takich jak komercjalizacja Internetu, intensyfikacja transgranicznego przepływu danych czy też nowych metod przetwarzania danych np. w ramach chmury obliczeniowej (ang. cloud computing). Co więcej, Dyrektywa nie zapewniała w sposób wystarczający bezpieczeństwa danych osobowych obywateli Unii (EOG) w przypadku transferu danych do tzw. „państw trzecich”, czyli państw niebędących członkami UE (EOG). Najlepszym tego przykładem była decyzja Komisji Europejskiej 2000/520/WE uznająca adekwatność zasad programu amerykańskiej „bezpiecznej przystani” (ang. Safe Harbour) wydana na podstawie art. 25 ust. 6 Dyrektywy. Powyższy instrument miał umożliwić swobodny przepływ danych pomiędzy Stanami Zjednoczonymi a Unią Europejską w sytuacji, gdy państwo będące docelowym odbiorcą danych (mowa tu o USA) nie zapewnia adekwatnego poziomu ochrony (?) danych osobowych w rozumieniu Dyrektywy. W omawianym przypadku niespełnienie kluczowej przesłanki warunkującej przekazanie danych poza terytorium UE wiązało się z brakiem federalnych regulacji prawnych dotyczących ochrony danych osobowych. Program „bezpiecznej przystani” miał być w swoim założeniu swoistym kompromisem umożliwiającym pogodzenie dwóch odmiennych porządków prawnych. Ostatecznie Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z dnia 6 października 2015 r. w sprawie Maximillian Schrems przeciwko Data Protection Commissioner (C-362/14) orzekł o nieważności decyzji 2000/520/WE, a to za sprawą wielu nieprawidłowości ujawnionych w toku postępowania. Po pierwsze, omawiana decyzja uniemożliwiała krajowym organom nadzoru prowadzenie dochodzeń w sprawie skargi dotyczącej nieodpowiedniego stopnia ochrony, czego rezultatem może być zawieszenie dalszego przekazywania danych. Po drugie wykazano, że Komisja Europejska nie wykonała swojego podstawowego zobowiązania polegającego na ocenie, czy Stany Zjednoczone rzeczywiście poprzez swoje ustawodawstwo krajowe lub zobowiązania międzynarodowe zapewniają równoważny stopień ochrony praw podstawowych do gwarantowanego w ramach prawodawstwa Unii.

Jakie zmiany wprowadza Rozporządzenie?

Wraz z wejściem w życie Rozporządzenia doszło do istotnych zmian w unijnym modelu ochrony danych osobowych. Poniżej najważniejsze z nich.

Doprecyzowanie pojęcia „danych osobowych”

Rozporządzenie dokonało znaczącej redefinicji pojęcia „danych osobowych”. Podobnie jak miało to miejsce na gruncie Dyrektywy, dane osobowe to nadal informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Niemniej jednak, ze względu na szybki rozwój nowych technologii, pojęcie „danych osobowych” należało rozszerzyć o kolejne kategorie danych, które chociażby w potencjalny sposób mogłyby identyfikować daną osobę tj.: dane lokalizacyjne, adresy IP, identyfikatory internetowe czy też dane dotyczące stanu zdrowia.

Privacy by design / Privacy by default

Ochrona danych w fazie projektowania (ang. privacy by design) oraz ochrona danych w opcji domyślnej (ang. privacy by default) stanowią przykłady nowych zagadnień, jakie wprowadza ogólne rozporządzenie o ochronie danych osobowych. Koncepcja privacy by design zakłada wdrażanie wymogów rozporządzenia już na etapie projektowania pewnych rozwiązań mogących wiązać się z różnego rodzaju zagrożeniami wynikającymi z przetwarzania danych (art. 25 ust. 1 Rozporządzenia). Z kolei privacy by default wprowadza wymóg wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych po to, aby procesowi przetwarzania podlegały wyłącznie dane osobowe niezbędne dla osiągnięcia konkretnego celu (art. 25 ust. 2 Rozporządzenia).

