Więcej uprawnień dla osób fizycznych i więcej obowiązków po stronie przetwarzających dane osobowe

Nowe unijne rozporządzenie o ochronie danych osobowych (RODO; rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. [UE] 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych; Dz.Urz. UE z 2016 r. L 119, s. 1) z jednej strony wzmacnia istniejące, z drugiej zaś kreuje zupełnie nowe uprawnienia po stronie osób fizycznych, których dane są gromadzone i przetwarzane. Ich realizacja będzie spoczywała na przedsiębiorcach przetwarzających dane i może generować znaczne koszty.

Transparentność

Już teraz administrator danych ma obowiązek przekazania podmiotom danych pewnych informacji, takich jak tożsamość administratora, cele przetwarzania, przewidywani odbiorcy danych oraz prawo dostępu i poprawiania. RODO znacznie rozszerza jednak ten katalog. Dodatkowo wymaga m.in. podania podstawy prawnej przetwarzania, prawnie uzasadnionych interesów, na których administrator opiera przetwarzanie, informacji o wykorzystywaniu danych do zautomatyzowanego podejmowania decyzji istotnych dla jednostki, informacji o prawie do żądania usunięcia danych lub ograniczenia ich przetwarzania, o uprawnieniu do przenoszenia danych, o prawie złożenia skargi do organu oraz informacji kontaktowych inspektora ochrony danych. Przed wejściem w życie nowych przepisów konieczna będzie zatem weryfikacja i uzupełnienie (bądź stworzenie, jeśli jeszcze ich nie ma) wszystkich klauzul informacyjnych.

Okres przechowywania

Administrator musi też wskazać "okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu". Spełnienie tego wymogu może się okazać problematyczne, chociażby dlatego że okres przechowywania danych często bardzo trudno z góry przewidzieć. Nadmiernie ogólnikowe informacje (np. "tak długo, jak to konieczne") mogą się niestety okazać niewystarczające.

Stosownych informacji należy udzielić zarówno w przypadku zbierania danych od podmiotów danych, jak i w przypadku pozyskiwania ich z innych źródeł (np. zakup bazy danych telefonicznych), a także na żądanie, przy czym w każdym z tych przypadków katalogi obowiązkowych informacji są nieco inne. Co ważne, wszystkich informacji należy udzielić "w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem", choć samym twórcom rozporządzenia nie do końca się to udało.

Dla kogo dostęp

RODO - podobnie jak obecnie obowiązujące przepisy - przyznaje też podmiotom prawo dostępu do danych. W Polsce rzadko się z niego korzysta, jednak na Zachodzie, gdzie zdarza się to znacznie częściej, takie uprawnienie stanowi dla administratorów bardzo poważne obciążenie. Oznacza ono bowiem zwykle konieczność dostarczenia wnioskodawcy kopii wszystkich danych na jego temat znajdujących się w posiadaniu przedsiębiorcy (np. całej korespondencji elektronicznej). Rozgłos, jaki towarzyszy nowemu rozporządzeniu może się przyczynić do wzrostu świadomości prawnej, i co za tym idzie, wzrostu liczby żądań dostępu do danych.

Być zapomnianym

O prawie do bycia zapomnianym zrobiło się głośno, gdy w 2014 r. Trybunał Sprawiedliwości UE nakazał wyszukiwarce Google usunięcie z wyników wyszukiwania informacji o egzekucji długów pewnego obywatela Hiszpanii. Prawo to zostało w RODO skodyfikowane i będzie dotyczyło każdego administratora (nie tylko wyszukiwarek internetowych) niezależnie od jego wielkości.

Usunięcia danych będzie można żądać m.in. wtedy, gdy dane "nie są już niezbędne do celów, dla których były przetwarzane", gdy osoba zainteresowana wniosła sprzeciw "i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania" oraz gdy "dane osobowe były przetwarzane niezgodnie z prawem". Z kolei administrator będzie mógł odmówić usunięcia, m.in. gdy przetwarzanie jest konieczne "do korzystania z prawa do wolności wypowiedzi i informacji".

