Ogólne rozporządzenie o ochronie danych zwane RODO

Ustawą tą zajmuje się Ministerstwo Cyfryzacji a po ostatnich zmianach w rządzie właściwie pozbawione jest kierownictwa. Do projektu ustawy zgłoszono blisko 1700 poprawek. Co prawda Ministerstwo kilka dni temu prawie wszystkie odrzuciło, to sądzę, iż wiele z nich powróci na etapie prac parlamentarnych. Jeżeli proces legislacyjny nie zakończy się do 25 maja 2018 r. zapisy rozporządzenia będą stosowane wprost i zastąpią obecnie obowiązujące przepisy ustawy o ochronie danych osobowych.

Czy czeka nas zatem rewolucja, czy tylko ewolucja obowiązującego systemu? W moim przekonaniu bardziej właściwe jest drugie stwierdzenie. Natomiast, gdy spojrzymy na tytuły prasowe, jakie pojawiają się w związku z tą reformą, to można odnieść tylko jedno wrażenie, iż składa się ona tylko ze znacznego poziomu kar finansowych dla przedsiębiorców, którzy nie dostosują swojego biznesu do nowych regulacji. W moim przekonaniu to jest tylko jeden z bardzo wielu aspektów, które związane są z wejście w życie tych przepisów. Ostatnio ponadto pojawiła się propozycja Ministerstwa Cyfryzacji aby mikro, mali i średni przedsiębiorcy mieli mniej obowiązków wynikających z nowych przepisów. Chodzi przede wszystkim o wyłączenie stosowanie art. 13 (obowiązki informacyjne). Wyrażałem już swoje krytyczne stanowisko do tego pomysłu, przynajmniej w takiej formie, w jakiej został przedstawiony. Wyłączenie stosowania art. 13 RODO w relacjach pomiędzy wskazanymi powyżej przedsiębiorcami a konsumentami, spowoduje, iż ci ostatni będą objęci mniejszą ochroną niż ma to miejsce dzisiaj na podstawie obecnie obowiązujących przepisów. Ten pomysł rodzi zdziwienie, dodać należy, iż będzie miał jeszcze inny skutek. Zmiana taka jest daleko idącą ingerencją w spójność RODO, na straży, której stoi Komisja Europejska. Szykuje się kolejny spór Polski z tym organem.

Jak widać, tylko ze wstępu, temat RODO nie jest prostym zagadnieniem. Dlatego postanowiłem, w krótkim artykule, jak na obszerność tematu przybliżyć nieco tematykę ochrony danych osobowych.

2. Struktura rozporządzenia RODO

Nie jest to akt należący do najkrótszych, jakie w życiu widziałem. Posługuję się wersją z Dziennika Urzędowego Unii Europejskiej i ma on 119 stron tekstu. Akt ten składa się z dwóch podstawowych części: preambuły, która zawiera tzw. motywy – ilość 173 oraz drugiej części składającej się z 99 artykułów.
Jeżeli chodzi o motywy, to tam zawarte są główne wizje unijnego ustawodawcy oraz cele, jakimi kieruje się RODO. Część autorów twierdzi, iż RODO jest skonstruowane prostym i jasnym językiem. Zapewne taki był cel, który ostatnio przyświeca wszystkim przepisom UE ale w moim przekonaniu tego nie zrealizowano. Rozporządzenie nie jest wcale jasne i klarowne. Jeszcze nie weszło w życie a już jest mnóstwo wytycznych do niego, a nawet sami autorzy przepisów nie są do końca przekonani, co one niekiedy oznaczają. Przepisy cechuje nadmierna rozwlekłość, nie mówiąc o tym, że niektóre są powtarzane w tekście kilka razy, różnią się tylko nieznacznymi elementami. Poza tym rozbudowana kazuistyka prowadzi do przesady. Przykładem na to o czym wspomniałem powyżej jest Motyw 51 zdanie 2 „Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne”. Każdy z nas wie, co się pod tym kryje. Ale przepis ma dalszy ciąg „przy czym użycie w niniejszym rozporządzeniu terminu „pochodzenie rasowe” nie oznacza, że Unia akceptuje teorie sugerujące istnienie osobnych ras ludzkich”. Tutaj można postawić pytanie, czy podstawowe wartości, jakimi kieruje się UE należy za każdym razem wyjaśniać? Z drugiej strony patrząc na to, co dzieje się ostatnio w Polsce, może warto.

