• <

Od 25 maja 2018 roku rewolucja w ochronie danych osobowych - nowe rozwiązania, nowa rzeczywistość cz. 2

jk

27.07.2017 20:48 Źródło: własne
Strona główna Prawo Morskie, Finanse Morskie, Ekonomia Morska Od 25 maja 2018 roku rewolucja w ochronie danych osobowych - nowe rozwiązania, nowa rzeczywistość cz. 2

Partnerzy portalu

Od 25 maja 2018 roku rewolucja w ochronie danych osobowych - nowe rozwiązania, nowa rzeczywistość cz. 2 - GospodarkaMorska.pl

Informacje i dostęp do danych osobowych

Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych. Natomiast, jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności. Jeżeli dane osobowe można zgodnie z prawem ujawnić innemu odbiorcy, należy poinformować o tym osobę, której dane dotyczą, w momencie pierwszorazowego ujawnienia danych temu odbiorcy. Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w których dane osobowe zostały zebrane, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu oraz dostarczyć jej innych niezbędnych informacji. Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny.

Wypełnienie obowiązku udzielenia informacji nie jest jednak konieczne, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami, jeżeli utrwalenie lub ujawnienie danych są wyraźnie przewidziane prawem, lub jeżeli poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

Prawo dostępu

Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem. Dlatego też każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności, w zakresie celów, w jakich dane osobowe są przetwarzane. Ponadto, w miarę możliwości, okresu przez jaki dane osobowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania. W miarę możliwości administrator powinien mieć możliwość udzielania zdalnego dostępu do bezpiecznego systemu, który zapewni osobie, której dane dotyczą, bezpośredni dostęp do jej danych osobowych.

W tym kontekście Rozporządzenie GDPR wskazuje, że administrator musi bezpłatnie dostarczyć kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne żądane kopie administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Prawo do uzyskania kopii nie może niekorzystnie wpływać na prawa i wolności innych.

Prawo do „bycia zapomnianym”, sprostowania oraz do sprzeciwu

Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia zapomnianym”, jeżeli zatrzymywanie takich danych narusza Rozporządzenie GDPR. Osoba, której dane dotyczą, powinna w szczególności mieć prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane. Jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z niniejszym rozporządzeniem. Prawo to ma znaczenie w przypadkach, gdy osoba, której dane dotyczą, wyraziła zgodę jako dziecko, gdy nie była w pełni świadoma ryzyka związanego z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, w szczególności z Internetu. Osoba powinna móc wykonywać to prawo, mimo, że już nie jest dzieckiem.

W przypadku zgłoszenia żądania „do bycia zapomnianym”, przedsiębiorstwo lub organizacja będzie musiała niezwłocznie usunąć wszystkie dane osobowe oraz związane z nimi odnośniki.

Nawet jeżeli dane osobowe można przetwarzać zgodnie z prawem, gdyż przetwarzanie to jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi lub ze względu na uzasadnione interesy administratora lub strony trzeciej, każdej osobie, której dane dotyczą, przysługuje prawo do sprzeciwu wobec przetwarzania danych osobowych dotyczących jej indywidualnej sytuacji. W takim przypadku, administratorowi nie wolno już przetwarzać tych danych, chyba że wykaże istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania – nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą – lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

W tym kontekście uznaje się, że jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych. Dotyczy to też profilowania, o ile wiąże się z takim marketingiem bezpośrednim. „Profilowanie” zdefiniowano jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno ich już przetwarzać do takich celów. Ponadto, o prawie tym należy wyraźnie i jasno poinformować osobę, której dane dotyczą, najpóźniej przy okazji pierwszej komunikacji między administratorem a tą osobą.

Ograniczenie przetwarzania danych

Wśród metod pozwalających ograniczyć przetwarzanie danych osobowych na gruncie Rozporządzenia GDPR mogą znaleźć się między innymi: czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych, lub czasowe usunięcie opublikowanych danych ze strony internetowej. W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie.
Jeżeli przetwarzanie danych osobowych odbywa się w sposób zautomatyzowany, osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym, interoperacyjnym formacie, nadającym się do odczytu maszynowego, dane osobowe jej dotyczące, które dostarczyła administratorowi, i ma prawo przesłać te dane innemu administratorowi. Osoba, której dane dotyczą, ma prawo zażądać, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Zwiększa to dodatkowo kontrolę osoby, której dane dotyczą, nad własnymi danymi. Stymuluje też konkurencję wśród administratorów.
Jednak prawo do przenoszenia danych nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Ponadto, jeżeli w pewnych zestawach dane osobowe dotyczą więcej niż jednej osoby, prawo osoby, której dane dotyczą, do otrzymania danych osobowych pozostaje bez uszczerbku dla praw i wolności innych.

