Reforma ochrony danych osobowych – najważniejsze zagadnienia

Reforma ochrony danych osobowych staje się coraz bardziej aktualnym tematem. W dniu 18 września bieżącego roku odbyła się konferencja pod patronatem Generalnego Inspektora Ochrony Danych Osobowych „Nowe ramy ochrony danych w UE. Wyzwania dla Polski”. Podczas spotkania debatowano nad wpływem nowego unijnego rozporządzenia na porządek prawny funkcjonujący w Polsce. Wiele czynników wpłynęło na konieczność stworzenia nowej regulacji w zakresie ochrony danych osobowych. Przed szereg wysuwa się postulat dostosowania przepisów do obecnych sposobów przetwarzania danych, a w szczególności nowych technologii i ujednolicenia norm prawnych w krajach członkowskich Unii Europejskiej.

Przedsiębiorcy, przedstawiciele nauki, instytucji publicznych zastanawiali się czy Polska jest gotowa na przyjęcie tak istotnych zmian. Jakie działania musi podjąć aby reforma ochrony danych osobowych została wprowadzona. Kluczowe zagadnienia jakie poruszono podczas debaty to:

  1. Możliwość nakładania kar finansowych przez organy ds. ochrony danych osobowych
  2. Kompetencje nowego organu jakim będzie Europejska Rada Ochrony Danych
  3. Koncepcja zgody na gruncie nowego rozporządzenia :
  • Zgoda w dalszym ciągu będzie równorzędną przesłanką przetwarzania danych w odniesieniu do innych podstaw przetwarzania,
  • Zgoda na gruncie nowego rozporządzenia dla swojej ważności powinna być wyrażona w sposób swobodny, świadomy i wyraźny
  • Nie jest jednoznaczne czy zgoda będzie mogła obejmować wiele celów
  • Zgoda w każdej chwili może być odwołana
  • Zgoda nie może być uznana za swobodnie wyrażoną, jeśli pomiędzy stronami istniała znacząca nierównowaga
  1. Mechanizm one-stop-shop. Procedura one-stop-shop stosowana przez państwa członkowskie wskazywana była i jest jako możliwość przedstawiania wniosków/skarg do lokalnych organów ds. ochrony danych osobowych przez obywateli w ojczystym języku.
  2. Kwestia profilowania. Z profilowaniem wiąże się poważne zagrożenie – ryzyko związane z marginesem błędu tzn. przygotowany profil określonej osoby w oparciu o pozyskane informacje może być niezgodny ze stanem faktycznym. Jako przykład takiej sytuacji można wskazać sytuacje kiedy zamieścimy w Internecie zdjęcie z papierosem to może powstać już profil naszej osoby jako palacza, co oczywiście nie zawsze będzie zgodne z prawdą. Próbą zdefiniowania pojęcia profilowania zajął się Parlament Europejski. Wskazał on, że profilowanie to automatyczny proces, który ma na celu ochronę, analizę lub przewidzenie zachowania lub cechy danej osoby.
  3. Rola Inspektora Ochrony Danych – odpowiednik Administratora Bezpieczeństwa Informacji, zwany także oficerem ochrony danych. W pewnych okolicznościach organizacja będzie miało obowiązek wyznaczenia takiej osoby np. w sytuacji jeżeli będzie zatrudniała określoną ilość osób. Dodatkowo, rozporządzenie zakłada między innymi niezależność takiej osoby oraz kadencyjność.
  4. Pozycja GIODO w świetle nowego rozporządzenia – GIODO powinien mieć zapewnioną możliwość selekcji skarg. Powinien efektywnie kontrolować stosowanie nowych przepisów w zakresie ochrony danych osobowych. Nie jest jednak jednoznaczne czy rozporządzenie wprowadzi kadencyjność inspektora ochrony danych. Obecnie są jeszcze negocjowane inne obowiązki inspektora ochrony danych np. możliwość wykonywania dodatkowych obowiązków, takich jak aktywnie uczestniczenie w dokonywaniu Privacy Impact Assesment (ocena skutków przedsięwzięcia dla prywatności).
  5. Risk Based Approach – to zasada przetwarzania danych związana dokonaniem samooceny w zakresie ochrony danych osobowych. Administrator danych dokonuje każdorazowo samodzielnie oceny, jakie dane przetwarza. Klasyfikacje są różne. Podstawowa klasyfikacja odnosi się do tego czy przetwarzane są dane zwykłe czy wrażliwe. Art. 33 projektu rozporządzenia dookreśla, jakiego rodzaju przetwarzanie danych może nieść duże zagrożenie (np. dyskryminacja, kradzież tożsamości). Administrator danych powinien każdorazowo ocenić, jak duże jest zagrożenie przy przetwarzaniu danych.
  6. Kwestia egzekwowania prawa opiera się na trzech kluczowych elementach:
  • Możliwości nakładania kar finansowych
  • Wzmożonej współpracy między organami kontrolnymi
  • Zwiększenia odpowiedzialności administratorów danych

