W ostatnim czasie Komisja Europejska zaplanowała szereg zmian dotyczących regulacji związanych z ochroną danych osobowych. Zmiany mają ujednolicić zasady posługiwania się danymi osobowymi w Unii Europejskiej oraz poprawić ochronę prywatności użytkowników Internetu. Regulacje te należy traktować przede wszystkim jako odpowiedź na niezwykle szybki rozwój technologiczny w ostatnich latach oraz globalizację.
Obowiązująca obecnie dyrektywa 95/46/WE z dnia 24 października 1995 r., dotycząca ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, ma zostać zastąpiona rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Planowana zmiana przepisów ma nastąpić w 2014 roku. Projekt rozporządzenia wprowadza szereg zmian. Poniżej przedstawione zostaną jedynie najważniejsze z nich.
Jedną z najistotniejszych zmian zawartych w projekcie rozporządzenia jest zwiększenie odpowiedzialności, jaką będzie ponosić administrator danych w związku z naruszeniem postanowień dotyczących ochrony danych osobowych. Na mocy art. 79 projektu rozporządzenia każdy organ nadzorczy będzie uprawniony do nakładania sankcji administracyjnych. Sankcje te mogą dotyczyć w szczególności uchybień związanych z wyznaczeniem inspektora ochrony danych i utrudnianiem mu wykonywania jego zadań. W przypadku nieumyślnego naruszenia będą udzielane jedynie pisemne ostrzeżenia – gdy osoba fizyczna przetwarza dane osobowe nie tylko w celach handlowych lub przetwarzanie danych osobowych przez przedsiębiorstwo lub organizację zatrudniającą mniej niż 250 osób ma jedynie charakter poboczny w stosunku do głównej działalności. Rozporządzenie określa wiele potencjalnych naruszeń, na skutek których na administratora danych mogą zostać nałożone kary administracyjne. Projekt określa trzy rodzaje kar finansowych:
- maksymalnie 250000 euro, a w przypadku przedsiębiorstwa maksymalnie 0,5% jego rocznego światowego obrotu;
- maksymalnie 500000 euro, zaś w przypadku przedsiębiorstwa maksymalnie 1% jego rocznego światowego obrotu;
- maksymalnie 1000000 euro, a w przypadku przedsiębiorstwa maksymalnie 2% jego rocznego światowego obrotu.
Nakładanie kar będzie wchodziło w zakres obowiązków Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z projektem rozporządzenia sankcja administracyjna ma być w każdym indywidualnym przypadku skuteczna, proporcjonalna oraz odstraszająca.
Kolejna zmiana jest związana z rozszerzeniem zakresu obowiązków administratora danych. Będzie on zobowiązany między innymi do poinformowania Generalnego Inspektora Danych Osobowych o naruszeniu przepisów w ciągu doby od momentu otrzymania informacji o naruszeniu. Administrator byłby zatem zobowiązany do prowadzenia rejestru naruszeń zawierającego informacje o incydentach zagrażających bezpieczeństwu danych osobowych. Tym samym nowe obowiązki będzie mieć również Generalny Inspektor Danych Osobowych, w którego gestii będzie reagowanie na zgłoszenia o naruszeniach. Generalny Inspektor Danych Osobowych będzie mógł także skontrolować administratora danych. Celem wprowadzenia tej zmiany jest zobowiązanie administratorów do jak największego ograniczenia liczby naruszeń zasad ochrony danych osobowych.
Art. 35 ust. 1 projektu rozporządzenia narzuca obowiązek wyznaczenia inspektora ochrony danych osobowych. Owa regulacja dotyczy administratorów zatrudniających więcej niż 250 osób lub będących podmiotem publicznym, a także tych, których główna działalność polega na przetwarzaniu danych, które ze względu na swój charakter, zakres lub cele wymaga regularnego i systematycznego monitorowania podmiotów danych. Jeżeli administrator lub podmiot przetwarzający jest organem lub podmiotem publicznym, inspektor ochrony danych może być wyznaczony dla jednostek organizacyjnych z uwzględnieniem struktury organizacyjnej danego podmiotu. Wyznaczenie inspektora ochrony danych następuje na podstawie jego kwalifikacji zawodowych, specjalistycznej wiedzy z zakresu prawa dotyczącego ochrony danych, praktyki i zdolności do wykonywania zadań wynikających z wymogów projektu rozporządzenia. Zgodnie z art. 35 ust. 5 projektu rozporządzenia niezbędny poziom specjalistycznej wiedzy ustalany jest w szczególności zgodnie z rodzajem przetwarzania danych oraz wymaganą ochroną danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.
