Jakie zmiany przyniesie General Data Protection Regulation?
- 16.03.2016, godz. 15:52
IP i cookie jako dane osobowe, obowiązki oceny wpływu działania na ochronę danych osobowych, milionowe kary za naruszenia, ABI w każdej gminie... GDPR nie wywraca jednak świata ochrony danych osobowych do góry nogami. Najważniejszą zmianą jest ujednolicenie przepisów o ochronie danych osobowych na terenie Unii Europejskiej (poza Wielką Brytanią). Duże firmy mogą wdrożyć jednolite procedury na całym kontynencie i sporo z tego tytułu zaoszczędzić.
Trwające od 2012 roku prace nad reformą ochrony danych osobowych w Unii Europejskiej właśnie dobiegają końca. Tekst projektu o nazwie General Data Protection Regulation został z końcem ubiegłego roku przedstawiony do dalszych prac legislacyjnych, a te mają zakończyć się jeszcze w pierwszym półroczu 2016 roku, zaś planowany termin wejścia w życie nowych przepisów to rok 2018. Zastępująca starą dyrektywę regulacja będzie mieć postać rozporządzenia, jednakże mimo tego polski ustawodawca staje przed zadaniem jej implementacji poprzez zmianę przepisów w szeregu ustaw dotykających sfery ochrony danych osobowych.
Ewolucja dotychczasowych przepisów
Najważniejszy element nowego rozporządzenia - definicja danych osobowych - nie różni się zanadto od tej stworzonej przez polskiego ustawodawcę. Obie regulacje przewidują, że dane osobowe to wszystkie informacje dotyczące osoby fizycznej - zidentyfikowanej, bądź możliwej do zidentyfikowania, zaś jedyną różnicą jest to, że GDPR wyjaśnia pojęcie osoby możliwej do zidentyfikowania, wskazując, że do uznania za taką osobę wystarczy, pośrednia lub bezpośrednia identyfikacja za pomocą identyfikatora sieciowego (online identifier). Przesądzonym jest więc, że adres IP oraz identyfikatory zamieszczane w tzw. Cookiem staną się danymi osobowymi w rozumieniu GDPR.
Adres IP oraz identyfikatory zamieszczane w tzw. ciasteczkiem staną się danymi osobowymi w rozumieniu GDPR. Takie rozszerzenie zakresu danych osobowych nie powinno być zaskoczeniem dla nikogo obeznanego w branży.
Zobacz również:
Istotną zmianę niesie GDPR w kontekście danych wrażliwych, bowiem wedle obowiązującej ustawy o ochronie danych osobowych zgoda na przetwarzanie danych wrażliwych musi być wyrażona na piśmie, a nowa europejska regulacja stanowi, że wystarczy zgoda wyrażona w jakikolwiek wyraźny sposób. Wypada zauważyć także, iż zakres danych wrażliwych został poszerzony o dane biometryczne a organy publiczne nie muszą wskazywać istnienia prawnie usprawiedliwionego interesu w przetwarzaniu danych. Wystarczy, aby konieczność przetwarzania danych osobowych wynikała z zadań i obowiązków danego organu publicznego.
Wedle obowiązującej ustawy o ochronie danych osobowych zgoda na przetwarzanie danych wrażliwych musi być wyrażona na piśmie, a nowa europejska regulacja stanowi, że wystarczy zgoda wyrażona w jakikolwiek wyraźny sposób.
- podmiotów publicznych (za wyjątkiem sądów),
- jednostek, których główna aktywność polega na regularnym i automatycznym przetwarzaniu danych osobowych poprzez monitorowanie na dużą skalę osób, których dane są przetwarzane,
- jednostek, których główna działalność polega na przetwarzaniu wrażliwych danych osobowych oraz danych dotyczących przestępstw i skazań za przestępstwa.
Pozostałe podmioty nie mają obowiązku powoływania Administratora Bezpieczeństwa Informacji, jednakże sam fakt obowiązku zatrudnienia ABI przez każdy urząd gminy, powiatu czy urząd skarbowy wydaje się być sporą rewolucją.
Ważnymi są także zmiany w obowiązkach informacyjnych – GDPR przewiduje, że podanie danych kontaktowych Data Protection Officer (w polskiej regulacji ABI) stanie się obowiązkiem administratora danych osobowych, a ponadto obowiązkiem stanie się podanie podstawy prawnej i faktycznej przetwarzania danych osobowych oraz okresu, przez jaki dane osobowe będą przechowywane, a gdyby to okazało się niemożliwe to wskazanie czynników mających wpływ na ustalenie długości tego okresu.