3. Pojęcie danych osobowych

Art. 4 pkt 1 RODO definiuje pojęcie danych osobowych, jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Jak widać pojęcie danych osobowych jest dość szerokie. Problemem jest określenie, iż przepis ten dotyczy osób fizycznych, której rozporządzenie nie definiuje, jednocześnie nie wyłącza z niej przedsiębiorców. Dlatego też część autorów twierdzi, iż do tej kategorii należy zaliczyć też osoby fizyczne prowadzące działalność gospodarczą. Do tej pory polski organ czuwający nad ochroną danych osobowych czyli Generalny Inspektor Ochrony Danych Osobowych (GIODO) stał na stanowisku, iż ochrona przewidziana przez przepisy ustawy o ochronie danych osobowych nie dotyczy przedsiębiorców prowadzących jednoosobową działalność gospodarczą. W moim przekonaniu tak daleko idąca ochrona byłaby niewskazana. Poza tym cześć danych dotyczących osoby fizycznej, prowadzącej przedsiębiorstwo w formie jednoosobowej jest ujawniana w rejestrach publicznych chociażby Centralnej Ewidencji Informacji Działalności Gospodarczej (CEIDG). Gdyby takie podmioty również zostały objęte ochroną te dane musiałby zniknąć z ogólnopolskich i jawnych rejestrów. To natomiast nie wypłynęłoby dobrze na bezpieczeństwo prowadzenia działalności gospodarczej.

4. Kogo dotyczy RODO?

Odpowiedź może być bardzo prosta. Każdego. Z jednej strony podmioty prowadzące działalność gospodarczą pozyskują dane osób fizycznych i na nich przepisy nakładają obowiązki a z drugiej rozporządzenie chroni osoby fizyczne i daje im narzędzia do skutecznej ochrony. Jednakże istnieje również katalog wyłączeń stosowania rozporządzenia wskazany w art. 2 ust 2, jeżeli przetwarzanie danych prowadzone jest:

⦁ w ramach działalność nieobjętej zakresem prawa UE,
⦁ przez osobę fizyczną – prywatne wykorzystanie,
⦁ przez organy w celu zapobiegania przestępczości,
⦁ a także przez instytucje UE i organy dyplomatyczne.

Jak widać katalog wyłączeń, nie jest zbyt obszerny, stąd można powiedzieć, iż RODO ma charakter uniwersalny.

5. Wzmocniona ochrona osoby fizycznej – podmiotu danych

RODO ma na celu wzmocnienie pozycji osoby fizycznej w przetwarzaniu danych. Na administratora nałożono całą listę obowiązków. Szczególnie ważne jest prawo do żądania od administratora takiego dostosowania systemów, aby mógł on w każdym momencie usunąć dane osobowe. Wzmocniona jest również ochrona podmiotu danych poprzez „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte), uprawnienie do żądania przeniesienia danych oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane.

Ponadto na administratorze ciąży obowiązek informacyjny, dość rozbudowany, który wskazany jest we wspomnianym już przez mnie art. 13 RODO. I tutaj pojawił się dość egzotyczny pomysł Ministerstwa Cyfryzacji, aby dość duży krąg podmiotów (mikro, mały i średni przedsiębiorca) nie musieli wypełniać zobowiązań wskazanych w tym przepisie. O jakie obowiązki chodzi:

