RODO – nowe zasady już w maju

Ochrona danych osobowych, część 1

Zagadnienie ochrony danych osobowych w Unii Europejskiej ma już wieloletnią tradycję. Kolejne akty prawne kształtowały ochronę danych (1981, 1990, 1995, 2009, 2012). Jednak dopiero 2016 roku Rozporządzenie Parlamentu Europejskiego i Rady (2016/679/UE) doprecyzowało, usprawniło i uwspółcześniło ochronę danych osobowych w Europie. To znaczący postęp, który powinniśmy przyjąć z zadowoleniem. Nowe zasady obowiązywać będą od 25 maja 2018 roku.

Należy zadać pytanie, dlaczego wybrano formę rozporządzenia, a nie jak większość regulacji unijnych – dyrektywę. Otóż dotychczasowa unijna regulacja problematyki ochrony danych osobowych poprzez uchwalenie dyrektyw okazała się nieskuteczna wobec późniejszego zróżnicowania regulacji w krajowych aktach implementacyjnych poszczególnych państw członkowskich. Rozporządzenie natomiast wprowadza w system prawny państw członkowskich daną regulację unijną bezpośrednio, w sposób jednolity na obszarze całej UE. Rozporządzenie obowiązuje natychmiast, bez konieczności wprowadzania zmian do systemu prawa krajowego państw członkowskich.*Materiały edukacyjne Z. Kubiński, Łódź 2018

Jak większość aktów prawnych, także omawiane Rozporządzenie zawiera wyłączenia podmiotowe. Są to min.: osoby fizyczne w ramach czynności o czysto osobistym lub domowym charakterze oraz właściwe organy państwa do celów zapobiegania przestępczości.*Rozporządzenie Parlamentu Europejskiego i Rady (2016/679/UE) w sprawie ochrony danych osobowych

Rozporządzenie w art. 1 ust. 2 definiuje cele regulacji jako ochronę podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.

© Fotolia

Świadomość społeczna ochrony danych jest jednak wątpliwa. Sondaż wykonany w kwietniu 2018 roku przez Gazetę Prawną podaje, że większość respondentów uważała, że zgody marketingowej nigdy nie udzielała. A przecież wszyscy jesteśmy zalewani setkami spamów, błądzących reklam – głownie poprzez przenoszenie danych między administratorami bez uzyskiwania naszej zgody.*„Polacy niecierpliwie czekają na nadejście RODO”, Gazeta Prawna z 25 kwietnia 2018 r. „Swego rodzaju konserwatyzm można też dostrzec przy ocenie, jakie dane powinny być najbardziej chronione. – Niezależnie od wieku dane urzędowe, finansowe i o stanie zdrowia są najczęściej wskazywane przez Polaków jako poufne. Pomimo że dane takie jak lokalizacja (42 proc. wskazań), aktywność online, w tym przeglądane strony internetowe, aktywność w portalach społecznościowych itd. (47 proc. wskazań) czy aktywność zakupowa (26 proc. wskazań) mogą dostarczać wielu informacji o konkretnej osobie i umożliwiają profilowanie, są uznawane jako poufne przez mniejszość Polaków.”*Tamże

Aby przystąpić do analizy RODO należy omówić znaczenie podstawowych instytucji prawnych. Przez dane osobowe należy rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.*Rozporządzenie Parlamentu Europejskiego i Rady (2016/679/UE) w sprawie ochrony danych osobowych Jak widać zakres identyfikacyjny jest bardzo szeroki.

Za przetwarzanie uważa się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.*Tamże

RODO wprowadza nową instytucję – pseudonimizację, co oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.*Tamże Cechami informacji spseudonimizowanej są:

  • brak możliwości zidentyfikowania osoby fizycznej,
  • przechowywanie oddzielnie i zabezpieczone przy pomocy środków technicznych i organizacyjnych informacji dodatkowych o osobie,
  • informacja dodatkowa to klucz przy zestawieniu z informacją spseudonimizowaną prowadzący do zidentyfikowania osoby fizycznej,
  • proces pseudonimizacji jest odwracalny.*Materiały edukacyjne Z. Kubiński, Łódź 2018

Administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.*Rozporządzenie Parlamentu Europejskiego i Rady (2016/679/UE) w sprawie ochrony danych osobowych

Posesor to osoba lub organ, która przetwarza dane w imieniu administratora. Nie decyduje on o celach i sposobach przetwarzania. Gdy dane osobowe przetwarza administrator to w tym zakresie robi to w swoim imieniu.  Regulacja statusu posesora w RODO jest znaczącą nowością w stosunku do wcześniejszych regulacji prawnych.

Odbiorcą jest ten, komu ujawnia się dane. Podmiot przetwarzający też jest odbiorcą. RODO w wielu przepisach odnosi się do pojęcia odbiorcy.

Przez naruszenie ochrony danych osobowych należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.*Materiały edukacyjne Z. Kubiński, Łódź 2018

Rozporządzenie wprowadza kolejną nowość – organ nadzorczy. Każde państwo członkowskie zapewnia, by za monitorowanie stosowania rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii. Organ ten będzie min. mógł nakładać kary pieniężne za nieprzestrzeganie ochrony danych w monstrualnych wysokościach, nawet do 20 mln EURO.

Jak widać, RODO to skomplikowany system ochrony. Trzeba jednak przyznać, że jest przemyślany i dopracowany. Choć przywykliśmy do narzekania na rozbudowane normy tworzone przez Unię, jak zakaz wędzenia, określanie krzywizny bananów, to jednak RODO jest aktem prawnym, który będzie nas chronił przed naruszeniami prywatności i wolności, znacznie lepiej niż dotychczasowe przepisy.

Andrzej Jakiel

Andrzej Jakiel

Analityk i doradca rynku nieruchomości, prezes OSRN, wiceprezydent FPPRN, Mediator Polska

Udostępnij ten artykuł
468 ad