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym (ang. right to be forgotten), zwane również prawem do usunięcia danych (ang. right to erasure), to zupełnie nowa instytucja na gruncie europejskiego prawa ochrony danych osobowych. Pierwszy raz na temat prawa do bycia zapomnianym wypowiedział się TSUE na kanwie sprawy Google Spain (C-131/12). Wymieniona sprawa dotyczyła możliwości przetwarzania danych przez wyszukiwarki internetowe poprzez ujawnienie informacji dotyczących określonych osób, w tym na stronach internetowych innych podmiotów, w postaci listy wyników wyszukiwania. Trybunał Sprawiedliwości Unii Europejskiej uznał, że działalność wykonywana przez operatorów wyszukiwarek internetowych może być zakwalifikowana jako przetwarzanie danych. Co więcej, Trybunał potwierdził istnienie prawa, które na gruncie Dyrektywy nie zostało wprost wyrażone – mowa tu oczywiście o prawie do bycia zapomnianym. Zdaniem TSUE osoby fizyczne muszą mieć zapewnioną możliwość zgłoszenia roszczenia w przedmiocie usunięcia danych ich dotyczących z listy wyszukiwania wyszukiwarki, w tym ze stron internetowych osób trzecich. W aktualnym stanie prawnym prawo do bycia zapomnianym zostało wyrażone expressis verbis w art. 17 Rozporządzenia. W myśl przytoczonego przepisu, administrator danych jest zobowiązany do niezwłocznego usunięcia danych, jeśli zachodzi jedna poniższych przesłanek:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  • osoba, której dane dotyczą, cofnęła zgodę na ich przetwarzanie i nie ma innej podstawy prawnej przetwarzania – chodzi tutaj głownie o przypadki profilowania danych;

  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

  • dane osobowe były przetwarzane niezgodnie z prawem;

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego, któremu podlega administrator;

  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

Ograniczenie profilowania

Zgodnie z motywem 71 Rozporządzenia profilowanie to jedna z form przetwarzania danych polegająca na ocenie niektórych aspektów danych życia osobistego w ramach automatycznego przetwarzania danych. Profilowanie jest narzędziem często wykorzystywanym przez firmy z branży marketingowej oraz e-commerce, ponieważ pozwala analizować oraz prognozować chociażby takie czynniki jak efekty pracy, sytuację ekonomiczną, stan zdrowia czy osobiste preferencje danej osoby. Według ustawodawcy unijnego podejmowanie konkretnych decyzji wobec podmiotów, których dane dotyczą, w oparciu o dane zabrane w toku profilowania może mieć miejsce jedynie w ściśle określonych sytuacjach. Mianowicie, profilowanie jest dozwolone na gruncie prawa UE albo prawa państwa członkowskiego, któremu podlega administrator danych. Ponadto profilowanie można wykorzystywać 1) w celu monitorowania i zapobiegania oszustwom uchylania się od podatków, 2) gdy profilowanie jest konieczne do zapewnienia bezpieczeństwa i niezawodności usług świadczonych przez administratora danych albo 3) gdy jest to niezbędne do zawarcia lub wykonania umowy zawartej pomiędzy osobą, której dane dotyczą, a administratorem danych. Zgoda podmiotu danych jest również jedną z przesłanek legalizujących profilowanie. Jeśli czynności profilowania są dokonywane w innych przypadkach niż te wymienione powyżej, osobie fizycznej przysługuje prawo do zgłoszenia sprzeciwu (art. 21 Rozporządzenia).

Mechanizm One-stop-shop

Pewnym ułatwieniem zarówno dla administratorów danych jak i podmiotów danych jest wprowadzenie tzw. one-stop-shop („mechanizm kompleksowej współpracy”), który dotyczy przedsiębiorców (administratorów) podejmujących działalność transgraniczną. Koncepcja one-stop-shop w swoim zamyśle polega na tym, że kompetencje nadzorcze administratora danych działającego na terytorium więcej niż jednego państwa członkowskiego zostaną przyznane organowi nadzorczemu (regulatorowi) właściwemu ze względu na miejsce dominującej działalności administratora. Dzięki temu wszelkie rozstrzygnięcia nadzorcze będą respektowane w pozostałych krajach UE. Niewątpliwie takie rozwiązanie w istotnym sposób przyczyni się do zmniejszenia obciążeń o charakterze administracyjnym. Co więcej, omawiany mechanizm będzie istotnym ułatwieniem dla podmiotów danych, ponieważ skargi w sprawie nieprawidłowego przetwarzania danych ich dotyczących, będzie można zgłosić w dowolnym państwie członkowskim z obowiązkiem ich przekazania właściwemu organowi nadzorczemu.

