Jakie zmiany przyniesie General Data Protection Regulation?

IP i cookie jako dane osobowe, obowiązki oceny wpływu działania na ochronę danych osobowych, milionowe kary za naruszenia, ABI w każdej gminie... GDPR nie wywraca jednak świata ochrony danych osobowych do góry nogami. Najważniejszą zmianą jest ujednolicenie przepisów o ochronie danych osobowych na terenie Unii Europejskiej (poza Wielką Brytanią). Duże firmy mogą wdrożyć jednolite procedury na całym kontynencie i sporo z tego tytułu zaoszczędzić.

Trwające od 2012 roku prace nad reformą ochrony danych osobowych w Unii Europejskiej właśnie dobiegają końca. Tekst projektu o nazwie General Data Protection Regulation został z końcem ubiegłego roku przedstawiony do dalszych prac legislacyjnych, a te mają zakończyć się jeszcze w pierwszym półroczu 2016 roku, zaś planowany termin wejścia w życie nowych przepisów to rok 2018. Zastępująca starą dyrektywę regulacja będzie mieć postać rozporządzenia, jednakże mimo tego polski ustawodawca staje przed zadaniem jej implementacji poprzez zmianę przepisów w szeregu ustaw dotykających sfery ochrony danych osobowych.

Ewolucja dotychczasowych przepisów

Najważniejszy element nowego rozporządzenia - definicja danych osobowych - nie różni się zanadto od tej stworzonej przez polskiego ustawodawcę. Obie regulacje przewidują, że dane osobowe to wszystkie informacje dotyczące osoby fizycznej - zidentyfikowanej, bądź możliwej do zidentyfikowania, zaś jedyną różnicą jest to, że GDPR wyjaśnia pojęcie osoby możliwej do zidentyfikowania, wskazując, że do uznania za taką osobę wystarczy, pośrednia lub bezpośrednia identyfikacja za pomocą identyfikatora sieciowego (online identifier). Przesądzonym jest więc, że adres IP oraz identyfikatory zamieszczane w tzw. Cookiem staną się danymi osobowymi w rozumieniu GDPR.

IP i ciasteczko to dane osobowe

Adres IP oraz identyfikatory zamieszczane w tzw. ciasteczkiem staną się danymi osobowymi w rozumieniu GDPR. Takie rozszerzenie zakresu danych osobowych nie powinno być zaskoczeniem dla nikogo obeznanego w branży.

Takie rozszerzenie zakresu danych osobowych było w zasadzie oczekiwane i nie powinno być zaskoczeniem dla nikogo obeznanego w branży. Wprawdzie od pewnego czasu Wojewódzkie Sądy Administracyjne przychylały się do tego poglądu, to jednak nawet w doktrynie trwały spory o to czy adres IP jest daną osobową z zasady, czy też z wyjątku. Ciekawym wydaje się wpływ „twardego” ustalenia, że adres IP stanowi daną osobową, prawdopodobnie doprowadzi to do powstania nowego protokołu komunikacyjnego, bądź ewolucji wprowadzanego obecnie IPv6 w taki sposób, aby zawierał w sobie także inne dane osobowe użytkownika takie jak m.in. imię, nazwisko, adres e-mail i inne.

Zobacz również:

Istotną zmianę niesie GDPR w kontekście danych wrażliwych, bowiem wedle obowiązującej ustawy o ochronie danych osobowych zgoda na przetwarzanie danych wrażliwych musi być wyrażona na piśmie, a nowa europejska regulacja stanowi, że wystarczy zgoda wyrażona w jakikolwiek wyraźny sposób. Wypada zauważyć także, iż zakres danych wrażliwych został poszerzony o dane biometryczne a organy publiczne nie muszą wskazywać istnienia prawnie usprawiedliwionego interesu w przetwarzaniu danych. Wystarczy, aby konieczność przetwarzania danych osobowych wynikała z zadań i obowiązków danego organu publicznego.