Fundacje i organizacje pozarządowe również przedstawiły swoje opinie w kontekście nowego unijnego rozporządzenia. Fundacja Panoptykon we współpracy z European Digital Rights, Access Now i Privacy International przygotowała zestawienie najważniejszych zagadnień, które powinny znaleźć się w nowym europejskim prawie.

W pierwszych słowach czytamy, że ochrona danych osobowych jest fundamentalną zasadą, która powinna być respektowana przez każdego. Co więcej, każda osoba ma prawo do ochrony danych osobowych oraz powinna mieć zapewnioną możliwość uzyskania informacji kto zbiera dane osobowe, gdzie są gromadzone, dla jakich celów i w jakim czasie. W grę wchodzi zatem rekomendacja obszernego obowiązku informacyjnego.

Fundacja skupiła się także nad problemem profilowania. Istniejąca w polskim prawie regulacja profilowania (w tym zakresie można wskazać art. 26a ustawy o ochronie danych osobowych dotyczący „ostatecznego rozstrzygnięcia indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym”) ogranicza się do ostatniego etapu, zakazując w pełni automatycznego podejmowania decyzji w oparciu o analizę danych. Projekt Komisji opiera się na podobnej logice – reguluje jedynie „środki oparte o profilowanie”, czyli ostatni etap podejmowania decyzji. Ważne jest to, że ludzka interwencja nie jest wymagana jeśli profilowanie jest oparte o przepis prawa. Fundacja wskazała, że z procesem profilowania wiąże się nieubłaganie problem dyskryminacji. W jednym z wystąpień Rzecznik Praw Obywatelskich stwierdził, iż profilowanie jednostki w oparciu o dane jej dotyczące jest obecnie uznane za proces, który może wpływać na pojawianie się zjawiska segregacji społecznej i przez to ograniczać prawa niektórych podmiotów biorących udział w życiu społecznym[1].

Fundacja rekomenduje poddanie ponownemu przeglądowi postanowień rozporządzenia odnoszących się do transferu danych w związku z wydaniem wyroku unieważniającego program Safe Harbour. Przed szereg wysunęła postulat zapewniania skutecznej ochrony danych osobowych. Państwa członkowskie Unii Europejskiej muszą na nowo określić warunki współpracy. W grę wchodzą wiec inne sposoby legalizacji transferu danych. Na podstawie polskiej ustawy o ochronie danych osobowych mogą to być standardowe klauzule umowne czy wiążące reguły korporacyjne.

Jak widać reforma ochrony danych wywołuje ogromne zainteresowanie nie tylko wśród środowisk prawniczych. Jest to ważki problem, który w pełni zasługuje na przemyślenia i dogłębną analizę. Nowa, kompleksowa regulacja w zakresie ochrony danych osobowych ma w mojej ocenie dwa główne cele. Po pierwsze w sposób odpowiedni powinna zabezpieczać dane osobowe, nakładając na podmioty przetwarzające dane osobowe niezbędne obowiązki. Po drugie powinna podjąć próbę „nadążenia” nad postępem technologicznym w zakresie przetwarzania danych. Dodatkowo, organy ochrony danych osobowych powinny mieć możliwość skutecznego nadzoru nad podmiotami przetwarzającymi dane osobowe i mieć narzędzia, aby przymusić do stosowania przyjętych regulacji. Z drugiej zaś strony przepisy powinny dać się stosować nie utrudniając nadmiernie biznesowego wykorzystania danych osobowych. Dopiero po spełnieniu powyższych założeń będziemy mogli mówić o stworzeniu skutecznego akty prawnego regulującego przetwarzanie danych osobowych.

[1] Wystąpienie prof. Ireny Lipowicz do Ministra Pracy i Polityki Społecznej w sprawie ochrony danych osobowych podczas profilowania pomocy dla bezrobotnych z dnia 23 marca 2015 r.