⦁ informowanie o osobie administratora,
⦁ cel przetwarzania oraz podstawa prawna,
⦁ informacje o odbiorcach danych osobowych,
⦁ informacje o przekazaniu danych do państwa trzeciego,
⦁ okres, przez który dane będą przechowywane
⦁ informacje o prawie dostępu do danych
⦁ informacja o prawie do cofnięcia zgody
⦁ informacja o prawie do wniesienia skargi do organu nadzorczego
⦁ informacja czy podanie danych jest wymogiem ustawowym czy umownym
⦁ informacje o profilowaniu

Katalog długi ale dość istotny z punktu widzenia ochrony praw osób fizycznych. Dodać należy, iż na podstawie obecnych przepisów wiele tych danych należy podawać już dzisiaj, przy inicjowaniu kontaktu. Moim zdaniem wyłączenie dla powyższej grupy przedsiębiorców tych obowiązków, spowoduje osłabienie całej konstrukcji RODO. Argumentem, jakim posługuje się Ministerstwo Cyfryzacji jest to, iż powyżsi przedsiębiorcy ze względu na skalę prowadzonego biznesu mogą mieć problem z wypełnieniem tych zobowiązań. Trudno się nie zgodzić z tą argumentacją, ale w moim przekonaniu jest ona na zbytnim poziomie ogólności. Nie mówiąc o tym, że każdy z tych podmiotów może w ogóle praktycznie nie przetwarzać danych osobowych ale może też robić to na olbrzymią skalę. Ponadto zapowiedzi, iż nasza ustawa będzie gotowa w kwietniu powoduje, iż takie podmioty nie wiedzą czy mają się do tego przygotowywać czy nie. A teraz przykład: agencja pośrednictwa pracy, jednoosobowa działalność, 1 milion złotych obrotu rocznego czyli mikroprzedsiębiorca. Ale ten mikroprzedsiębiorca będzie miał w bazie tysiące albo i więcej życiorysów kandydatów, których przedstawia potencjalnym pracodawcą. Tylko ten przykład obrazuje, iż autorzy tej koncepcji nie przemyśleli tego do końca, zapewne będzie ona jest ewoluowała. Ponadto w moim przekonaniu możliwość wprowadzania własnych rozwiązań związanych z RODO na potrzeby krajowe nie przewiduje znacznego ograniczenia jego stosowania do dość licznej grupy administratorów danych. Tym samym kolejny spór z KE rysuje się na horyzoncie.

Ponadto RODO wprowadza dość przejrzyste zasady dotyczące uzyskiwania zgody na przetwarzanie danych osobowych. Zgoda ta musi być jednoznaczna i wyraźna. Powstała obawa czy zgody udzielone do dnia wejścia w życie RODO zachowają swoją moc. Moim zdaniem nie ma przeszkód aby takie zgody traktować jako wiążące. Jednakże zalecana jest weryfikacja jakości składanych oświadczeń, bo zgodnie z zapisami rozporządzenia język użyty do ich tworzenia musi być jasny, prosty i zrozumiały dla odbiorcy. W moim przekonaniu, jeżeli zgoda na przetwarzanie danych została stworzona w zgodzie z obowiązującymi na dzisiaj przepisami, niewiele trzeba będzie czynić w tym zakresie. Dla przykładu jednak podam, jak nie można już będzie działać. Zdarza się, że wyrażając zgodę np. w sieci Internet na jakieś stronie, zaznaczone są już wszystkie zgody na tak. Obecnie taka praktyka nie będzie dopuszczalna, czyli nie będzie możliwe domyśle ustawienie strony aby od razu zawierała zgody na przetwarzanie danych. Zgoda użytkownika takiej strony musi nastąpić poprzez działanie a nie domyślną zgodę.

