26.10.2017 Ochrona danych osobowych

Zmiany w przepisach o danych osobowych RODO


Z uwagi na powszechność korzystania z Internetu i zagrożenie dla ochrony danych osobowych osób fizycznych, konieczne stało się stworzenie aktu prawnego, który chroniłby przetwarzane dane użytkowników, a tym samym stanął w obronie prawa do prywatności osób fizycznych, w skali całej Unii Europejskiej.

Naprzeciw tym potrzebom wyszły instytucje EU uchwalając Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r., dalej jako „Dyrektywa” oraz wydając Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej jako „RODO”.

Szczególnie istotnym aktem prawnym jest nowe rozporządzenie w sprawie ochrony danych osobowych. Przedsiębiorcy mają czas na dostosowanie się do nowych regulacji w tym zakresie do dnia 25 maja 2018 r.

Nowe definicje

Zgodnie z definicją wprowadzoną przez RODO (art. 4 pkt 1 RODO) za dane osobowe  uważa się  informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Co istotne, ograniczenie zakresu danych osobowych do danych osobowych osób fizycznych  wyłącza spod ochrony dane osób prawnych i jednostek organizacyjnych niemających osobowości prawnej. RODO nie precyzuje zakresu ochrony informacji o przedsiębiorcach znajdujących się w publicznych ewidencjach działalności gospodarczej.

RODO wprowadza nową definicję m.in. danych genetycznych oraz danych biometrycznych.

Dane genetyczne

Dane genetyczne w rozumieniu RODO oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.

W aktualnie obowiązującej ustawie  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2016.922 t.j. z dnia 2016.06.28) – dalej: „UODO” – występuje jedynie sformułowanie „kodu genetycznego”. Wprowadzenie definicji danych genetycznych stanowi zatem rozszerzenie aktualnie stosowanego w UODO wyrażenia kodu genetycznego, również np. o próbki krwi umożliwiające analizę DNA i inne.

Dane biometryczne

Do tej pory legalną definicję danych biometrycznych zawierała ustawa z dnia 13 lipca 2006 r. o dokumentach paszportowych.

Dane biometryczne w ww. ustawie definiowano jako: wizerunek twarzy i odciski palców umieszczone w dokumentach paszportowych w  formie elektronicznej;

Jednakże definicja ta stworzona została jedynie na potrzeby tylko tej ustawy i nie mogła być stosowana bezpośrednio w zakresie innych rozważań. Aktualnie RODO wprowadza definicję danych biometrycznych, zgodnie z którą są to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Nowe zasady przetwarzania danych

Nowe rozporządzenie RODO wprowadza do obiegu prawnego wiele zasad dotyczących ochrony i wykorzystywania danych osobowych, takich jak:

  • Zgodność z prawem, rzetelność i przejrzystość – dane muszą być przetwarzane zgodnie z prawem unijnym, państwa członkowskiego, kodeksem postępowania, itd. rzetelnie i w sposób przejrzysty dla osoby, której dane są przetwarzane.
  • Adekwatność – przetwarzane dane są adekwatne i ograniczone do celu, jakiemu służy przetwarzanie. Dane powinny być zbierane wyłącznie w konkretnym, wyraźnym i prawnie uzasadnionym celu i tylko w tym zakresie przetwarzane.
  • Prawidłowość – dane muszą być prawidłowe i w razie potrzeby uaktualniane, należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
  • Ograniczenie przechowywania – dane osobowe mogą być przechowywane wyłącznie przez czas, jaki jest niezbędny do celu, w których dane są przetwarzane. Dłuższe przechowywanie możliwe jest w celach archiwalnych.
  • Integralność i poufność – zapewnienie bezpieczeństwa danych, ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem lub przypadkową utratą, zniszczeniem lub uszkodzeniem zastosowanie odpowiednich środków technicznych lub organizacyjnych.

PRIVACY BY DESIGN ORAZ PRIVACY BY DEFAULT

RODO wprowadza nowe zasady dotyczące tzw. privacy by design oraz privacy by default.