Nowe rozporządzenie unijne-101 Posiedzenia Grupy Roboczej

 rozporządzenie unijneW dniach 16-17 czerwca 2015 r. odbyło się 101. Posiedzenie Grupy Roboczej Artykułu 29 ds. Ochrony Danych w Brukseli, podczas którego omawiano nowe rozporządzenie unijne z zakresu ochrony danych osobowych. Punktem wyjścia było zaaprobowanie przez specjalistów postanowień przyjętych podczas posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA).  Spotkanie to okazało się krokiem milowym do rozpoczęcia kolejnego etapu procesu legislacyjnego, zwanego w nomenklaturze trilogiem[1].

Grupa Robocza w swoich uwagach wskazała na najważniejsze problemy z punktu widzenia ochrony danych osobowych oraz propozycje ich rozwiązania. Zauważyła, że reforma przepisów nie może naruszać fundamentalnych praw podstawowych zagwarantowanych obecnie w Dyrektywie 95/46[2]. Przy czym ranga przepisów o ochronie prywatności wysuwa się przed szereg innych regulacji.

Na wstępie kilka słów odnoszących się do zagadnień poruszanych podczas posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA). Efektem spotkania było osiągnięcie porozumienia w zakresie ogólnego rozporządzenia o ochronie danych osobowych, które zastąpi Dyrektywę z 1995r. Nowy akt unijny ma szeroki zakres przedmiotowy. Obejmuje on szereg ułatwień dla przedsiębiorców oraz mechanizm przetwarzania danych osobowych oparty na zasadzie ryzyka. Z punktu widzenia społeczeństwa rozporządzenie stanie się gwarantem szeroko pojętej ochrony danych związanej z sukcesywnie rozwijanym społeczeństwem informacyjnym oraz Internetem rzeczy. Głębszej refleksji należy poddać zagadnienia, które stały się przedmiotem ożywionej dyskusji członków posiedzenia. Zwrócili oni uwagę na to, że celem nowego rozporządzenia jest ukształtowanie w świadomości obywateli oraz władz publicznych istnienia całościowego aktu, kompleksowo obejmującego istotne zagadnienia z punktu widzenia ochrony danych. Rozporządzenie unijne tworzy spójne i ujednolicone ramy ochrony prawnej na terenie całego obszaru Unii Europejskiej. Dodatkowo mechanizmy te mają być przejrzyste i zrozumiałe.

Grupa Robocza art. 29 przyjęła podczas 101. Posiedzenia dokument pt. „ Kluczowe tematy z perspektywy trilogu”. Zwróciła ona w nim uwagę na obszary zagadnień, które powinny stać się przedmiotem rozważań instytucji unijnych. Prace nad rozporządzeniem powinny charakteryzować się racjonalnym działaniem, a najważniejsze powinno być dobro obywateli. Wydaje się zrozumiałe, że pod pojęciem dobra rozumie się szeroko rozumiane urzeczywistnianie praw podstawowych. Grupa Robocza wskazała, że przypadki ingerencji w prawa osób, których dane dotyczą, powinny byś jasno i precyzyjnie sformułowane, a ich interpretacja nie powinna być dokonywana w sposób rozszerzający. Przedsiębiorcy zaś mają mieć zapewnione mechanizmy urzeczywistniające konkurencyjność oraz innowacyjność.

W swojej opinii Grupa Robocza skupiała się na następujących zagadnieniach:

  1. Ochrona danych osobowych na poziomie krajowym nie powinna być mniejsza od tej zagwarantowanej na poziomie unijnym. Ustawodawstwa Państw Członkowskich zobowiązane są do pogłębiania zaufania obywateli do państwa i stanowionego przez nie prawa. Racjonalny ustawodawca to ten, który w swoich pracach kieruje się dobrem obywateli. Dokonując transpozycji przepisów unijnych uwzględnia ich interesy.
  2. Kolejną kwestią jest odmienny poziom ochrony zagwarantowany przez dyrektywę oraz rozporządzenie. Grupa Robocza zwróciła tym samym uwagę na fakt, by przetwarzanie danych nie następowało na podstawie różnych przepisów. Wyżej wymienione akty potencjalnie gwarantują inne poziomy ochrony. Wydaje się, że dyrektywa zapewnia minimalny poziom ochrony. Grupa Robocza kładzie nacisk na to, by przepisy odnoszące się do przetwarzania prowadzone w celach innych niż zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie, wykrywanie ich lub ściganie lub wykonywanie kar kryminalnych powinny być wyraźnie utrzymane w zakresie rozporządzenia unijnego. Wniosek jaki nasuwa się po lekturze owego zalecenia wydaje się oczywisty. Należy zapewnić spójność i transparentność obu aktów. Jasność przepisów oraz budowanie bezpieczeństwa prawnego powinny iść z nimi w parze.
  3. Szerokie spektrum zaleceń odnosiło się również do zakresu terytorialnego stosowania nowych przepisów. Grupa Robocza wskazała, że należy objąć przepisami rozporządzenia przetwarzających spoza UE w sytuacji, gdy działają oni jako administratorzy podlegający rozporządzeniu.

