Projekt ustawy o ochronie danych osobowych Ministerstwa Cyfryzacji

o ochronie danych osobowych, rodo

Coraz mniej czasu do wejścia RODO… prace nad ustawą o ochronie danych osobowych trwają.

Państwa Unii Europejskiej muszą sprostać wyzwaniu dostosowania do krajowego porządku prawnego ogólnego rozporządzenia unijnego o ochronie danych osobowych (rozporządzenie 2016/679) zwanego RODO. Na stronie Ministerstwa Cyfryzacji został udostępniony projekt ustawy o ochronie danych osobowych, który ma zapewnić skuteczne stosowanie w polskim porządku prawnym RODO.

W projekcie znajdują się :

  • przepisy ogólne,
  • przepisy regulujące postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,
  • europejską współpracę administracyjną,
  • postępowanie kontrolne,
  • administracyjne kary pieniężne,
  • odpowiedzialność cywilną i kwestie związane z inspektorami ochrony danych.

Projektu ustawy, tak naprawdę jeszcze się będzie zmieniał ze względu na to, że nie wyczerpuje on wszystkich regulacji koniecznych do wprowadzenia do projektowanej ustawy. Sam projekt był przygotowywany po konsultacjach przeprowadzonych ze środowiskiem naukowym oraz z przedstawicielami przedsiębiorców i innymi zainteresowanymi. Ważniejsze jednak wydaję się to, że założeniem projektowanej regulacji jest również zapewnienie obywatelom możliwości skuteczniejszego egzekwowania prawa do ochrony ich danych osobowych między innymi poprzez przyśpieszenie postępowania w sprawach dotyczących ich naruszeń. „Decyzja o udostępnieniu projektu podyktowana została dużym zainteresowaniem społecznym wypracowywanymi zmianami prawnymi i chęcią zapewnienia procesowi tworzenia nowych przepisów pełnej transparentności.” Czyżby Ministerstwo Cyfryzacji czekało na najważniejsze opinie – obywateli, a wśród nich między innymi pracowników, klientów … , których te dane ustawa ma pomagać chronić?

wprowadzenie_do_projektu_ustawy_o_ochronie_danych_osobowych_28_marca_2017

Projekt ustawy o ochronie danych osobowych 2017 marca 28

Współadministratorzy

Współadministratorzy – nowa definicja w rozporządzeniu unijnym. Jednym z nowych dla polskiego prawa pojęć, które wprowadza rozporządzenie unijne 2016/679 dotyczące ochrony danych osobowych, jest pojęcie współadministratora danych osobowych. Jak należy je jednak rozumieć? W jakich sytuacjach będziemy mieć do czynienia ze współadministratorami? Jaki będzie zakres odpowiedzialności każdego z nich? Mam nadzieję, że tym wpisem uda mi się rozwiać wszelkie wątpliwości związane z tym zagadnieniem.

Artykuł 26 rozporządzenia stanowi, że:

Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Sam „administrator” jest natomiast rozumiany przez rozporządzenie jako:

osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Definicja administratora wskazuje nam więc już słowami „samodzielnie lub wspólnie z innymi” na możliwość zaistnienia tzw. kontroli pluralistycznej.

Grupa Robocza Artykułu 29 za najważniejszą i podstawową rolę pojęcia administratora danych osobowych uznała umożliwienie ustalenia odpowiedzialności za zgodność przetwarzania z zasadami ochrony danych i tego, w jaki sposób podmioty danych osobowych mogą wykonywać swoje prawa w praktyce. Dodatkowo w swojej opinii podkreśliła, że pojęcie to należy rozumieć w sposób:

  • autonomiczny i wspólnotowy – a więc interpretacja musi się odbywać według unijnych przepisów dotyczących danych osobowych i nie ulega zmianom ze względu na rozbieżności w ustawodawstwach krajowych;
  • funkcjonalny – co oznacza, że analizować należy okoliczności faktyczne, a nie formalne.

Jeżeli chodzi o element odróżniający administratora od innych podmiotów, a więc decydowanie o sposobach i celach przetwarzania danych osobowych, warto wiedzieć, że jest możliwe przekazanie przez administratora uprawnienia do określenia sposobów przetwarzania innemu podmiotowi, o ile chodzi o kwestie techniczne i organizacyjne. Natomiast już określenie celu przez dany podmiot powoduje samo w sobie uznanie go za faktycznego administratora[1]. Powyższe zasady rozumienia pojęcia administratora zastosujemy rzecz jasna analogicznie do terminu „współadministrator”.

