Reforma ochrony danych osobowych – najważniejsze zagadnienia

Reforma ochrony danych osobowych staje się coraz bardziej aktualnym tematem. W dniu 18 września bieżącego roku odbyła się konferencja pod patronatem Generalnego Inspektora Ochrony Danych Osobowych „Nowe ramy ochrony danych w UE. Wyzwania dla Polski”. Podczas spotkania debatowano nad wpływem nowego unijnego rozporządzenia na porządek prawny funkcjonujący w Polsce. Wiele czynników wpłynęło na konieczność stworzenia nowej regulacji w zakresie ochrony danych osobowych. Przed szereg wysuwa się postulat dostosowania przepisów do obecnych sposobów przetwarzania danych, a w szczególności nowych technologii i ujednolicenia norm prawnych w krajach członkowskich Unii Europejskiej.

Przedsiębiorcy, przedstawiciele nauki, instytucji publicznych zastanawiali się czy Polska jest gotowa na przyjęcie tak istotnych zmian. Jakie działania musi podjąć aby reforma ochrony danych osobowych została wprowadzona. Kluczowe zagadnienia jakie poruszono podczas debaty to:

  1. Możliwość nakładania kar finansowych przez organy ds. ochrony danych osobowych
  2. Kompetencje nowego organu jakim będzie Europejska Rada Ochrony Danych
  3. Koncepcja zgody na gruncie nowego rozporządzenia :
  • Zgoda w dalszym ciągu będzie równorzędną przesłanką przetwarzania danych w odniesieniu do innych podstaw przetwarzania,
  • Zgoda na gruncie nowego rozporządzenia dla swojej ważności powinna być wyrażona w sposób swobodny, świadomy i wyraźny
  • Nie jest jednoznaczne czy zgoda będzie mogła obejmować wiele celów
  • Zgoda w każdej chwili może być odwołana
  • Zgoda nie może być uznana za swobodnie wyrażoną, jeśli pomiędzy stronami istniała znacząca nierównowaga
  1. Mechanizm one-stop-shop. Procedura one-stop-shop stosowana przez państwa członkowskie wskazywana była i jest jako możliwość przedstawiania wniosków/skarg do lokalnych organów ds. ochrony danych osobowych przez obywateli w ojczystym języku.
  2. Kwestia profilowania. Z profilowaniem wiąże się poważne zagrożenie – ryzyko związane z marginesem błędu tzn. przygotowany profil określonej osoby w oparciu o pozyskane informacje może być niezgodny ze stanem faktycznym. Jako przykład takiej sytuacji można wskazać sytuacje kiedy zamieścimy w Internecie zdjęcie z papierosem to może powstać już profil naszej osoby jako palacza, co oczywiście nie zawsze będzie zgodne z prawdą. Próbą zdefiniowania pojęcia profilowania zajął się Parlament Europejski. Wskazał on, że profilowanie to automatyczny proces, który ma na celu ochronę, analizę lub przewidzenie zachowania lub cechy danej osoby.
  3. Rola Inspektora Ochrony Danych – odpowiednik Administratora Bezpieczeństwa Informacji, zwany także oficerem ochrony danych. W pewnych okolicznościach organizacja będzie miało obowiązek wyznaczenia takiej osoby np. w sytuacji jeżeli będzie zatrudniała określoną ilość osób. Dodatkowo, rozporządzenie zakłada między innymi niezależność takiej osoby oraz kadencyjność.
  4. Pozycja GIODO w świetle nowego rozporządzenia – GIODO powinien mieć zapewnioną możliwość selekcji skarg. Powinien efektywnie kontrolować stosowanie nowych przepisów w zakresie ochrony danych osobowych. Nie jest jednak jednoznaczne czy rozporządzenie wprowadzi kadencyjność inspektora ochrony danych. Obecnie są jeszcze negocjowane inne obowiązki inspektora ochrony danych np. możliwość wykonywania dodatkowych obowiązków, takich jak aktywnie uczestniczenie w dokonywaniu Privacy Impact Assesment (ocena skutków przedsięwzięcia dla prywatności).
  5. Risk Based Approach – to zasada przetwarzania danych związana dokonaniem samooceny w zakresie ochrony danych osobowych. Administrator danych dokonuje każdorazowo samodzielnie oceny, jakie dane przetwarza. Klasyfikacje są różne. Podstawowa klasyfikacja odnosi się do tego czy przetwarzane są dane zwykłe czy wrażliwe. Art. 33 projektu rozporządzenia dookreśla, jakiego rodzaju przetwarzanie danych może nieść duże zagrożenie (np. dyskryminacja, kradzież tożsamości). Administrator danych powinien każdorazowo ocenić, jak duże jest zagrożenie przy przetwarzaniu danych.
  6. Kwestia egzekwowania prawa opiera się na trzech kluczowych elementach:
  • Możliwości nakładania kar finansowych
  • Wzmożonej współpracy między organami kontrolnymi
  • Zwiększenia odpowiedzialności administratorów danych

Fundacje i organizacje pozarządowe również przedstawiły swoje opinie w kontekście nowego unijnego rozporządzenia. Fundacja Panoptykon we współpracy z European Digital Rights, Access Now i Privacy International przygotowała zestawienie najważniejszych zagadnień, które powinny znaleźć się w nowym europejskim prawie.