Prawo do bycia zapomnianym może być dla administratorów źródłem poważnych wątpliwości. Przypadki obowiązkowego usunięcia danych oraz przesłanki odmowy usunięcia są bardzo nieostre. Przetwarzający mogą np. stanąć przed koniecznością oceny, czy ich uzasadniony interes w przechowywaniu kopii zapasowych bazy danych ma charakter nadrzędny wobec interesów osoby domagającej się usunięcia niektórych rekordów, albo przed koniecznością ustalenia, czy dalsze publikowanie wizerunku określonej osoby w internecie jest konieczne do korzystania z wolności wypowiedzi. Ewentualny błąd może słono kosztować. Naruszenie omawianego przepisu jest bowiem zagrożone karą administracyjną w wysokości do 20 mln euro lub 4 proc. rocznego światowego obrotu z poprzedniego roku obrotowego. Jest prawdopodobne, że wysokie sankcje (a także koszty manualnej weryfikacji zgłoszeń) zmuszą wielu administratorów do realizacji wszystkich, nawet nieuzasadnionych żądań podmiotów danych.

Ograniczenie przetwarzania

Niezależnie od prawa do bycia zapomnianym podmiot danych może także zażądać ograniczenia przetwarzania danych. W takim przypadku administrator powinien się do teg0 dostosować: czyli zaprzestać ich przetwarzania i ograniczyć się tylko do przechowywania. Ograniczenie przetwarzania powinno nastąpić wtedy, gdy podmiot danych kwestionuje ich prawidłowość (do czasu weryfikacji); gdy przetwarzanie jest bezprawne, a podmiot danych nie chce usunięcia danych, lecz ograniczenia przetwarzania; gdy administrator nie potrzebuje już danych osobowych, ale są one potrzebne podmiotowi danych dla celów dochodzenia roszczeń i gdy podmiot danych wniósł sprzeciw wobec przetwarzania ze względu na swoją szczególną sytuację (do czasu rozstrzygnięcia jego żądania). Oznacza to konieczność odpowiedniego zaprojektowania lub modyfikacji systemów przetwarzania (aby umożliwiały zgłoszenie i realizację nie tylko żądania usunięcia, ale także żądania ograniczenia przetwarzania) oraz procedur wewnętrznych.

Przenoszenie danych

Całkowitą nowością będzie prawo do przenoszenia danych przetwarzanych automatycznie. Osoba, której one dotyczą, będzie mogła otrzymać dane, które dostarczyła administratorowi, w "ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego", a także żądać przesłania ich bezpośrednio innemu administratorowi, "o ile jest to technicznie możliwe". Celem przepisu jest ograniczenie efektu lock-in - użytkownicy korzystający z określonych usług z czasem mogą być coraz mniej skłonni do korzystania z usług konkurencyjnych, choćby uważali je za lepsze, ze względu na trudności z przeniesieniem informacji zgromadzonych w ramach dotychczasowej usługi (np. przeniesieniem opublikowanych zdjęć na inny portal społecznościowy).

Nie wiadomo, w jaki sposób prawo do przenoszenia danych będzie działało w praktyce. Rozporządzenie wskazuje z jednej strony, że prawo to "nie powinno nakładać na administratorów obowiązku prowadzenia lub wprowadzenia kompatybilnych technicznie systemów przetwarzania", z drugiej jednak "administratorów danych należy zachęcać do opracowywania interoperacyjnych formatów, które umożliwiają przenoszenie danych". Dodatkowo prawo do przenoszenia "nie powinno powodować uszczerbku dla praw i wolności innych osób", co może mieć miejsce, gdy te same dane dotyczą większej liczby osób (np. kilka osób na tym samym zdjęciu).

Prawo do przeniesienia danych przysługuje tylko wtedy, gdy przetwarzanie odbywa się na podstawie zgody podmiotu danych lub umowy. Chcąc uniknąć obowiązku przenoszenia danych, warto więc rozważyć, czy w konkretnym przypadku opierać się na zgodzie podmiotu danych. Przykładowo dość częstą praktyką jest zbieranie (np. na wszelki wypadek) zgód także tam, gdzie wystarczająca byłaby inna podstawa przetwarzania, zwłaszcza tzw. uzasadniony interes administratora (może to dotyczyć np. wykorzystywania informacji o klientach na potrzeby marketingu bezpośredniego i danych użytkowników w celu zapewnienia bezpieczeństwa sieci). Jeśli okaże się, że uzasadniony interes administratora jest wystarczającą podstawą przetwarzania, nie będzie musiał on zbierać zgód i nie będzie zobowiązany realizować żądań przeniesienia danych. Znalezienie alternatywnej podstawy przetwarzania oczywiście nie zawsze będzie możliwe.

