Dane osobowe po nowemu

25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r., które w sposób znaczący zmienią dotychczas obowiązujące przepisy ochrony danych osobowych w państwach Unii Europejskiej.

Bardzo obszerna preambuła tego rozporządzenia szczegółowo wyjaśnia dlaczego zdecydowano się na jej wprowadzenie. W pierwszej kolejności podkreśla się, że ochrona danych osobowych jednostki to jedno z istotniejszych praw zawartych w Karcie praw podstawowych Unii Europejskiej. Intencją Parlamentu Europejskiego była harmonizacja  „ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi”. Dostrzeżono również konieczność zmierzenia się z wyzwaniami jakie stawiają zagadnieniu ochrony danych osobowych gwałtowne zmiany na rynku usług, a także postęp technologiczny jaki dokoła się w ostatnich latach. Wpłynęło to istotnie na przepływ danych osobami pomiędzy różnorakimi podmiotami. Zamiarem autorów rozporządzenia nie jest jednak zahamowanie rozwoju technologicznego. Dostrzeżono, iż rozwój technologii powinien iść w parze w zapewnieniem wysokiego stopnia ochrony danych osobowych obywateli. Jednym z warunków osiągnięcia tego celu jest zagwarantowanie równomiernej ochrony we wszystkich państwach członkowskich. Przyjrzyjmy się bliżej kilku zmianom, które wprowadzą nowe zasady gry w kwestii ochrony danych osobowych.

Wyrażenie zgody na przetwarzanie danych osobowych

Już w zakresie samej czynności wyrażania zgody na przetwarzanie danych widoczne są daleko idące zmiany. Do tej pory przedsiębiorcy skrzętnie ukrywali pomiędzy paragrafami umowy sporządzonej małym drukiem oświadczenie, że klient wyraża zgodę na przetwarzanie jego danych w różnorakich celach, zwłaszcza marketingowych czy też wiążących się z przekazywaniem ich kolejnym podmiotom. Zdarzały się sytuacje, iż taka zgoda była już elementem składowym umowy, a tylko wyjątkowo asertywny klient mógł wymóc na przedsiębiorcy ich wykreślenie. Od przyszłego roku taka sytuacja będzie niedopuszczalna. Przedsiębiorca będzie musiał być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (art. 7 ust. 1). Jeśli takie oświadczenie będzie składane w formie pisemnej, nie będzie można już go ukryć w gąszczu zapisków umowy. Wyrażenie takiej zgody będzie musiało zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (art. 7 ust. 2). Ważne jest, że osoba zainteresowana będzie mogła cofnąć zgodę w formie równie prostej jak wcześniejsze wyrażenie zgody.

Ciekawym zagadnieniem jest również sposób uzyskiwania zgody na przetwarzanie danych osobowych dzieci w związku ze świadczeniem usług „społeczeństwa informacyjnego”. Podmioty świadczące tego typu usługi będą miały prawo przetwarzać dane osobowe dopiero starszych nastolatków, mogących pochwalić się ukończeniem 16 roku życia. Jeśli zaś chodzi o młodszych użytkowników, podmiot świadczący takie usługi będzie musiał uzyskać zgodę osoby sprawującej władzę rodzicielską lub opiekę nad takim dzieckiem. W jaki sposób będzie miał tego dokonać? Rozporządzenie dość eufemistycznie stwierdza, iż podmiot ten, przy uwzględnieniu dostępnej technologii, będzie musiał podjąć „rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała” (art. 8 ust. 2). Jak w tym przypadku rozumieć znaczenia pojęcia „rozsądne działania? Trudno w tej chwili jednoznacznie stwierdzić.

Analiza tylko dwóch przepisów wskazuje, iż zmianie ulegnie dotychczasowa praktyka związana z uzyskiwaniem zgody na przetwarzanie danych osobowych. Ustawodawca europejski zamykając drogę  nieprawidłowym działaniom, otwiera kolejne fronty sporów przedsiębiorców z regulatorem.

Prawo do „bycia zapomnianym” już wkrótce

Rozporządzenie nr 2016/679 wychodzi naprzeciw wielu postulatom domagającym się zwiększenie nie tylko ochrony danych osobowych obywateli, ale także uświadomienia im istnienia problemu jaki może wiązać się z pochopnym wyrażaniem zgody na ich przetwarzanie. Z tego powodu na administratorów danych osobowych nałożony zostanie obowiązek przekazywania zainteresowanym informacji ich dotyczących w sposób zwięzły, przejrzysty i w łatwo dostępnej formie. Wszystko to będzie musiało być przekazane jasnym i prostym językiem. Mówiąc wprost, administrator będzie musiał traktować osoby, których dane przetwarza podmiotowo i po partnersku, zwracając uwagę aby nie wykorzystać nieznajomości jej praw czy okoliczności, które ułatwiają nieetyczne czy niejednokrotne podstępne uzyskanie zgody na przetwarzanie danych osobowych.

Osoba, której dane są przetwarzane zostanie wyposażona w szereg uprawnień, za pomocą których będzie mogła skuteczniej komunikować się z administratorem jej danych osobowych. Administratorzy danych również będą zobligowani do wyczerpującego informowania osób, których dane przetwarzają o wszystkim co dotyczy tych danych. Forma takiego informowania będzie uzależniona od woli osoby i będzie mogła być dokonana w formie pisemnej, elektronicznej bądź ustnej.

Najważniejsza nowość dla osób fizycznych to tak zwane prawo do „bycia zapomnianym”. Kwestię tę reguluje art. 17 Rozporządzenia, który stwierdza, iż osoba ma prawo do zażądanie niezwłocznego usunięcia jej danych. Takie prawo będzie mieć w sytuacji kiedy dane osobowe nie są już niezbędne do celów do których zostały zebrane, została cofnięta zgoda na ich przetwarzanie czy zostały zebrane w sposób sprzeczny z prawem. Administrator takich danych w przypadku zgłoszenia żądanie będzie musiał poinformować innych administratorów, którym te dane udostępniał, oni również będą musieli te dane usunąć. Wydaje się, iż ten instrument będzie łatwym narzędziem do walki o zachowanie prywatności i będzie mógł być wykorzystany przez szerokie grono zainteresowanych. Konieczne jest jednak szeroko zakrojona kampanii edukacyjna.

Wspomnieć trzeba, iż wprowadzone zostaną także inne uprawniania dla osób, których dane są przetwarzane, takie jak prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych czy prawo do sprzeciwu.

Podsumowując można stwierdzić, iż Parlament Europejski dostrzegł potrzebę szerokiego uregulowania praw obywateli Unii Europejskiej w zakresie ich praw związanych z ochroną danych osobowych, zapewniając ich prawa identyczne w każdym państwie członkowskim.

Przedsiębiorców czeka nie lada wyzwanie

Rozporządzenie nr 2016/679 doprowadzi do zmiany aktualnie obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Część przepisów ulegnie zmianie, część zostanie zastąpiona. Od momentu jej wejścia w życie, przedsiębiorcy będą mogli badać czy przetwarzają dane osobowe zgodnie z prawem, porównując wewnętrzne procedury z przepisami rozporządzenia. Blisko rok do wejścia w życie tych przepisów jest z jednej strony perspektywą odległą, ilość zmian powoduje jednak już teraz niepokój wśród przedsiębiorców. To dobry moment aby zacząć przygotowywać się do ich wejścia w życie.

 

Andrzej Dmowski
Andrzej Dmowski