W pierwszych słowach czytamy, że ochrona danych osobowych jest fundamentalną zasadą, która powinna być respektowana przez każdego. Co więcej, każda osoba ma prawo do ochrony danych osobowych oraz powinna mieć zapewnioną możliwość uzyskania informacji kto zbiera dane osobowe, gdzie są gromadzone, dla jakich celów i w jakim czasie. W grę wchodzi zatem rekomendacja obszernego obowiązku informacyjnego.

Fundacja skupiła się także nad problemem profilowania. Istniejąca w polskim prawie regulacja profilowania (w tym zakresie można wskazać art. 26a ustawy o ochronie danych osobowych dotyczący „ostatecznego rozstrzygnięcia indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym”) ogranicza się do ostatniego etapu, zakazując w pełni automatycznego podejmowania decyzji w oparciu o analizę danych. Projekt Komisji opiera się na podobnej logice – reguluje jedynie „środki oparte o profilowanie”, czyli ostatni etap podejmowania decyzji. Ważne jest to, że ludzka interwencja nie jest wymagana jeśli profilowanie jest oparte o przepis prawa. Fundacja wskazała, że z procesem profilowania wiąże się nieubłaganie problem dyskryminacji. W jednym z wystąpień Rzecznik Praw Obywatelskich stwierdził, iż profilowanie jednostki w oparciu o dane jej dotyczące jest obecnie uznane za proces, który może wpływać na pojawianie się zjawiska segregacji społecznej i przez to ograniczać prawa niektórych podmiotów biorących udział w życiu społecznym[1].

Fundacja rekomenduje poddanie ponownemu przeglądowi postanowień rozporządzenia odnoszących się do transferu danych w związku z wydaniem wyroku unieważniającego program Safe Harbour. Przed szereg wysunęła postulat zapewniania skutecznej ochrony danych osobowych. Państwa członkowskie Unii Europejskiej muszą na nowo określić warunki współpracy. W grę wchodzą wiec inne sposoby legalizacji transferu danych. Na podstawie polskiej ustawy o ochronie danych osobowych mogą to być standardowe klauzule umowne czy wiążące reguły korporacyjne.

Jak widać reforma ochrony danych wywołuje ogromne zainteresowanie nie tylko wśród środowisk prawniczych. Jest to ważki problem, który w pełni zasługuje na przemyślenia i dogłębną analizę. Nowa, kompleksowa regulacja w zakresie ochrony danych osobowych ma w mojej ocenie dwa główne cele. Po pierwsze w sposób odpowiedni powinna zabezpieczać dane osobowe, nakładając na podmioty przetwarzające dane osobowe niezbędne obowiązki. Po drugie powinna podjąć próbę „nadążenia” nad postępem technologicznym w zakresie przetwarzania danych. Dodatkowo, organy ochrony danych osobowych powinny mieć możliwość skutecznego nadzoru nad podmiotami przetwarzającymi dane osobowe i mieć narzędzia, aby przymusić do stosowania przyjętych regulacji. Z drugiej zaś strony przepisy powinny dać się stosować nie utrudniając nadmiernie biznesowego wykorzystania danych osobowych. Dopiero po spełnieniu powyższych założeń będziemy mogli mówić o stworzeniu skutecznego akty prawnego regulującego przetwarzanie danych osobowych.

[1] Wystąpienie prof. Ireny Lipowicz do Ministra Pracy i Polityki Społecznej w sprawie ochrony danych osobowych podczas profilowania pomocy dla bezrobotnych z dnia 23 marca 2015 r.

Dodaj komentarz

Administratorem Twoich dobrowolnie podanych danych osobowych jest Auraco sp. z o.o. z siedzibą przy ul. Solec 81B/73A, 00-382 Warszawa. Twoje dane osobowe będą przetwarzane w celu dodania i opublikowania komentarza na zasadach określonych w regulaminie. Auraco sp. z o.o. nie będzie udostępniać Twoich danych osobowych, chyba że będzie to konieczne z uwagi na obowiązujące przepisy prawa. Przysługuje Ci prawo dostępu oraz poprawienia danych osobowych.