Projekt wprowadza rozwiązanie nazywane punktem kompleksowej obsługi. Zmiana jest związana z podkreśleniem roli siedziby administratora danych osobowych oraz przetwarzającego. Działalność organów ochrony danych w państwie członkowskim, w którym administrator danych osobowych ma siedzibę, nie będzie wykluczała współudziału organów ochrony danych innych państw członkowskich w podejmowaniu decyzji. Nierzadko – na mocy obowiązujących przepisów – usługodawcy, których działalność była prowadzona na terytorium kilku państw członkowskich, musieli rejestrować swoje bazy danych w każdym z tych państw. Zgodnie z nowymi przepisami wystarczy dokonać zgłoszenia jedynie w urzędzie tego kraju, w którym znajduje się główna siedziba danego usługodawcy.
Nowością jest także rezygnacja z obowiązku rejestracji zbioru danych. W zamian za to konieczne będzie prowadzenie bardziej rozbudowanej dokumentacji, gdyż zgodnie z art. 28 rozporządzenia administrator danych oraz przetwarzający dane mają obowiązek przechowywać dokumentację dotyczącą zbioru, która musi być ujawniona organowi ochrony danych na jego żądanie. Na usługodawcach i usługobiorcach będzie ciążył obowiązek opracowania raportów zawierających ocenę skutków przetwarzania danych oraz informacje o przewidywanych środkach i gwarancjach mających zapewnić ich ochronę. W raportach należy również wykazać zgodność zastosowanych procedur z rozporządzeniem.
Projekt rozporządzenia przewiduje także zmiany tzw. wiążących reguł korporacyjnych (Binding Corporate Rules – BCRs) dotyczących przekazywania sobie danych osobowych przez podmioty z różnych krajów należące do tej samej grupy korporacyjnej.
Projekt rozporządzenia zawiera również przepisy dotyczące zgody osoby, której dane mają być przetwarzane. Chodzi przede wszystkim o przetwarzanie tych danych, których nie można przetwarzać bez uzyskania zgody osoby, której te dane dotyczą. Art. 8 mówi także o zgodzie rodzica lub opiekuna jako warunku dostępu dzieci do usług o charakterze informacyjnym. W rozporządzeniu została określona także zgoda jako podstawa prawna profilowania i transferu danych oraz instytucja odmowy zgody.
Na mocy projektu rozporządzenia Komisja Europejska będzie mogła w większym stopniu bezpośrednio wpływać na zasady ochrony danych osobowych w systemach krajowych, wydając tzw. akty delegowane. Jako przykład można tutaj podać wprowadzenie ujednoliconego w całej UE formularza służącego do komunikacji administratorów i podmiotów przetwarzających dane.
Projekt przewiduje także wspólną odpowiedzialność wobec osoby, której prawa zostały naruszone, w razie istnienia wielu administratorów i podmiotów przetwarzających, co ma ogromny wpływ na poprawę ochrony danych. Podmioty, których dane są chronione, będą zatem uprawnione do domagania się pełnego odszkodowania od każdego z administratorów lub podmiotów przetwarzających dane, lub od wszystkich jednocześnie. Warto zwrócić uwagę także na to, że organizacje społeczne, których statutowym celem jest ochrona danych osobowych, będą mogły występować w postępowaniu sądowym w imieniu grupy poszkodowanych podmiotów.
W projekcie rozporządzenia zawarte zostały także zapisy dotyczące m.in. prawa do usunięcia danych (tzw. prawa do bycia zapomnianym), przenoszenia danych, regulacje związane z profilowaniem oraz zapisy dotyczące zmiany struktury dokumentacji związanej z obowiązkiem informacyjnym.
Skutkiem zastąpienia dyrektywy rozporządzeniem będzie bezpośrednie obowiązywanie przepisów dotyczących ochrony danych osobowych w krajach członkowskich Unii Europejskiej. Nie będzie konieczności wydawania aktów prawnych wprowadzających je do prawa krajowego. Rozporządzenie wejdzie w życie prawdopodobnie na początku 2015 r.
Monika Brzozowska
dyrektor Departamentu Danych Osobowych
w kancelarii Pasieka, Derlikowski, Brzozowska i Partnerzy, ekspert Instytutu Sobieskiego
Agnieszka Dymek
aplikant adwokacki
w kancelarii Pasieka, Derlikowski, Brzozowska i Partnerzy
Zabezpieczenia 2/2013