Rozporządzenie nakłada na administratorów wspólnie ustalających cele i sposoby przetwarzania danych obowiązek dokonania przez nich wspólnych uzgodnień, które w sposób jasny i przejrzysty określać będą zakresy ich odpowiedzialności (szczególnie w odniesieniu do obowiązku informacyjnego administratorów oraz wykonywania przez podmiot danych – czyli osobę, której dane dotyczą – swoich praw). Uzgodnienia te mają odzwierciedlać nie tylko zakresy obowiązków współadministratorów, ale także relacje między nimi a podmiotami danych osobowych. Co więcej – zasadnicza treść tych uzgodnień musi być tym podmiotom udostępniona. Rozporządzenie dodatkowo wskazuje, że w uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą, co ma im ułatwić korzystanie ze swoich uprawnień. Niezależnie od wspomnianych uzgodnień osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z rozporządzenia wobec każdego z administratorów.

W tym miejscu pojawia się kluczowa kwestia – dotycząca odpowiedzialności współadministratorów za naruszenia przepisów o ochronie danych osobowych. Dyrektywa 95/46/WE, która regulowała sprawy związane z ochroną danych przed rozporządzeniem:

  • nie używała co prawda terminu „współadministrator”, jednak dopuszczała możliwość zaistnienia sytuacji, w której co najmniej dwóch administratorów wspólnie decyduje o celach i sposobach przetwarzania danych;
  • stanowiła, że administrator odpowiada tylko za szkodę, którą wyrządził – zwolniony był więc z odpowiedzialności za szkodę, za której powstanie nie ponosił winy – w związku z czym w pewnych okolicznościach osoba, której dane dotyczą, mogła nie uzyskać pełnego odszkodowania;
  • zwalniała administratora z odpowiedzialności za szkodę spowodowaną siłą wyższą.

Rozporządzenie reguluje tę kwestię inaczej:

  • Podmiot danych ma być teraz uprawniony do kierowania roszczeń przeciwko któremukolwiek ze współadministratorów – ten zaś, którego wybierze, odpowiada wobec niego za całą szkodę, jaką mu wyrządzono przez naruszenie przepisów o ochronie danych osobowych (chyba że prawo UE lub państwa członkowskiego rozdziela odpowiedzialność między współadministratorów w inny sposób).
  • Gdy wybrany przez poszkodowanego współadministrator zrekompensuje mu szkodę, może żądać zwrotu odpowiedniej części wypłaconej sumy od pozostałych administratorów – w częściach wynikających z zawartego przez nich porozumienia.
  • Zwolnienie z obowiązku pokrycia całego odszkodowania przez wskazanego administratora jest możliwe tylko wtedy, gdy nie jest on w żaden sposób odpowiedzialny za szkodę. Jeżeli odpowiada za nią chociażby w najmniejszym stopniu, to wyłączenie to już go nie obejmie.
  • Rozporządzenie nie przewiduje wprost zwolnienia z takiego obowiązku w przypadku siły wyższej, przez co współadministratorzy ponoszą teoretycznie większe ryzyko.

Udział współadministratorów w decydowaniu o celach i sposobach przetwarzania danych może przyjmować rozmaite formy. Poza tym warto pamiętać, że sam fakt współpracy różnych podmiotów w procesie przetwarzania nie czyni ich współadministratorami. Przykładowo:

  1. W przypadku, gdy biuro podróży przesyła dane osobowe swoich klientów, rezerwujących wyjazdy wakacyjne, do hotelu i linii lotniczych – biuro podróży, hotel i linie będą trzema administratorami danych, działającymi samodzielnie i odpowiedzialnymi za ochronę danych osobowych klientów we własnym zakresie.
  2. Jeżeli natomiast te trzy podmioty w ramach współpracy utworzą wspólną stronę internetową, uzgodnią między sobą ważne elementy sposobów przetwarzania danych użytkowników portalu, będą sprawować nad nim wspólną kontrolę i postanowią wymieniać się danymi swoich klientów w celach marketingowych, będą już współadministratorami w zakresie przetwarzania danych w procesie rezerwacji przy użyciu portalu, nawet jeżeli nie podzielają tych samych celów.