6815461264_934437f263_z

Rozporządzenie unijne-dużym wyzwaniem będzie ujednolicenie używanych definicji. Kluczowa, na kartach rozporządzenia, wydaje się definicja zgody. Grupa Robocza wydała zalecenie by zgoda w każdym przypadku przetwarzania była świadoma, udzielana na określony cel, dobrowolna i wyraźna.

Według Grupy Roboczej pojęcie identyfikowalności powinno obejmować wyodrębnienie osób. Członkowie Grupy Roboczej negatywnie odnieśli się do stwierdzenia zaproponowanego przez Parlament Europejski, że numery identyfikacyjne, dane lokalizacyjne, identyfikatory online lub inne szczególne czynniki nie będą koniecznie uznane za dane osobowe. Grupa Robocza wskazała, że zgodnie z utrwaloną linią orzeczniczą Trybunału Sprawiedliwości Unii Europejskiej adresy IP, identyfikatory online mogą być uznane za dane osobowe.

Grupa Robocza skupiła także uwagę na zasadzie ograniczania celu(odizolowaniu). W Opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej przyjętej w dniu 1 lipca 2012 r. wskazano, że ograniczenie celu stanowi fundamentalną zasadę, w myśl której należy dążyć do maksymalnego „odizolowania” poprzez zapewnienie odpowiedniego poziomu ochrony zarówno w aspekcie organizacyjnym jak i technicznym. W infrastrukturach cloud computingu zasoby, takie jak przestrzeń dyskowa, pamięć i sieci, są współdzielone przez wielu wynajmujących. Stwarza to zagrożenia, że dane będą udostępniane i przetwarzanie do nielegalnych celów. „Odizolowanie” ma być odpowiedzią na ten problem i ma przyczynić się do zagwarantowania, że dane nie będą wykorzystywane w celu innym niż cel pierwotny.

Rozdział III przedmiotowej opinii dotyczy praw osoby, której dane dotyczą. Grupa Robocza w sposób zwięzły i precyzyjny wskazała na szereg obowiązków leżących po stronie administratora danych. Zobligowany jest on do szeroko rozumianego obowiązku informacyjnego. Po stronie osoby zainteresowanej leży natomiast prawo do przenoszenia swoich danych, prawo dostępu czy prawo do wniesienia sprzeciwu.

Zjawisko jakie budzi zastrzeżenie w opinii Grupy Roboczej to profilowanie. Występuje ono praktycznie w każdej sferze życia. Zaniepokojenie budzi fakt, że brak jest definicji legalnej profilowania. Postulat w tym zakresie odnosi się do wprowadzenia zwiększonej ochrony prawnej jako konsekwencji zapewnienia stabilności bezpieczeństwa prawnego.

Kolejnym ważnym tematem jakim zajęła się Grupa Robocza były kompetencje i obowiązki Administratorów Danych, a także osób przetwarzających. W pierwszych słowach odniesiono się do zasady ryzyka. Nieodzownym elementem tej zasady jest rozliczalność. Elementem rozliczalności oraz przejrzystości działania administratorów danych jest wymagana prawem dokumentacja. W uwagach końcowych Grupa Robocza stwierdziła, że przejawem zasady rozliczalności jest również obowiązek wzmożonej współpracy z organem ochrony danych osobowych.

Dodatkowo Grupa Robocza zajęła się kwestią oceny wpływu nowego  rozporządzenia  unijnego na ochronę danych (DPIA). Wyraziła ona ogólne zadowolenie z przyjęcia dwustopniowej oceny ryzyka. Podejście takie w sposób jeszcze pełniejszy realizuje prawa i wolności osób, nie skupiając się wyłączenie na ochronie danych. Tym samym, kompleksowe podejście zostało w pełni zaaprobowane.

Rozwój gospodarki cyfrowej na rynku wewnętrznym był obszernym zagadnieniem, nad którym debatowano podczas 101. Posiedzenia Grupy Roboczej. Konkluzja jaką przyjęto brzmi następująco. Przekazywanie danych musi następować zgodnie z zasadą odpowiedniości. Zasada ta została uregulowana w art. 25 Dyrektywy. Zgodnie z jej literalnym brzmieniem:

Zasady ochrony muszą znajdować odzwierciedlenie, z jednej strony w obowiązkach nałożonych na osoby, władze publiczne, przedsiębiorstwa, agencje i inne organy odpowiedzialne za przetwarzanie danych, zwłaszcza w zakresie jakości danych, bezpieczeństwa technicznego, zawiadamiania organu nadzorczego oraz okoliczności, w których może odbywać się przetwarzanie danych, jak również, z drugiej strony, w prawie osób, których dane są przedmiotem przetwarzania, do uzyskania informacji, że takie przetwarzanie danych ma miejsce, do konsultowania danych, żądania poprawek lub nawet sprzeciwu wobec przetwarzania danych w niektórych przypadkach.