Dane wrażliwe łatwiej udostępnić do przetwarzania

Wedle obowiązującej ustawy o ochronie danych osobowych zgoda na przetwarzanie danych wrażliwych musi być wyrażona na piśmie, a nowa europejska regulacja stanowi, że wystarczy zgoda wyrażona w jakikolwiek wyraźny sposób.

Nowa europejska regulacja przewiduje w przypadku pewnych jednostek przetwarzających dane osobowe obowiązek powołania Data Protection Officer, a więc polskiego ABI, który będzie odpowiedzialny za nadzór nad procesem przetwarzania danych. Obowiązek ten dotyczył będzie 3 kategorii jednostek:

  • podmiotów publicznych (za wyjątkiem sądów),
  • jednostek, których główna aktywność polega na regularnym i automatycznym przetwarzaniu danych osobowych poprzez monitorowanie na dużą skalę osób, których dane są przetwarzane,
  • jednostek, których główna działalność polega na przetwarzaniu wrażliwych danych osobowych oraz danych dotyczących przestępstw i skazań za przestępstwa.

Pozostałe podmioty nie mają obowiązku powoływania Administratora Bezpieczeństwa Informacji, jednakże sam fakt obowiązku zatrudnienia ABI przez każdy urząd gminy, powiatu czy urząd skarbowy wydaje się być sporą rewolucją.

Ważnymi są także zmiany w obowiązkach informacyjnych – GDPR przewiduje, że podanie danych kontaktowych Data Protection Officer (w polskiej regulacji ABI) stanie się obowiązkiem administratora danych osobowych, a ponadto obowiązkiem stanie się podanie podstawy prawnej i faktycznej przetwarzania danych osobowych oraz okresu, przez jaki dane osobowe będą przechowywane, a gdyby to okazało się niemożliwe to wskazanie czynników mających wpływ na ustalenie długości tego okresu.

Dotychczasowa regulacja europejska, a za nią także polska ustawa traktowały temat powierzenia i dalszego powierzenia przetwarzania danych osobowych po macoszemu. GDPR zaś znacznie rozszerza zakres regulacji tej kwestii ustanawiając minimalne standardy umowy o powierzenie przetwarzania danych osobowych czy wymóg uzyskania pisemnej zgody administratora danych osobowych na dalsze powierzenie ich przetwarzania oraz związane z tym obowiązki informacyjne.

Istotne novum

72 g na zgłoszenie naruszenia ochrony danych

GDPR wprowadza restrykcyjny obowiązek powiadamiania o naruszeniu w ochronie danych osobowych (personal data breach) w ciągu 72 godzin od chwili wykrycia naruszenia przez administratora danych.

Zmienia się też kwestia naruszeń związanych z ochroną danych osobowych – do tej pory administratorzy danych osobowych nie byli zobowiązania do zgłaszania naruszeń do jakich doszło w procesie przetwarzania danych. GDPR wprowadza restrykcyjny obowiązek powiadamiania o naruszeniu w ochronie danych osobowych (personal data breach) w ciągu 72 godzin od chwili wykrycia naruszenia przez administratora danych. Zgłoszeń dokonuje się do kompetentnych organów publicznych zajmujących się ochroną danych osobowych – w przypadku Polski właściwym organem będzie Generalny Inspektor Ochrony Danych Osobowych (GIODO). Wyłączeniu z obowiązku zgłoszenia podlegają tylko takie naruszenia, które nie spowodują ryzyka naruszenia praw i wolności osób, których dane podlegają przetwarzaniu. W przypadku jednak istnienia wysokiego ryzyka naruszenia wspomnianych wyżej praw i wolności administrator danych ma obowiązek przedstawić jasne i czytelne informacje o naruszeniu osobie , której dane są przetwarzane.