Privacy by design oznacza, że już na etapie projektowania urządzenia, systemu lub oprogramowania (np. aplikacji, systemu, platformy internetowej), w wyniku używania którego dochodzić będzie do przetwarzania danych osobowych, należy uwzględniać potrzebę zapewnienia ochrony tym danym, wdrażając (od początku) w tym celu odpowiednie środki techniczne i organizacyjne (np. adekwatność danych, zabezpieczenia).

Privacy by default oznacza z kolei, że obowiązek wdrożenia takich środków technicznych i organizacyjnych, które zapewnią, aby domyślnie zbierane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu, aby ograniczyć ilość zbieranych danych, zakres ich przetwarzania, okres przechowywania oraz ich dostępność.

ANONIMIZACJA I PSEUDONIMIZACJA

RODO wprowadza nowy środek zabezpieczenia danych, które obecnie obowiązujące przepisy (UODO) nie przewidują tj. pseudonimizację.

Pseudonomizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Anonimizacja natomiast polega na całkowitym usunięciu elementów identyfikujących osobę, przez co, mimo dołożenia rozsądnych starań, ustalenie jej tożsamości staje się niemożliwe.

Podczas gdy anonimizacja pozbawia informację charakteru danych osobowych, dane po pseudonimizacji wciąż pozostają danymi osobowymi.

Problem może się pojawić w sytuacji, gdy dane poddane są pseudonimizacji w ograniczonym środowisku, np. miejscowości lub grupie społecznej, charakteryzują i identyfikują osobę. Wówczas  tego typu środek zabezpieczenia może okazać się nieskuteczny i należałoby wybrać inną formę zabezpieczenia danych.

PROFILOWANIE

Kolejną nowością, które wprowadza RODO jest prawo niepodlegania profilowaniu. 

Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Profilowanie jest jednak możliwe i zgodne z prawem, w sytuacji gdy:

  1. jest niezbędne do zawarcia umowy lub podjęcia działań przed zawarciem umowy,
  2. jest dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu administrator danych podlega i przewiduje wdrożenie środków ochrony praw i wolności, a także
  3. gdy sama osoba wyraziła na to zgodę.

INSPEKTOR OCHRONY DANYCH OSOBOWYCH

RODO wprowadza również zmiany dotyczące osoby, do zadań której należy nadzorowanie przestrzegania przepisów o ochronie danych osobowych w organizacji. W miejsce Administratora Bezpieczeństwa Informacji pojawia się Inspektor Ochrony Danych Osobowych (dalej: „Inspektor”). Oprócz nazwy stanowiska, zmienia się również zakres obowiązków spoczywający na Inspektorze. Obowiązek powołania Inspektora powstaje, gdy m.i.n:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

Podsumowując, RODO jest nowym aktem prawnym, którego stosowanie i interpretacja może stanowić duże wyzwanie dla przedsiębiorców. Wobec tego istotne jest, aby jak najszybciej podjąć działania mające na celu dostosowanie dotychczasowo funkcjonujących mechanizmów z zapisami RODO.  W innym wypadku przedsiębiorcy mogą spodziewać się wysokich kar finansowych sięgających nawet do 20 milionów euro albo 4 % całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego. Aby ich uniknąć, do 25 maja 2018 r. przedsiębiorcy mają czas na dostosowanie się do nowych regulacji.

Artykuł ukazał się w lipcowym wydaniu czasopisma “Logistyka, a jakość” (5/2017)

 Autor:

Mateusz Brząkowski
Senior Associate, Radca Prawny
TGC Corporate Lawyers

Ochrona danych osobowych – sprawdź, jak możemy pomóc:


Zobacz także

30.09.2021 Ochrona danych osobowych
20.11.2020 Ochrona danych osobowych
23.10.2017 Ochrona danych osobowych
Chcesz być na bieżąco?
Subskrybuj nasz newsletter!
Pełna treść zgody

TGC Corporate Lawyers

ul. Hrubieszowska 2
01-209 Warszawa
Polska

+48 22 295 33 00
contact@tgc.eu

NIP: 525-22-71-480, KRS: 0000167447,
REGON: 01551820200000. Sąd Rejonowy dla
m.st. Warszawy, XII Wydział Gospodarczy

Mapa