Nowe rozporządzenie unijne-101 Posiedzenia Grupy Roboczej

 rozporządzenie unijneW dniach 16-17 czerwca 2015 r. odbyło się 101. Posiedzenie Grupy Roboczej Artykułu 29 ds. Ochrony Danych w Brukseli, podczas którego omawiano nowe rozporządzenie unijne z zakresu ochrony danych osobowych. Punktem wyjścia było zaaprobowanie przez specjalistów postanowień przyjętych podczas posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA).  Spotkanie to okazało się krokiem milowym do rozpoczęcia kolejnego etapu procesu legislacyjnego, zwanego w nomenklaturze trilogiem[1].

Grupa Robocza w swoich uwagach wskazała na najważniejsze problemy z punktu widzenia ochrony danych osobowych oraz propozycje ich rozwiązania. Zauważyła, że reforma przepisów nie może naruszać fundamentalnych praw podstawowych zagwarantowanych obecnie w Dyrektywie 95/46[2]. Przy czym ranga przepisów o ochronie prywatności wysuwa się przed szereg innych regulacji.

Na wstępie kilka słów odnoszących się do zagadnień poruszanych podczas posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA). Efektem spotkania było osiągnięcie porozumienia w zakresie ogólnego rozporządzenia o ochronie danych osobowych, które zastąpi Dyrektywę z 1995r. Nowy akt unijny ma szeroki zakres przedmiotowy. Obejmuje on szereg ułatwień dla przedsiębiorców oraz mechanizm przetwarzania danych osobowych oparty na zasadzie ryzyka. Z punktu widzenia społeczeństwa rozporządzenie stanie się gwarantem szeroko pojętej ochrony danych związanej z sukcesywnie rozwijanym społeczeństwem informacyjnym oraz Internetem rzeczy. Głębszej refleksji należy poddać zagadnienia, które stały się przedmiotem ożywionej dyskusji członków posiedzenia. Zwrócili oni uwagę na to, że celem nowego rozporządzenia jest ukształtowanie w świadomości obywateli oraz władz publicznych istnienia całościowego aktu, kompleksowo obejmującego istotne zagadnienia z punktu widzenia ochrony danych. Rozporządzenie unijne tworzy spójne i ujednolicone ramy ochrony prawnej na terenie całego obszaru Unii Europejskiej. Dodatkowo mechanizmy te mają być przejrzyste i zrozumiałe.

Grupa Robocza art. 29 przyjęła podczas 101. Posiedzenia dokument pt. „ Kluczowe tematy z perspektywy trilogu”. Zwróciła ona w nim uwagę na obszary zagadnień, które powinny stać się przedmiotem rozważań instytucji unijnych. Prace nad rozporządzeniem powinny charakteryzować się racjonalnym działaniem, a najważniejsze powinno być dobro obywateli. Wydaje się zrozumiałe, że pod pojęciem dobra rozumie się szeroko rozumiane urzeczywistnianie praw podstawowych. Grupa Robocza wskazała, że przypadki ingerencji w prawa osób, których dane dotyczą, powinny byś jasno i precyzyjnie sformułowane, a ich interpretacja nie powinna być dokonywana w sposób rozszerzający. Przedsiębiorcy zaś mają mieć zapewnione mechanizmy urzeczywistniające konkurencyjność oraz innowacyjność.

W swojej opinii Grupa Robocza skupiała się na następujących zagadnieniach:

  1. Ochrona danych osobowych na poziomie krajowym nie powinna być mniejsza od tej zagwarantowanej na poziomie unijnym. Ustawodawstwa Państw Członkowskich zobowiązane są do pogłębiania zaufania obywateli do państwa i stanowionego przez nie prawa. Racjonalny ustawodawca to ten, który w swoich pracach kieruje się dobrem obywateli. Dokonując transpozycji przepisów unijnych uwzględnia ich interesy.
  2. Kolejną kwestią jest odmienny poziom ochrony zagwarantowany przez dyrektywę oraz rozporządzenie. Grupa Robocza zwróciła tym samym uwagę na fakt, by przetwarzanie danych nie następowało na podstawie różnych przepisów. Wyżej wymienione akty potencjalnie gwarantują inne poziomy ochrony. Wydaje się, że dyrektywa zapewnia minimalny poziom ochrony. Grupa Robocza kładzie nacisk na to, by przepisy odnoszące się do przetwarzania prowadzone w celach innych niż zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie, wykrywanie ich lub ściganie lub wykonywanie kar kryminalnych powinny być wyraźnie utrzymane w zakresie rozporządzenia unijnego. Wniosek jaki nasuwa się po lekturze owego zalecenia wydaje się oczywisty. Należy zapewnić spójność i transparentność obu aktów. Jasność przepisów oraz budowanie bezpieczeństwa prawnego powinny iść z nimi w parze.
  3. Szerokie spektrum zaleceń odnosiło się również do zakresu terytorialnego stosowania nowych przepisów. Grupa Robocza wskazała, że należy objąć przepisami rozporządzenia przetwarzających spoza UE w sytuacji, gdy działają oni jako administratorzy podlegający rozporządzeniu.

6815461264_934437f263_z

Rozporządzenie unijne-dużym wyzwaniem będzie ujednolicenie używanych definicji. Kluczowa, na kartach rozporządzenia, wydaje się definicja zgody. Grupa Robocza wydała zalecenie by zgoda w każdym przypadku przetwarzania była świadoma, udzielana na określony cel, dobrowolna i wyraźna.