Całkowitą nowością w skali polskiego ustawodawstwa jest ustanowienie obowiązku przeprowadzenia procedury oceny oddziaływania na ochronę danych osobowych (data protection impact assessment) i dokonania wcześniejszych konsultacji (prior consultation) z organem ochrony danych osobowych. Pierwsza z wymienionych procedur będzie niezbędna, jeśli sposób przetwarzania danych – w szczególności przy użyciu nowych technologii – może spowodować wysokie ryzyko dla praw i wolności indywidualnie oznaczonych osób i polegać ma na dokonaniu rzetelnej oceny i opisu co najmniej 4 aspektów ochrony danych osobowych, wskazanych wyraźnie w treści GDPR. Ponadto regulacja zawiera przykłady sposobów przetwarzania danych, które wymagają dokonania oceny. Procedura wcześniejszych konsultacji z organem ochrony danych osobowych – w Polsce z GIODO – wymagana będzie w sytuacji, gdy dokonana uprzednio ocena oddziaływania na ochronę danych osobowych wykaże istnienie wysokiego ryzyka dla praw i wolności osób, których dane będą przetwarzane. Efektem konsultacji ma być udzielenie przez organ pisemnych wskazówek dotyczących przetwarzania danych osobowych, które mają zapobiec takiemu ryzyku.

Drakońskie kary

Nowe obowiązki

GDPR wprowadza ocenę oddziaływania na ochronę danych osobowych (data protection impact assessment) i dokonanie wcześniejszych konsultacji (prior consultation) z organem ochrony danych osobowych - jeśli sposób przetwarzania danych, w szczególności przy użyciu nowych technologii, może spowodować ryzyko dla praw i wolności indywidualnie oznaczonych osób.

Najbardziej kontrowersyjną zmianą jest jednak górna granica kar administracyjnych za naruszenia w ochronie danych osobowych. Lżejsze przewinienia karane mogą być grzywną w kwocie do 10 000 000 EUR, albo 2% całkowitego światowego obrotu podmiotu, natomiast cięższe naruszenia wiązać się będą z karami w kwocie do 20 000 000 EUR, albo 4% całkowitego światowego obrotu, przy czym bierze się pod uwagę tę kwotę, która jest wyższa w przypadku danego podmiotu. Jak już wspomniano kary te będą miały charakter kar administracyjnych, organ nie będzie więc badał winy i jej stopnia, a jedynie fakt zaistnienia danego naruszenia przepisów o ochronie danych osobowych.

Rewolucja czy ewolucja?

Najważniejszą zmianą jaką niesie ze sobą GDPR jest jednak ujednolicenie przepisów o ochronie danych osobowych na terenie całej Unii Europejskiej (poza Wielką Brytanią, która nie zgadza się przyjęcie niektórych uregulowań). Jest to korzystne szczególnie dla dużych przedsiębiorstw, które mogą wdrożyć jednolite procedury na niemal całym kontynencie i sporo z tego tytułu zaoszczędzić. GDPR nie niesie ze sobą rewolucji, nie wywraca świata ochrony danych osobowych do góry nogami. Stanowi raczej ewolucję – i to w kierunku zgodnym z zamysłami polskiego ustawodawcy – dotychczasowych rozwiązań zawartych w jeszcze obowiązującej dyrektywie oraz ustawodawstwie państw członkowskich. Widać jednak, że europejski prawodawca kładzie duży nacisk na problem bezpieczeństwa danych osobowych – trwające już 4 lata prace nad reformą, ogromne kary oraz pieczołowitość w szczegółach przetwarzania ochrony danych osobowych, pokazują, że po wejściu w życie GDPR wymusi na każdym podmiocie bardzo ostrożne podejście do ochrony danych osobowych.

Kamil Kozioł

Kamil Kozioł

o autorze:

Kamil Kozioł jest absolwentem Wydziału Prawa i Administracji Uniwersytetu Śląskiego; ekspertem ds. prawa cywilnego; zawodowo zajmuje się prawem gospodarczym, korporacyjnym, konsumenckim oraz prawem nowych technologii; od 2006 roku aktywny w organizacjach pozarządowych; w 2013 roku ukończył studia podyplomowe z zakresu prawa Unii Europejskiej.