Dziś, w związku z rocznicą sporządzenia pierwszego aktu z zakresu danych osobowych zapraszam do artykułu prawniczego.
Dzień Ochrony Danych Osobowych
Anna Żmijewska
W rocznicę sporządzenia pierwszego aktu o zasięgu międzynarodowym z zakresu ochrony danych osobowych, tj. Konwencji Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych, obchodzony jest Dzień Ochrony Danych Osobowych. Jest do dobra okazja do przedstawienia najciekawszych zmian, jakie niesie za sobą reforma ochrony danych osobowych w Unii Europejskiej, wprowadzona przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako „RODO”). Rozporządzenie to będzie stosowanie od dnia 25 maja 2018 r.
Rozszerzenie zakresu danych osobowych
RODO rozszerza pojęcie danych osobowych, definiując je jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Nowe przepisy są o wiele bardziej dostosowane do współczesnych realiów niż obowiązująca już od 20 lat ustawa o ochronie danych osobowych (ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, t.j. Dz. U. z 2016 r. poz. 922). RODO obejmuje bowiem swoim zakresem także te dane, których znaczenie w latach 90. było marginalne lub które w ogóle jeszcze nie występowały, np. dane o lokalizacji (ochronie będzie podlegać chociażby historia lokalizacji zapisana na koncie Google lub Facebooku), identyfikatory internetowe (nick, login, awatar itd.) czy dane genetyczne (zdefiniowane w RODO jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej). Rozwiązanie takie należy z pewnością ocenić pozytywnie.
Prawo do bycia zapomnianym
RODO zawiera także rozbudowaną regulację dotyczącą tzw. „prawa do bycia zapomnianym”. Nie oznacza to, że dotąd takiej regulacji nie było. Obecnie każda osoba może żądać usunięcia danych osobowych, ale tylko wówczas, gdy dane te niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Od 2018 r. każda osoba, której dane dotyczą, będzie mogła żądać ich usunięcia jeżeli: (1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; (2) cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania; (3) wnosi sprzeciw wobec przetwarzania (sprzeciw taki musi być uzasadniony szczególną sytuacją); (4) dane osobowe były przetwarzane niezgodnie z prawem; (5) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; (6) dane osobowe zostały zebrane w związku z oferowaniem dziecku usług społeczeństwa informacyjnego (chodzi o usługi świadczone drogą elektroniczną na odległość, za wynagrodzeniem). Jeżeli dane osobowe zostały upublicznione, to osoba, której dane dotyczą, może żądać podjęcia przez administratora danych odpowiednich działań w celu ich usunięcia, np. żądać usunięcia łącza do tych danych.
Na uwagę zasługuje zwłaszcza możliwość żądania usunięcia danych w przypadkach uzasadnionych szczególną sytuacją osoby, której dane dotyczą, gdyż dotąd takiej regulacji nie było. W ten sposób prawo do bycia zapomnianym uzyskuje bardziej elastyczny charakter i pozwala na żądanie usunięcia danych także w przypadkach niewymienionych w przepisach, a które ze szczególnych względów uzasadniają zaprzestanie przetwarzania danych osobowych. Nowością jest także prawo żądania usunięcia danych dziecka w przypadku danych zbieranych na potrzeby usług społeczeństwa informacyjnego kierowanych bezpośrednio do dzieci (do lat 16 wymaga jest zgoda rodziców na przetwarzanie takich danych).
Profilowanie
Zupełnie nowym zagadnieniem regulowanym przez przepisy o ochronie danych osobowych jest profilowanie, czyli dostosowywanie oferty do profilu odbiorcy ustalonego na podstawie zebranych danych osobowych (np. automatyczny mailing czy reklama oparta na naszej lokalizacji). RODO definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Nowa regulacja przyznaje każdej osobie prawo do uzyskania informacji o profilowaniu, tj. czy takie działania są podejmowane przez administratora danych, na jakich zasadach i jakie to ma konsekwencje dla osoby, której dane dotyczą. RODO przyznaje także każdemu prawo do niepodlegania decyzji opartych na profilowaniu, chyba że (1) jest to niezbędne dla wykonania umowy, (2) jest to dopuszczalne przez prawo, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub (3) opiera się to na wyraźnej zgodzie osoby, której dane dotyczą. Chodzi jednak tylko o decyzje, które wywołują skutki prawne lub w podobny sposób istotnie wpływają na osobę, której dane dotyczą. Nie będzie wiec możliwy sprzeciw wobec samego profilowania (tutaj RODO przyznaje tylko prawo do uzyskania informacji o podejmowaniu takich działań).
Inne zmiany
RODO wprowadza także szereg innych zmian, które znacząco poprawiają pozycję osoby, której dane są przetwarzane, a nakładają nowe obowiązki na administratorów danych. Chodzi m.in. o rozbudowaną regulację obowiązków informacyjnych administratora danych, który ma obowiązek podjąć wszelkie odpowiednie środki, aby informacje dotyczące przetwarzania danych zostały przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Administratorzy danych osobowych będą mieli obowiązek zawiadamiania właściwego organy o każdym przypadku naruszenia ochrony danych osobowych. Zawiadomienie takie otrzyma również osoba, której dane dotyczą, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności.
RODO wprowadza rozbudowaną regulację dotyczą kar nakładanych na administratorów danych za nieprzestrzeganie zasad przetwarzania danych. Kary te będą wynosić nawet do 20 mln EURO lub 4% światowego obrotu. Niezależnie od tego, osoba, której dane dotyczą, będzie miała prawo do żądania odszkodowania i to nie tylko za szkody materialne, ale także niemajątkowe, czyli zadośćuczynienia za doznaną krzywdę.
Anna Żmijewska – prawnik, doktorantka Instytutu Nauk Prawnych PAN, specjalizuje się w obsłudze prawnej przedsiębiorców, w szczególności w zakresie prawa autorskiego, prawa własności przemysłowej, ochrony danych osobowych, e-commerce, prawa umów oraz prawa nieruchomości. Wiele lat pracowała w korporacji, od 13 lat prowadzi własną działalność. Prywatnie miłośniczka zumby i zdrowej żywności.
Bardzo ciekawy blog, wiele interesujących zagadnień i inspirujących tematów. Dobrze jest mieć pewne informację pod ręką. Będę zaglądać 🙂
Cieszę się – zapraszam:) Będzie mi bardzo miło!