RODO – nowe prawo o ochronie danych osobowych. Część I

1 marca 2018

Legislacja Unii Europejskiej w zakresie ochrony danych osobowych ma swoje początki w roku 1995. Przyjęta wówczas dyrektywa 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych zapewniała skuteczną ochronę podstawowego prawa, jakim jest prawo do ochrony danych. Jednak postępujący rozwój technologiczny, globalna cyfryzacja danych oraz odmienny sposób implementacji przez państwa członkowskie wymogów dyrektywy wywołały konieczność stworzenia nowoczesnych ram prawnych, które zagwarantowałyby właściwą ochronę danych osobowych.

Komisja Europejska zaproponowała nowelizację prawa ochrony danych w UE, co zakończyło się 27 kwietnia 2016 r. przyjęciem dwóch aktów prawnych:

 

  • rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzU L nr 119 z 4 maja 2016 r., RODO)

oraz

  • dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (DzU L nr 119 z 4 maja 2016 r., s. 89).

 

Oba akty prawne stanowią pakiet zharmonizowanych wytycznych w zakresie ochrony danych. I chociaż większe znaczenie w procesie przetwarzania danych będą miały instrukcje prawne zawarte w RODO, to należy pamiętać również o konieczności uwzględnienia regulacji krajowych.

Na początek rozważań poświęconych nowym aktom prawnym przyjrzyjmy się definicji podstawowego pojęcia, jakim są dane osobowe. Bazowy dotychczas dokument w zakresie prawodawstwa obejmującego ochronę danych osobowych, tj. dyrektywa 95/46/WE, zawiera następującą definicję tego pojęcia:

„dane osobowe” oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”) (art. 2, pkt a).

Tą samą treść zawiera UODO, czyli obecnie obowiązująca Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Natomiast w ogólnym rozporządzeniu o ochronie danych czytamy, iż dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 ust. 1).

Poddając powyższe dalszej analizie, wskazać należy, że RODO poszerza katalog identyfikatorów, na podstawie których można bezpośrednio lub pośrednio zidentyfikować osobę fizyczną. A zatem: możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 ust. 1).

Wspomniany „identyfikator internetowy” w świetle motywu 30. preambuły RODO to: adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i identyfikowania tych osób.

W procesie dalszego ustalania tożsamości osoby należy wziąć pod uwagę rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadniona szansa, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób identyfikacji może być z uzasadnionym prawdopodobieństwem wykorzystany do identyfikacji wybranej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny (motyw 26. preambuły RODO).

Jak widać, taka definicja pozostawia przestrzeń do samodzielnej interpretacji przez dany podmiot, czy analizowana informacja będzie rozpatrywana w charakterze danych osobowych, czy nie – np. z uwagi na zbyt wysokie nakłady finansowe konieczne dla jej pozyskania.

Kontynuując rozważania dotyczące nowego rozporządzenia, warto zwrócić uwagę na zagadnienie związane z terminem „dane wrażliwe”. Chodzi tu o informacje, których przetwarzanie jest zakazane, lecz dopuszczalne po spełnieniu określonych warunków. Termin ten dotychczas funkcjonujący w polskiej doktrynie, w dyrektywie 95/46/WE i RODO, określany jest jako „szczególne kategorie danych osobowych”. W świetle art. 9 ust. 1 RODO czytamy:

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

W porównaniu z dotychczas obowiązującymi na gruncie polskim regulacjami, nowe rozporządzenie do szczególnych kategorii danych osobowych nie zalicza informacji o:

  • przekonaniach filozoficznych,
  • przynależności wyznaniowej,
  • przynależności partyjnej,
  • skazaniach,
  • orzeczeniach o ukaraniu i mandatach karnych,
  • innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym,
  • nałogach.

W katalogu szczególnych kategorii danych osobowych RODO pojawia się natomiast termin „przekonania światopoglądowe”, którego nie uwzględniało wcześniejsze prawodawstwo.

Kolejną istotną nowością RODO jest wprowadzenie do katalogu szczególnych kategorii danych osobowych terminu „dane biometryczne”. W art. 4 pkt 14 RODO wskazana została definicja tego terminu:

„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego; dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Jak zostało wskazane, dane biometryczne zaliczane są do katalogu szczególnych kategorii danych osobowych, co oznacza zakaz ich przetwarzania. Dopuszczalne jest to wyłącznie po spełnieniu warunków opisanych w art. 9 ust. 2 RODO. Mamy w tym przypadku do czynienia z narzędziem prawnym pozwalającym wykorzystać istniejące rozwiązania technologiczne, np. w zakresie pozyskiwania informacji na podstawie odczytu linii papilarnych.

Jeśli chodzi o dane genetyczne, biometryczne lub dane dotyczące zdrowia, warto dodać, że zgodnie z art. 9 ust. 4 RODO państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do ich przetwarzania.

Zauważyć należy, że mimo iż informacje dotyczące wyroków skazujących i naruszeń prawa nie zostały ujęte w RODO w katalogu szczególnych kategorii danych osobowych, podlegają restrykcyjnym warunkom przetwarzania:

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych (art. 10).

Jak widać, w świetle nowego, ogólnego rozporządzenia o ochronie danych osobowych wskazane zostały nowe kategorie danych oraz doprecyzowane istniejące. Takie założenie wymaga od wszystkich podmiotów prywatnych i publicznych, które przetwarzają dane osobowe, dogłębnej weryfikacji wdrożonych rozwiązań z zakresu ich ochrony. Jest to niezwykle ważne w przypadku podmiotów, które przetwarzają szczególne kategorie danych.

Pamiętać należy także o ramach czasowych naszych obowiązków. W motywie 171. preambuły RODO czytamy:

(…) Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów (…).

Wszelkie procedury związane z ochroną danych osobowych rozpoczynane po 25 maja 2018 r. muszą już być realizowane w oparciu o nowe przepisy.

 BMMJ Solutions Consulting Group

Źródło: www.giodo.gov.pl