Nowa era ochrony danych osobowych | Co do zasady

Przejdź do treści
Mamy tu kilka tysięcy artykułów. Czego szukasz?
Formularz wyszukiwania
Zamów newsletter
Formularz zapisu na newsletter Co do zasady

Nowa era ochrony danych osobowych

17.03.2016 ochrona danych osobowych | outsourcing

Trwają prace nad rozporządzeniem o ogólnej ochronie danych osobowych. Zmiany, jakie zapowiada nowa legislacja, mogą mieć znaczenie dla przedsiębiorców z branży outsourcingowej. Planowane są m.in. dotkliwe sankcje za naruszenie przepisów o ochronie danych osobowych.

17 grudnia 2015 r. Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych Parlamentu Europejskiego głosowała nad projektem rozporządzenia o ochronie osób fizycznych w związku z przetwarzaniem ich danych osobowych i swobodnym przepływem takich danych. W wyniku głosowania przyjęto tekst będący wynikiem długoletnich prac legislacyjnych, dyskusji interesariuszy i ważenia priorytetów. Stanowi on punkt wyjścia do dalszych prac legislacyjnych, może zatem podlegać kolejnym modyfikacjom. Na pewno jednak w znacznym stopniu obrazuje on regulacje o ochronie danych osobowych, jakie staną się wkrótce nową rzeczywistością prawną.

Tzw. rozporządzenie o ogólnej ochronie danych osobowych będzie mieć skutek bezpośredni w krajach członkowskich UE; zastąpi ono dyrektywę 95/46 i jej krajowe implementacje (w Polsce: ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych).

W niniejszym tekście sygnalizujemy wybrane zmiany, jakie zapowiada nowa legislacja, które mogą mieć znaczenie dla przedsiębiorców z branży outsourcingowej.

Zakres stosowania regulacji

Rozporządzenie ma być stosowane do procesów przetwarzania danych osobowych wówczas, gdy przetwarzanie następuje w kontekście działalności administratora lub przetwarzającego dane z siedzibą w UE, niezależnie od tego, czy przetwarzanie ma miejsce w UE. Oznacza to, że w każdym przypadku konieczna będzie analiza okoliczności faktycznych, w jakich administrator przetwarza dane.

Rozporządzenie ma ponadto znaleźć zastosowanie do przetwarzania danych podmiotów z UE przez administratora lub przetwarzającego dane mających siedzibę poza UE, jeżeli procesy przetwarzania mają związek z oferowaniem towarów i usług (także nieodpłatnych) lub też obserwowaniem (monitorowaniem) zachowania podmiotów danych, jeżeli monitoring ten ma miejsce w UE.

Regulacja zawiera szereg rozwiązań, które mają ułatwić prowadzenie działalności w zgodzie z zasadami przetwarzania danych osobowych. Należą do nich między innymi:

  • zastosowanie jednej regulacji we wszystkich krajach UE (te same rozwiązania prawno-biznesowe mają szansę sprawdzać się w wielu jurysdykcjach),
  • zasada one-stop-shop, zgodnie z którą przedsiębiorca będzie podlegał tylko jednej instytucji państwowej nadzorującej ochronę danych osobowych, nawet jeśli prowadzi działalność w wielu krajach UE,
  • pojęcie „risk-based approach”, które pozwoli na miarkowanie obowiązków administratora w zależności od tego, jakie ryzyko dla ochrony danych niesie prowadzona przez niego działalność.

Administratorzy i przetwarzający dane

Odmiennie niż aktualna ustawa projekt rozporządzenia w znacznym stopniu reguluje wymogi dotyczące podmiotu przetwarzającego dane. Przykładowo zobowiązuje administratora do wyboru takiego podmiotu, który daje wystarczające gwarancje wdrożenia odpowiednich środków oraz procedur technicznych i organizacyjnych, aby przetwarzanie danych odpowiadało wymogom rozporządzenia. Określa także elementy, które powinny zostać ustalone w umowie zawartej pomiędzy administratorem a przetwarzającym dane.

Zgłaszanie zdarzenia skutkującego naruszeniem ochrony danych osobowych

Projekt rozporządzenia nakłada na administratora danych nieznany na gruncie ustawy obowiązek zgłaszania organowi nadzoru (w Polsce – GIODO) zaistnienia zdarzenia skutkującego naruszeniem ochrony danych osobowych. Zgłoszenie winno być dokonane bez nieuzasadnionej zwłoki, ale nie później niż w ciągu 72 godzin od zdarzenia. Jeżeli termin ten nie został zachowany, należy wyjaśnić powody opóźnienia. Zawiadomienie ma zawierać co najmniej: opis zdarzenia z określeniem kategorii danych oraz przybliżonej liczby podmiotów danych potencjalnie dotkniętych skutkami zdarzenia, dane kontaktowe inspektora ochrony danych osobowych lub innego podmiotu władnego udzielić szczegółowych informacji o zdarzeniu, a także opis przewidywanych skutków naruszenia oraz środków zaradczych podjętych lub planowanych w celu zminimalizowania lub zniwelowania negatywnych skutków naruszenia. Jeżeli nie można dostarczyć kompletu informacji, należy je uzupełniać w miarę możliwości, jak też dokumentować podjęte działania zaradcze, tak by GIODO mógł zweryfikować ich prawidłowość i adekwatność. Analogiczny obowiązek zawiadomienia o zdarzeniu nałożono na przetwarzającego dane, z tym że o naruszeniu zawiadamia on administratora danych.