6. Bezpośrednia odpowiedzialność przetwarzającego dane

To jest pewna nowość. Podmioty przetwarzające dane, które jednocześnie nie są administratorem będą odpowiadać za bezpieczeństwo tych danych. Przykładem są usługi świadczone w chmurze. Teraz dostawca takiej usługi nie ponosi odpowiedzialności za bezpieczeństwo danych (oczywiście mowa tutaj o odpowiedzialności za naruszenie danych osobowych a nie odpowiedzialności na podstawie umowy pomiędzy zleceniodawcą a zleceniobiorcą). RODO również dość precyzyjnie reguluje kwestie umów o przetwarzaniu danych – ich zakresu. Również przetwarzający dane może zostać obciążony karą administracyjną za ich naruszenie. Podmioty przetwarzające dane będą obowiązane do przekazania w terminie 72 godzin informacji do organu nadzoru oraz do osoby, której dane zostały naruszone informacji o istocie naruszenia. Tutaj również pomocną dłoń chce wyciągnąć Ministerstwo Cyfryzacji proponując aby dla wspomnianej już grupy przedsiębiorców ten obowiązek nie znalazł zastosowania. Taka propozycja osłabi znacznie prawa podmiotu, którego dane były przetwarzane a nie zostały w sposób właściwy zabezpieczone. Przykładem jest tutaj sprawa Ubera, który kilka miesięcy temu stał się przedmiotem ataku hakerów, którzy wykradli wiele danych klientów. Uber nie dość, że nie zawiadomił o tym ataku, nie tylko odpowiednich instytucji ale i klientów, to dodatkowe negocjował z hakerami i ostatecznie zapłacił okup.

7. Kary finansowe

Bez tego nie sposób się obejść. Katalog kar ulega zmianie. Obecnie będzie oparty o model kary administracyjnej. Na wyobraźnię działają kwoty, jakie są możliwe do orzeczenia. Góry pułap:

⦁ 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
⦁ 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
⦁ 100 tysięcy złotych kary administracyjnej, za naruszenia spowodowane przez administrację publiczną

Zastanawiające jest jednak to, że administracja publiczna, która bez wątpienia obraca największą liczbą danych osobowych, ma być potraktowana bardziej łagodnie niż przedsiębiorcy. Oczywiście wskazane powyżej kary są ich górnym wymiarem, a zgodnie z filozofią RODO, kary mają być nakładane proporcjonalnie do stopnia naruszenia.

8. Ocena skutków planowanych operacji przetwarzania dla ochrony danych (DATA PRIVACY IMPACT ASSESSMENT (DPIA))

W rozmowach z przedsiębiorcami ten element wzbudza największe obawy. Wedle obecnych przepisów przedsiębiorca będący administratorem zgłaszał swoją bazę do GIODO. Obecnie ten obowiązek zniknie. Administrator danych osobowych samodzielnie ma dokonywać oceny procedur przetwarzania danych osobowych pod kątem ryzyka.  Bedzie też odpowiadał za wybór odpowiedniej metody minimalizacji ryzyka. Co to oznacza, na to pytanie odpowiedzą pewnie dopiero pierwsze kontrole. Na dzisiaj cała branża działa nieco na wyczucie. Na pewno każdy z przedsiębiorców powinien przeprowadzić taką analizę i ją udokumentować. Pomocna będzie zapewne certyfikacja  a także Kodeksy dobrych praktyk opracowywanych przez branże, a które mają być zatwierdzane przez GIODO (a byłbym zapomniał GIODO zmieni nazwę na Urząd Ochrony Danych Osobowych).

9. Rejestr przetwarzania danych

Administrator i podmioty przetwarzający dane, będą zobowiązani do tworzenia i utrzymywania rejestrów, które zawierać mają, m. in:

⦁ powody przetwarzania danych,
⦁ kategorie podmiotów danych i danych osobowych,
⦁ adresatów danych,
⦁ rejestry międzynarodowych transferów danych,
⦁ rejestry naruszeń, incydentów, rozwój i utrzymanie zasad ochrony prywatności,
⦁ przechowywanie potwierdzonych zgód na przetwarzanie danych itd.

