Z uwagi na powszechność korzystania z Internetu i zagrożenie dla ochrony danych osobowych osób fizycznych, konieczne stało się stworzenie aktu prawnego, który chroniłby przetwarzane dane użytkowników, a tym samym stanął w obronie prawa do prywatności osób fizycznych, w skali całej Unii Europejskiej.
Naprzeciw tym potrzebom wyszły instytucje EU uchwalając Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r., dalej jako „Dyrektywa” oraz wydając Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej jako „RODO”.
Szczególnie istotnym aktem prawnym jest nowe rozporządzenie w sprawie ochrony danych osobowych. Przedsiębiorcy mają czas na dostosowanie się do nowych regulacji w tym zakresie do dnia 25 maja 2018 r.
Zgodnie z definicją wprowadzoną przez RODO (art. 4 pkt 1 RODO) za dane osobowe uważa się informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Co istotne, ograniczenie zakresu danych osobowych do danych osobowych osób fizycznych wyłącza spod ochrony dane osób prawnych i jednostek organizacyjnych niemających osobowości prawnej. RODO nie precyzuje zakresu ochrony informacji o przedsiębiorcach znajdujących się w publicznych ewidencjach działalności gospodarczej.
RODO wprowadza nową definicję m.in. danych genetycznych oraz danych biometrycznych.
Dane genetyczne w rozumieniu RODO oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.
W aktualnie obowiązującej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2016.922 t.j. z dnia 2016.06.28) – dalej: „UODO” – występuje jedynie sformułowanie „kodu genetycznego”. Wprowadzenie definicji danych genetycznych stanowi zatem rozszerzenie aktualnie stosowanego w UODO wyrażenia kodu genetycznego, również np. o próbki krwi umożliwiające analizę DNA i inne.
Do tej pory legalną definicję danych biometrycznych zawierała ustawa z dnia 13 lipca 2006 r. o dokumentach paszportowych.
Dane biometryczne w ww. ustawie definiowano jako: wizerunek twarzy i odciski palców umieszczone w dokumentach paszportowych w formie elektronicznej;
Jednakże definicja ta stworzona została jedynie na potrzeby tylko tej ustawy i nie mogła być stosowana bezpośrednio w zakresie innych rozważań. Aktualnie RODO wprowadza definicję danych biometrycznych, zgodnie z którą są to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Nowe rozporządzenie RODO wprowadza do obiegu prawnego wiele zasad dotyczących ochrony i wykorzystywania danych osobowych, takich jak:
RODO wprowadza nowe zasady dotyczące tzw. privacy by design oraz privacy by default.
Privacy by design oznacza, że już na etapie projektowania urządzenia, systemu lub oprogramowania (np. aplikacji, systemu, platformy internetowej), w wyniku używania którego dochodzić będzie do przetwarzania danych osobowych, należy uwzględniać potrzebę zapewnienia ochrony tym danym, wdrażając (od początku) w tym celu odpowiednie środki techniczne i organizacyjne (np. adekwatność danych, zabezpieczenia).
Privacy by default oznacza z kolei, że obowiązek wdrożenia takich środków technicznych i organizacyjnych, które zapewnią, aby domyślnie zbierane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu, aby ograniczyć ilość zbieranych danych, zakres ich przetwarzania, okres przechowywania oraz ich dostępność.
RODO wprowadza nowy środek zabezpieczenia danych, które obecnie obowiązujące przepisy (UODO) nie przewidują tj. pseudonimizację.
Pseudonomizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Anonimizacja natomiast polega na całkowitym usunięciu elementów identyfikujących osobę, przez co, mimo dołożenia rozsądnych starań, ustalenie jej tożsamości staje się niemożliwe.
Podczas gdy anonimizacja pozbawia informację charakteru danych osobowych, dane po pseudonimizacji wciąż pozostają danymi osobowymi.
Problem może się pojawić w sytuacji, gdy dane poddane są pseudonimizacji w ograniczonym środowisku, np. miejscowości lub grupie społecznej, charakteryzują i identyfikują osobę. Wówczas tego typu środek zabezpieczenia może okazać się nieskuteczny i należałoby wybrać inną formę zabezpieczenia danych.
Kolejną nowością, które wprowadza RODO jest prawo niepodlegania profilowaniu.
Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Profilowanie jest jednak możliwe i zgodne z prawem, w sytuacji gdy:
RODO wprowadza również zmiany dotyczące osoby, do zadań której należy nadzorowanie przestrzegania przepisów o ochronie danych osobowych w organizacji. W miejsce Administratora Bezpieczeństwa Informacji pojawia się Inspektor Ochrony Danych Osobowych (dalej: „Inspektor”). Oprócz nazwy stanowiska, zmienia się również zakres obowiązków spoczywający na Inspektorze. Obowiązek powołania Inspektora powstaje, gdy m.i.n:
Podsumowując, RODO jest nowym aktem prawnym, którego stosowanie i interpretacja może stanowić duże wyzwanie dla przedsiębiorców. Wobec tego istotne jest, aby jak najszybciej podjąć działania mające na celu dostosowanie dotychczasowo funkcjonujących mechanizmów z zapisami RODO. W innym wypadku przedsiębiorcy mogą spodziewać się wysokich kar finansowych sięgających nawet do 20 milionów euro albo 4 % całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego. Aby ich uniknąć, do 25 maja 2018 r. przedsiębiorcy mają czas na dostosowanie się do nowych regulacji.
Artykuł ukazał się w lipcowym wydaniu czasopisma “Logistyka, a jakość” (5/2017)
Autor:
Mateusz Brząkowski
Senior Associate, Radca Prawny
TGC Corporate Lawyers
Ochrona danych osobowych – sprawdź, jak możemy pomóc:
ul. Hrubieszowska 2
01-209 Warszawa
Polska
+48 22 295 33 00
contact@tgc.eu
NIP: 525-22-71-480, KRS: 0000167447,
REGON: 01551820200000. Sąd Rejonowy dla
m.st. Warszawy, XII Wydział Gospodarczy