Administrator danych ma też powiadomić o naruszeniu podmiot, którego dane dotyczą, podając zrozumiały opis zdarzenia i jego potencjalnych skutków oraz wskazując działania zaradcze. Zawiadomienie takie będzie konieczne tylko wtedy, gdy naruszeniu towarzyszy wysokie ryzyko naruszenia praw i wolności podmiotu danych. Administrator będzie zwolniony z dokonania zawiadomienia, jeżeli wdrożył techniczne i organizacyjne środki w celu ochrony danych objętych zdarzeniem, w szczególności mające na celu uczynienie danych nieczytelnymi dla osób trzecich (np. za pomocą szyfrowania), jak też w przypadku, gdy dzięki podjętym przez administratora środkom wyeliminowano ryzyka dla praw i wolności podmiotu danych, oraz w przypadku, gdy zawiadomienie wiązałoby się z nieproporcjonalnym obciążeniem dla administratora (w tym przypadku zawiadomienie należy zastąpić komunikatami podawanymi do publicznej wiadomości lub innymi o podobnym efekcie).

Obowiązki zgłaszania zdarzeń skutkujących naruszeniem ochrony danych są istotną nowością w stosunku do istniejących ram prawnych. Obecnie administratorzy i przetwarzający dane nie muszą ujawniać tego rodzaju zdarzeń. Środki zaradcze, bez rozgłosu, wybierają i implementują samodzielnie, według własnych możliwości. Ewentualna nieadekwatność lub niekompletność przyjętych rozwiązań może być zidentyfikowana wyłącznie w przypadku kontroli prowadzonej przez GIODO. Planowany model zapewni, że administrator, który dopuścił do zdarzenia skutkującego naruszeniem, będzie realizował działania naprawcze w ścisłym dialogu i pod nadzorem GIODO. Obniżone zostanie zatem ryzyko stosowania środków nieadekwatnych do zdarzenia.

Sankcje za naruszenia przepisów o ochronie danych osobowych

Obowiązująca ustawa przewiduje sankcje z tytułu naruszenia zasad ochrony danych osobowych (odpowiedzialność wykroczeniowa i karna), jednak ich stosowanie sprowadza się najczęściej do odpowiedzialności za wykroczenie (niezbyt dotkliwej), a niezwykle rzadko odpowiedzialności karnej (ze względu na niską szkodliwość społeczną czynu). Brak zatem proporcjonalnie dotkliwego instrumentu sankcyjnego, który byłby stosowany nawet w przypadku naruszenia o niewielkiej skali.

Tę lukę wypełnią administracyjne kary pieniężne nakładane przez GIODO. Wysokość kar ma uwzględniać m.in. stopień naruszenia, rodzaj naruszonej regulacji, czas trwania i efekty naruszenia, stopień zawinienia naruszyciela, zakres odpowiedzialności naruszyciela za zapewnienie właściwych środków organizacyjnych i technicznych, podjęcie działań zaradczych mających ograniczyć lub wyeliminować negatywne skutki naruszenia i współpracę z GIODO w tym zakresie, poprzednie naruszenia oraz sposób, w jaki GIODO powziął wiadomość o naruszeniu.

Maksymalna wysokość kary pieniężnej, w zależności od rodzaju naruszenia, ma wynosić 10 albo 20 milionów euro, a w przypadku przedsiębiorstwa – 2% albo 4% całkowitego rocznego przychodu w poprzednim roku obrotowym. Państwa członkowskie mają przyjąć przepisy wykonawcze dotyczące postępowań kontrolnych oraz procedur nakładania i egzekwowania kar, które mają być proporcjonalne, ale również dolegliwe.

Administratorzy i przetwarzający dane mają też ponosić odpowiedzialność odszkodowawczą (na zasadzie winy) za szkodę wynikłą z przetwarzania danych osobowych niezgodnie z prawem. Każda osoba, która poniosła szkodę materialną lub niematerialną w wyniku przetwarzania danych osobowych z naruszeniem przepisów rozporządzenia, będzie mogła żądać naprawienia tej szkody. Odpowiedzialność administratora ograniczy się do odpowiedzialności za naruszenie przepisów rozporządzenia, natomiast przetwarzającego – do odpowiedzialności za naruszenie przepisów rozporządzenia adresowanych wyraźnie do przetwarzających dane oraz za działanie niezgodne z instrukcjami administratora. Odpowiedzialność administratora i przetwarzającego z tytułu tego samego zdarzenia będzie solidarna względem poszkodowanego, jednak między sobą będą oni mogli się rozliczyć, korzystając z prawa regresu.

Sylwia Paszek, Agnieszka Szydlik, Katarzyna Żukowska, praktyka ochrony danych osobowych kancelarii Wardyński i Wspólnicy

Polecane artykuły
Pseudonimizacja danych w badaniach klinicznych i jej konsekwencje dla sponsorów
Gig economy, czyli pracownicy platform cyfrowych a dane osobowe
Akt o rynkach cyfrowych (DMA) – rewolucja nie tylko dla strażników dostępu
„Bossware” z perspektywy polskiego prawa pracy i ochrony danych osobowych
Praca zdalna a przetwarzanie danych osobowych