Prawo do sprzeciwu

Podobnie jak na gruncie obecnej ustawy, zgodnie z przepisami RODO każda osoba będzie mogła sprzeciwić się przetwarzaniu jej danych "z przyczyn związanych z jej szczególna? sytuacją", a także na potrzeby marketingu bezpośredniego. Jednak po wejściu rozporządzenia realizacja tego pierwszego prawa będzie wyglądała nieco inaczej niż obecnie - administrator będzie m.in. musiał zaprzestać przetwarzania do czasu wykazania, że podstawy przetwarzania są nadrzędne wobec interesów, praw i wolności wnioskodawcy.

Niepodleganie automatycznym decyzjom

Nieco przemodelowane zostanie też prawo niepodlegania decyzjom opierającym się wyłącznie na zautomatyzowanym przetwarzaniu, które istotnie wpływają na sytuację podmiotów (chodzi np. o automatyczne decyzje kredytowe, o zawarciu umowy ubezpieczenia albo przyjęciu do pracy bądź przejściu określonego etapu rekrutacji). Prawo niepodlegania automatycznym decyzjom nie będzie miało zastosowania m.in. wtedy, gdy przetwarzanie jest niezbędne do zawarcia lub wykonania umowy. Jednakże nawet wówczas administrator będzie musiał zapewnić jednostce co najmniej prawo do uzyskania interwencji ludzkiej, wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Realizacja powyższych uprawnień może wymagać implementacji odpowiednich mechanizmów w systemach przetwarzania danych osobowych oraz wdrożenia stosownych procedur (i aktualizacji dokumentacji).

CYKL: EUROPEJSKA REFORMA OCHRONY DANYCH OSOBOWYCH - JAK SIĘ DO NIEJ PRZYGOTOWAĆ (CZ. 3)

25 maja 2018 r. nowe unijne rozporządzenie o ochronie danych osobowych (RODO) zastąpi obowiązującą polską ustawę o ochronie danych osobowych. Ze względu na znaczną liczbę zmian i ich znaczenie, a także olbrzymie kary w przypadku niedostosowania, wielu przedsiębiorców już rozpoczęło proces przygotowywania się do nowych regulacji. Kontynuujemy dziś cykl tekstów, w którym przybliżamy najważniejsze zmiany i wynikające z nich obowiązki, oraz zamieszczamy praktyczne wskazówki ekspertów.

W poprzednich odcinkach pisaliśmy:

● "Bezpieczeństwo przetwarzania i zgłaszanie naruszeń dotyczących personaliów na nowych zasadach", Firma i Prawo z 10 stycznia 2017 r. (DGP nr 6/4405)

● "Podejmowanie zautomatyzowanych decyzji wpływających na sytuację jednostki wymaga nadzoru", Firma i Prawo z 17 stycznia 2017 r. (DGP nr 11/4410)

PODSUMOWANIE

RODO istotnie wzmacnia uprawnienia podmiotów danych osobowych, co rodzi po stronie administratorów dodatkowe obowiązki. Przed 28 maja 2018 r. trzeba m.in. zaktualizować klauzule informacyjne, przeanalizować adekwatność podstaw przetwarzania, zweryfikować wewnętrzne procedury (np. procedury archiwizacji) i dostosować systemy przetwarzania do realizacji nowych uprawnień jednostek. Za naruszenie omawianych praw przetwarzającym grozi kara w wysokości do 20 mln euro lub 4 proc. rocznego światowego obrotu z poprzedniego roku obrotowego. Warto więc poświęcić na to czas.

@RY1@i02/2017/021/i02.2017.021.215000700.801.jpg@RY2@

Jakub Łabuz

radca prawny, managing associate, Deloitte Legal

@RY1@i02/2017/021/i02.2017.021.215000700.802.jpg@RY2@

Maciej Marek

adwokat, senior associate, Deloitte Legal