Według Grupy Roboczej pojęcie identyfikowalności powinno obejmować wyodrębnienie osób. Członkowie Grupy Roboczej negatywnie odnieśli się do stwierdzenia zaproponowanego przez Parlament Europejski, że numery identyfikacyjne, dane lokalizacyjne, identyfikatory online lub inne szczególne czynniki nie będą koniecznie uznane za dane osobowe. Grupa Robocza wskazała, że zgodnie z utrwaloną linią orzeczniczą Trybunału Sprawiedliwości Unii Europejskiej adresy IP, identyfikatory online mogą być uznane za dane osobowe.

Grupa Robocza skupiła także uwagę na zasadzie ograniczania celu(odizolowaniu). W Opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej przyjętej w dniu 1 lipca 2012 r. wskazano, że ograniczenie celu stanowi fundamentalną zasadę, w myśl której należy dążyć do maksymalnego „odizolowania” poprzez zapewnienie odpowiedniego poziomu ochrony zarówno w aspekcie organizacyjnym jak i technicznym. W infrastrukturach cloud computingu zasoby, takie jak przestrzeń dyskowa, pamięć i sieci, są współdzielone przez wielu wynajmujących. Stwarza to zagrożenia, że dane będą udostępniane i przetwarzanie do nielegalnych celów. „Odizolowanie” ma być odpowiedzią na ten problem i ma przyczynić się do zagwarantowania, że dane nie będą wykorzystywane w celu innym niż cel pierwotny.

Rozdział III przedmiotowej opinii dotyczy praw osoby, której dane dotyczą. Grupa Robocza w sposób zwięzły i precyzyjny wskazała na szereg obowiązków leżących po stronie administratora danych. Zobligowany jest on do szeroko rozumianego obowiązku informacyjnego. Po stronie osoby zainteresowanej leży natomiast prawo do przenoszenia swoich danych, prawo dostępu czy prawo do wniesienia sprzeciwu.

Zjawisko jakie budzi zastrzeżenie w opinii Grupy Roboczej to profilowanie. Występuje ono praktycznie w każdej sferze życia. Zaniepokojenie budzi fakt, że brak jest definicji legalnej profilowania. Postulat w tym zakresie odnosi się do wprowadzenia zwiększonej ochrony prawnej jako konsekwencji zapewnienia stabilności bezpieczeństwa prawnego.

Kolejnym ważnym tematem jakim zajęła się Grupa Robocza były kompetencje i obowiązki Administratorów Danych, a także osób przetwarzających. W pierwszych słowach odniesiono się do zasady ryzyka. Nieodzownym elementem tej zasady jest rozliczalność. Elementem rozliczalności oraz przejrzystości działania administratorów danych jest wymagana prawem dokumentacja. W uwagach końcowych Grupa Robocza stwierdziła, że przejawem zasady rozliczalności jest również obowiązek wzmożonej współpracy z organem ochrony danych osobowych.

Dodatkowo Grupa Robocza zajęła się kwestią oceny wpływu nowego  rozporządzenia  unijnego na ochronę danych (DPIA). Wyraziła ona ogólne zadowolenie z przyjęcia dwustopniowej oceny ryzyka. Podejście takie w sposób jeszcze pełniejszy realizuje prawa i wolności osób, nie skupiając się wyłączenie na ochronie danych. Tym samym, kompleksowe podejście zostało w pełni zaaprobowane.

Rozwój gospodarki cyfrowej na rynku wewnętrznym był obszernym zagadnieniem, nad którym debatowano podczas 101. Posiedzenia Grupy Roboczej. Konkluzja jaką przyjęto brzmi następująco. Przekazywanie danych musi następować zgodnie z zasadą odpowiedniości. Zasada ta została uregulowana w art. 25 Dyrektywy. Zgodnie z jej literalnym brzmieniem:

Zasady ochrony muszą znajdować odzwierciedlenie, z jednej strony w obowiązkach nałożonych na osoby, władze publiczne, przedsiębiorstwa, agencje i inne organy odpowiedzialne za przetwarzanie danych, zwłaszcza w zakresie jakości danych, bezpieczeństwa technicznego, zawiadamiania organu nadzorczego oraz okoliczności, w których może odbywać się przetwarzanie danych, jak również, z drugiej strony, w prawie osób, których dane są przedmiotem przetwarzania, do uzyskania informacji, że takie przetwarzanie danych ma miejsce, do konsultowania danych, żądania poprawek lub nawet sprzeciwu wobec przetwarzania danych w niektórych przypadkach.

Jednym z końcowych zagadnień jakim zajęła się Grupa Robocza była odpowiedzialność prawna. Wskazano na konieczność uwzględnienia kar administracyjnych w przypadku gdy administrator lub przetwarzający zapewniają zgodności działania z przepisami o ochronie danych osobowych. Dolegliwość finansowa ma na celu efektywne przestrzeganie przepisów kompetencyjnych leżących po stronie przetwarzających.

[1] „Trilog”- negocjacje pomiędzy Radą UE, Parlamentem Europejskim a Komisją Europejską, zmierzające do wypracowania wspólnego tekstu aktu prawnego

[2] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych ( Dz.U. L 281 z 23.11.1995)

Źródło: http://www.giodo.gov.pl/

Kluczowe tematy z perspektywy trilogu (źródło: GIODO)

Dodaj komentarz

Administratorem Twoich dobrowolnie podanych danych osobowych jest Auraco sp. z o.o. z siedzibą przy ul. Solec 81B/73A, 00-382 Warszawa. Twoje dane osobowe będą przetwarzane w celu dodania i opublikowania komentarza na zasadach określonych w regulaminie. Auraco sp. z o.o. nie będzie udostępniać Twoich danych osobowych, chyba że będzie to konieczne z uwagi na obowiązujące przepisy prawa. Przysługuje Ci prawo dostępu oraz poprawienia danych osobowych.