Inny przykład związany jest z kwestią odróżnienia udostępnienia danych od powierzenia ich przetwarzania:

  1. Kiedy przedsiębiorstwo headhunterskie A pomaga przedsiębiorstwu B w rekrutacji pracowników, zazwyczaj działa ono jako podmiot przetwarzający dane (procesor), bo to B decyduje o celach i sposobach przetwarzania, a więc jest administratorem danych.
  2. Jeżeli jednak przedsiębiorstwo A jest administratorem danych osobowych we własnej bazie danych, w której posiada inne CV niż te otrzymane od B i korzysta również z nich przy realizacji umowy z przedsiębiorstwem B – należy uznać przedsiębiorstwa za współadministratorów w zakresie przetwarzania związanego z procesem tej rekrutacji.

Warto także zauważyć, że rozporządzenie, wprowadzając konstrukcję współadministratorów, zdaje się wychodzić naprzeciw przede wszystkim przedsiębiorcom, którzy ze sobą współpracują – czy to w formie grup kapitałowych, czy też po prostu działającym wspólnie na postawie umowy dla osiągnięcia ustalonych wspólnie celów. Takie rozwiązanie powinno ułatwić im bowiem podział obowiązków w kwestii ochrony danych osobowych[2]. Czas jednak pokaże, jak opisana przeze mnie instytucja będzie tak naprawdę funkcjonować w praktyce, a także w jakim kierunku w interpretacji nowych unijnych przepisów pójdzie orzecznictwo i doktryna.

 

[1] Opinia Grupy Roboczej Artykułu 29 nr 1/2010  w sprawie pojęć „administrator danych” i „przetwarzający”

[2] Dariusz Wociór (red.), Ochrona danych osobowych i informacji niejawnych z uwzględnieniem ogólnego rozporządzenia unijnego

Rozporządzenie UE w sprawie ochrony danych osobowych przyjęte

Stało się. Po niemal 4 latach negocjacji mamy to! Długo oczekiwane Rozporządzenie  UE w sprawie ochrony danych osobowych zostało przyjęte przez Parlament Europejski. Celem rozporządzenia jest przyjęcie uniwersalnej ochrony danych osobowych na terenie całej UE w związku z postępem technologicznym i szeroko rozumianym rozwojem ery cyfrowej. Rozporządzenie nie wskazuje wyłącznie na obowiązek przetwarzania danych zgodnie z zasadami przyjętymi na gruncie aktu. Podmiot przetwarzający dane ma obowiązek wykazania, że spełnia szereg wymagań przetwarzania danych w sposób legalnych. W grę wchodzą certyfikacje i konieczność uzyskania stosownych znaków jakości potwierdzających fachowość i kompetencje podmiotu przetwarzającego.

W kilku ostatnich wpisach informowaliśmy o tym co czeka nas w związku z reformą. Po krótce wskażę na to co najważniejsze, ale teraz już oficjalnie. Nowe Rozporządzenie UE w sprawie ochrony danych osobowych reguluje po pierwsze kwestię „prawa do bycia zapomnianym”. Wskazują dodatkowo na warunki wyrażenia zgody na przetwarzanie danych. Pewnym novum będzie także konieczność zgłaszania incydentów godzących w bezpieczeństwo danych osobowych do organu nadzorczego. I klucz programu, czyli możliwość nakładania kar pieniężnych i mechanizmy ich skutecznej egzekucji.

Czekamy teraz z niecierpliwością na publikację tekstu rozporządzenia w Dzienniku Urzędowym Unii Europejskiej. Parlament ma na to 20 dni. Rozporządzenie zacznie obowiązywać wiosną 2018 r. Państwa członkowskie będą miały 2 lata na wdrożenie przepisów do swoich krajowych rozwiązań.

Nieubłaganie płynie zatem czas na wejście w życie jakby nie patrzył rewolucyjnych zmian. Nie tylko dla firm specjalizujących się w ochronie danych osobowych. Powiem krótko. Czeka nas dużo pracy i nauki by przyswoić sobie nową treść rozporządzenia. Przed nowym wyzwaniem stanie także GIODO. Jak potoczą się losy przedsiębiorstw, które nie będą potrafiły sprostać wymaganiom stawianym przez rozporządzenie? Niewątpliwie rozporządzenie daje firmom specjalizującym się w ochronie danych osobowych pole do popisu i wykazania się w nowej sytuacji. Czas pokaże jak sprostamy temu wyzwaniu.

Załącznik:

Rozporządzenie UE w sprawie ochrony danych osobowych