Jednym z końcowych zagadnień jakim zajęła się Grupa Robocza była odpowiedzialność prawna. Wskazano na konieczność uwzględnienia kar administracyjnych w przypadku gdy administrator lub przetwarzający zapewniają zgodności działania z przepisami o ochronie danych osobowych. Dolegliwość finansowa ma na celu efektywne przestrzeganie przepisów kompetencyjnych leżących po stronie przetwarzających.

[1] „Trilog”- negocjacje pomiędzy Radą UE, Parlamentem Europejskim a Komisją Europejską, zmierzające do wypracowania wspólnego tekstu aktu prawnego

[2] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych ( Dz.U. L 281 z 23.11.1995)

Źródło: http://www.giodo.gov.pl/

Kluczowe tematy z perspektywy trilogu (źródło: GIODO)

Marketing a ochrona danych osobowych – źródła powszechnie dostępne

We wcześniejszych artykułach na temat marketingu omówiliśmy kwestie związane z klauzulą zgody oraz wykorzystaniem prawnie usprawiedliwionego interesu. W poniższym artykule postaram się omówić zagadnienia związane z pozyskiwaniem danych ze źródeł powszechnie dostępnych – oczywiście wszystko w celach marketingowych.

W obecnych czasach wiele danych osobowych jest zamieszczanych w internecie. Mamy portale społecznościowe, spisy i ewidencje (Centralna Ewidencja Działalności Gospodarczej oraz Krajowy Rejestr Sądowy) itp.. Wydaje się, że dane osobowe są podane na tacy, wystarczy je tylko wziąć i zacząć przetwarzać we własnych celach np. marketingowych.
Jednakże jeżeli ktoś np. osoba fizyczna prowadząca działalność gospodarczą zamieściła swoje dane w internecie (ponieważ miała taki obowiązek) czy jest to równoznaczne z zezwoleniem na przetwarzanie jej danych osobowych w każdym możliwym celu?
Zacznijmy więc analizę od początku. Jeżeli ze źródeł powszechnie dostępnych ściągniemy informacje na temat osoby fizycznej powinniśmy założyć, iż mamy do czynienia z danymi osobowymi. Mając dane osobowe i przetwarzając je na potrzeby naszej działalności gospodarczej powinniśmy stosować ustawę o ochronie danych osobowych.

Po pierwsze powinniśmy określić podstawę przetwarzania tych danych. Podstawy przetwarzania (zgoda i usprawiedliwiony interes) zostały omówione w poprzednich artykułach. W ramach przypomnienia wskaże tylko najważniejsze różnice pomiędzy tymi przesłankami. Zgoda jako podstawa przetwarzania danych jest bez wątpienia bezpieczniejsza, jednakże jeżeli poprosimy o jej wyrażenie możemy się spotkać z odmową. Oparcie przetwarzania danych na podstawie wyłącznie usprawiedliwionego interesu jest skuteczniejsze niż zbieranie zgód ale niesie z sobą ryzyko prawne, że naruszymy czyjeś prawa i wolności. Kwestia wyważenia skuteczności biznesowej i ryzyka prawnego należy w ostateczności do decyzji administratora danych. Nie należy również zapomnieć o zebraniu zgody na przesyłanie informacji handlowej drogą elektroniczną.

Drugim elementem jest konieczność spełnienia obowiązku informacyjnego. Biorąc pod uwagę okoliczność, iż dane nie zostały zebrane od osoby, której dane dotyczą, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zakładam przy tym, iż posiadamy dane kontaktowe (numer telefonu lub adres e-mail).

Kolejnym elementem jest rejestracja zbioru danych w biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie powinno obejmować wyłącznie dane zwykłe i związku z tym ich przetwarzanie jest już możliwe w momencie złożenia zgłoszenia (nie trzeba czekać na rejestracje).

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych. W ramach odpowiedniego zabezpieczenia należy spełnić wymagania określone w rozdziale 5 ustawy o ochronie danych osobowych, a w szczególności zrealizować wymogi określone w przepisach Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z 2004 r.).