Obowiązek wyznaczenia inspektora ochrony danych

Oprócz przyznania nowych praw podmiotom danych, Rozporządzenie nakłada również dodatkowe obowiązki na administratorów danych. Dotychczasowy administrator bezpieczeństwa informacji (ABI) zmieni nazwę na inspektora ochrony danych. Co ważne, grupa przedsiębiorstw (jak w Rozporządzeniu określana jest grupa kapitałowa) może wyznaczyć jednego inspektora ochrony danych, pod warunkiem, że każda z jednostek organizacyjnych będzie mogła z nim łatwo nawiązać kontakt. Rozporządzenie ustanawia obowiązek powołania inspektora ochrony danych osobowych w następujących przypadkach:

  • przetwarzanie danych przez organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości);

  • główna działalność administratora/podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób na dużą skalę;

  • główna działalność administratora/podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Warto w tym miejscu nadmienić, że w poprzednim stanie prawnym wyznaczenie administratora bezpieczeństwa danych miało charakter fakultatywny.

Wśród głównych zadań inspektora ochrony danych wskazanych w Rozporządzeniu można wymienić m.in.: czuwanie nad przestrzeganiem przepisów Rozporządzenia przez organy administratora danych oraz pracowników administratora, kontaktowaniem się z organem nadzoru (np.: polskim GIODO) w celu zgłoszenia naruszeń wynikających z nieprzestrzegania Rozporządzenia, czy też wydawanie zaleceń dotyczących ochrony danych osobowych. W porównaniu do wcześniejszych regulacji, rozszerzono katalog kompetencji przysługujących inspektorowi ochrony danych przy jednoczesnym zwiększeniu ciążących na nim obowiązków.

Europejska Rada Ochrony Danych

Na mocy Rozporządzenia ustanowiono nowy organ UE – Europejską Radę Ochrony Danych (dalej: „EROD”), która zastąpi Grupę Roboczą powołaną na mocy art. 29 Dyrektywy. Podobnie jak Grupa Robocza, EROD ma być ciałem doradczym Komisji Europejskiej w zakresie ochrony danych osobowych. W świetle art. 70 Rozporządzenia do głównych zadań EROD należy zapewnienie spójnego stosowania Rozporządzenia m.in. poprzez monitorowanie jego stosowania, doradzanie Komisji Europejskiej w sprawach związanych z ochroną danych osobowych czy wydawanie wytycznych, zaleceń oraz określanie najlepszych praktyk.

Co istotne, Rada będzie rozstrzygać spory o właściwość pomiędzy organami nadzorczymi a także spory w sytuacjach, w których zgłoszono sprzeciw do projektu decyzji organu wiodącego.

Kary za naruszenie Rozporządzenia

W Rozporządzeniu przewidziano wysokie („w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”) kary pieniężne dla podmiotów, które nie będą się stosować do regulacji Rozporządzenia. Kary pieniężne dla przedsiębiorstwa, w zależności od naruszenia, stosowane będą w wysokości do 2% lub do 4% (w przypadku cięższego naruszenia) całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego danego przedsiębiorcy.

Wejście w życie i stosowanie Rozporządzenia

Jak wspomniano na początku niniejszego artykułu, Rozporządzenie weszło w życie 17 maja 2016 r., a jego przepisy będą obowiązywać od 25 maja 2018 r. (w tym dniu uchylona zostanie Dyrektywa 95/46). Przedsiębiorcy powinni zatem do tego czasu przystosować swoje wewnętrzne procedury tak, aby spełniały one wymogi Rozporządzenia. Należy bowiem nadmienić, że posłużenie się w ramach reformy unijnego prawa ochrony danych osobowych aktem prawnym, jakim jest rozporządzenie, ma swoje istotne konsekwencje. Zgodnie z art. 288 TFUE rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. W przeciwieństwie do dyrektywy rozporządzenie nie wymaga implementacji (transpozycji) do krajowych porządków prawnych. Dzięki temu dojdzie do ujednolicenia stosowania prawa na całym terytorium Unii Europejskiej (EOG) – zlikwidowana zostanie „mozaika” ustawodawstw państw członkowskich w zakresie ochrony danych osobowych, które w wielu przypadkach bardzo różniły się między sobą, ponieważ Dyrektywa, jako akt harmonizacji minimalnej, zobowiązuje jedynie do wdrożenia odpowiednich środków wyznaczających dolny pułap ochrony, zaś w pozostałym zakresie pozostawia państwom członkowskim margines swobody, jeśli chodzi o bardziej restrykcyjne uregulowania (motyw 8 i 9 Dyrektywy).

Współautorami wpisu są Ewelina Ocipińska i Hubert Kutkiewicz