10. Ograniczenie profilowania

Motyw 71 wprowadza definicję profilowania, jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Wprowadzone zostały ograniczenia w zakresie profilowania włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych, obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie. Ponadto osoba profilowana ma prawo do rozpatrzenia swojej sprawy nie przez algorytm tylko przy udziale żywej osoby. Na pierwszy rzut oka brzmi to nieco śmiesznie, ale trzeba pamiętać, że zautomatyzowane profilowanie może wpływać na życie takiej osoby np. przyznanie kredytu, gdzie jakiś czynnik, o którym nawet dana osoba nie będzie miała pojęcia będzie wpływał na ocenę zdolność kredytowej a może to być najzwyklejszy błąd.

11. Powołanie Inspektora Ochrony Danych

Inspektor zastąpi Administratora Bezpieczeństwa Sieci. Wprost przewidziano możliwość powierzenia tej funkcji zewnętrznemu podmiotowi. Ponadto rozporządzenia również wskazuje, w jakich przypadkach powołanie będzie obowiązkowe, a w jakich tylko zalecane. Ponadto uściślono kwalifikację, jakie powinny posiadać osoby pełniące taką funkcję, UE dąży do tego aby nie pełniły jej osoby z przypadku. Dodać tylko trzeba, iż ostatecznie to na administratorze danych ciąży obowiązek przestrzegania ochrony danych, jednakże posiadanie IOD może wpłynąć na potencjalny jego zakres odpowiedzialności.

12. Dane osobowe dzieci

Nad tym też pochylono się w rozporządzeniu. RODO w art. 8 stanowi, iż zgodę na przetwarzanie danych osobowych może wyrazić dziecko po ukończeniu 16 roku życia. Dane dzieci przed ukończeniem 16 lat można przetwarzać tylko za zgodą opiekuna prawnego. Jednakże dopuszczono aby państwa członkowskie mogły samodzielnie kształtować ten cenzus wieku, byleby nie był niższy niż 13 lat. W projekcie naszej ustawy właśnie taki wiek dziecko został wprowadzony. Argument w tym przypadku jest dość mocny. Kodeks cywilny stanowi, iż osoba fizyczna, która ukończyła 13 rok życia nabywa ograniczoną zdolność do czynności prawnych. Moim zdaniem połączenie tych dwóch kategorii jest dość niebezpieczne. Trzeba pamiętać, iż ograniczona zdolność, jak sama nazwa wskazuje dotyczy dość specyficznej kategorii czynności, a dowolność gromadzenia przez administratorów danych dzieci może naruszać ich prawa, czego one same mogą w ogóle nie być świadome.

13. Podsumowanie

W powyższym artykule starałem się przekazać nieco informacji o RODO. Niestety nie sposób zrobić tego w sposób wyczerpujący, aby też nie uśpić czytelnika. Temat RODO będzie na pewno przewijał się nadal w naszych publikacjach czy na stronie internetowej czy na facebook.  W razie jednak pytań, zapraszam do kontaktu.

Aktualizacja 26 stycznia 2018:

Ministerstwo Cyfryzacji wycofało się z części niezwykle krytykowanych pomysłów na ograniczenie obowiązków informacyjnych wynikających z art. 13 RODO. Utrzymano, iż mikro, małe przedsiębiorstwa, które nie będą przetwarzały danych wrażliwych będą zwolnione z części obowiązków wynikających z art. 13 ust. 2 Rozporządzenia.

Nie musiałyby dostarczać swoim klientom informacji m.in. na temat: okresu, przez który ich dane osobowe będą przechowywane, prawa żądania od administratora dostępu do swoich danych, możliwości ich sprostowania, usunięcia czy ograniczenia przetwarzania, prawa do cofnięcia zgody na przetwarzanie w dowolnym momencie, prawa do wniesienia skargi, profilowania klienta.

Moim zdaniem dalej jest daleko idąca ingerencja w konstrukcję RODO, ale nowa propozycja z punktu widzenia ochrony naszych praw jest pewnym postępem.

Autor: Radca prawny Maciej Osiewacz