Dotychczasowa regulacja europejska, a za nią także polska ustawa traktowały temat powierzenia i dalszego powierzenia przetwarzania danych osobowych po macoszemu. GDPR zaś znacznie rozszerza zakres regulacji tej kwestii ustanawiając minimalne standardy umowy o powierzenie przetwarzania danych osobowych czy wymóg uzyskania pisemnej zgody administratora danych osobowych na dalsze powierzenie ich przetwarzania oraz związane z tym obowiązki informacyjne.
Istotne novum
GDPR wprowadza restrykcyjny obowiązek powiadamiania o naruszeniu w ochronie danych osobowych (personal data breach) w ciągu 72 godzin od chwili wykrycia naruszenia przez administratora danych.
Całkowitą nowością w skali polskiego ustawodawstwa jest ustanowienie obowiązku przeprowadzenia procedury oceny oddziaływania na ochronę danych osobowych (data protection impact assessment) i dokonania wcześniejszych konsultacji (prior consultation) z organem ochrony danych osobowych. Pierwsza z wymienionych procedur będzie niezbędna, jeśli sposób przetwarzania danych – w szczególności przy użyciu nowych technologii – może spowodować wysokie ryzyko dla praw i wolności indywidualnie oznaczonych osób i polegać ma na dokonaniu rzetelnej oceny i opisu co najmniej 4 aspektów ochrony danych osobowych, wskazanych wyraźnie w treści GDPR. Ponadto regulacja zawiera przykłady sposobów przetwarzania danych, które wymagają dokonania oceny. Procedura wcześniejszych konsultacji z organem ochrony danych osobowych – w Polsce z GIODO – wymagana będzie w sytuacji, gdy dokonana uprzednio ocena oddziaływania na ochronę danych osobowych wykaże istnienie wysokiego ryzyka dla praw i wolności osób, których dane będą przetwarzane. Efektem konsultacji ma być udzielenie przez organ pisemnych wskazówek dotyczących przetwarzania danych osobowych, które mają zapobiec takiemu ryzyku.
Drakońskie kary
GDPR wprowadza ocenę oddziaływania na ochronę danych osobowych (data protection impact assessment) i dokonanie wcześniejszych konsultacji (prior consultation) z organem ochrony danych osobowych - jeśli sposób przetwarzania danych, w szczególności przy użyciu nowych technologii, może spowodować ryzyko dla praw i wolności indywidualnie oznaczonych osób.
Rewolucja czy ewolucja?
Najważniejszą zmianą jaką niesie ze sobą GDPR jest jednak ujednolicenie przepisów o ochronie danych osobowych na terenie całej Unii Europejskiej (poza Wielką Brytanią, która nie zgadza się przyjęcie niektórych uregulowań). Jest to korzystne szczególnie dla dużych przedsiębiorstw, które mogą wdrożyć jednolite procedury na niemal całym kontynencie i sporo z tego tytułu zaoszczędzić. GDPR nie niesie ze sobą rewolucji, nie wywraca świata ochrony danych osobowych do góry nogami. Stanowi raczej ewolucję – i to w kierunku zgodnym z zamysłami polskiego ustawodawcy – dotychczasowych rozwiązań zawartych w jeszcze obowiązującej dyrektywie oraz ustawodawstwie państw członkowskich. Widać jednak, że europejski prawodawca kładzie duży nacisk na problem bezpieczeństwa danych osobowych – trwające już 4 lata prace nad reformą, ogromne kary oraz pieczołowitość w szczegółach przetwarzania ochrony danych osobowych, pokazują, że po wejściu w życie GDPR wymusi na każdym podmiocie bardzo ostrożne podejście do ochrony danych osobowych.
Kamil Kozioł jest absolwentem Wydziału Prawa i Administracji Uniwersytetu Śląskiego; ekspertem ds. prawa cywilnego; zawodowo zajmuje się prawem gospodarczym, korporacyjnym, konsumenckim oraz prawem nowych technologii; od 2006 roku aktywny w organizacjach pozarządowych; w 2013 roku ukończył studia podyplomowe z zakresu prawa Unii Europejskiej.