Obowiązek raportowania o naruszeniach na gruncie Rozporządzenia GDPR

Naruszenie ochrony danych osobowych może skutkować uszczerbkiem fizycznym oraz szkodami majątkowymi lub niemajątkowymi, takimi jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych chronionych tajemnicą zawodową lub wszelkie inne szkody gospodarcze lub społeczne.

Od momentu obowiązywania nowych regulacji tj. od dnia 25 maja 2018 r. każdy przypadek wycieku danych osobowych, ich nieautoryzowanej modyfikacji lub innego naruszenia, musi zostać zgłoszony do organu nadzorującego, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Oznacza to, że natychmiast po stwierdzeniu naruszenia administrator powinien zgłosić ten fakt organowi nadzorczemu bez zbędnej zwłoki, jeżeli jest to wykonalne, nie później niż w terminie 72 godzin. Chyba że, administrator jest w stanie wykazać, zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

Zgłoszenie takie musi być szczegółowe, m.in. opisywać przebieg włamania, zakres zagrożonych danych oraz środki zaradcze jakie zostały podjęte, aby uniknąć podobnych zdarzeń w przyszłości. Celem regulacji jest m.in. wymuszenie na przedsiębiorstwach stałego modyfikowania istniejących zabezpieczeń.

Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony jej danych, tak aby umożliwić tej sobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak np. organy ścigania.

Obowiązki administratorów danych osobowych

Zgodnie z zasadą rozliczalności, administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne oraz móc wykazać, że operacje przetwarzania są zgodne z Rozporządzeniem GDPR. W tym kontekście omawiane Rozporządzenie zawiera przepisy dotyczące obowiązków administratora w zakresie oceny skutków, prowadzenia rejestrów przetwarzania, naruszeń ochrony danych, wyznaczania inspektora ochrony danych, kodeksów postępowania i mechanizmów certyfikacji.

Administrator ma obowiązek dokonać oceny skutków dla ochrony danych, aby oszacować, kiedy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Jeżeli ocena skutków wskaże, że operacje przetwarzania powodowałyby wysokie ryzyko, którego administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed rozpoczęciem przetwarzania musi skonsultować się z organem nadzorczym. Organ nadzorczy może wtedy udzielić administratorowi zalecenia i skorzystać z dowolnego ze swoich uprawnień.

Chcąc umożliwić organowi nadzorczemu kontrolę ex post, administrator lub – gdy ma to zastosowanie – przedstawiciel administratora, lub podmiot przetwarzający muszą prowadzić rejestr czynności przetwarzania, za które odpowiadają, w tym naruszeń ochrony danych. Obowiązek prowadzenia rejestru nie ma zastosowania do przedsiębiorców ani podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw i wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje dane wrażliwe lub dane dotyczące wyroków skazujących i naruszeń prawa.

Środki ochrony prawnej, odpowiedzialność i sankcje

Niewypełnianie postanowień Rozporządzenia GDPR wiąże się z uprawnieniem organu nadzorczego do nakładania administracyjnych kar pieniężnych. Poza nakładaniem kar pieniężnych, organy nadzorcze mogą też wykonywać inne uprawnienia naprawcze, takie jak ostrzeżenia czy upomnienia.

Kary mają być skuteczne, proporcjonalne i odstraszające. W związku z tym, Rozporządzenie GDPR wymienia zarówno naruszenia, jak i odpowiadające im maksymalne administracyjne kary pieniężne. W ramach tych pułapów organ nadzorczy musi określić właściwą kwotę, zależnie od okoliczności naruszenia. Aby zagwarantować administratorom i podmiotom przetwarzającym pewność prawa, a zarazem dać organom nadzorczym pewien margines swobody, naruszenia podzielono na trzy kategorie. Ponadto, organy nadzorcze powinny posługiwać się określonymi kryteriami przy nakładaniu kar. Kryteria te to m.in. charakter, waga i czas trwania naruszenia Rozporządzenia lub umyślny lub nieumyślny charakter naruszenia.

Naruszenia pierwszej kategorii dotyczą obowiązków administratora i podmiotu przetwarzającego i podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR lub w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa). Naruszenia drugiej kategorii dotyczą praw osoby, której dane dotyczą, i podstawowych zasad przetwarzania i podlegają karze w wysokości maksymalnie 20 000 000 EUR lub 4% obrotu. Naruszenia trzeciej kategorii dotyczą nakazu orzeczonego przez organ nadzorczy i również podlegają karze w wysokości maksymalnie 20 000 000 EUR lub 4% obrotu.

Rozporządzenie GDPR zawiera szereg szczegółowych przepisów dających osobie, której dane dotyczą, kilka możliwości zastosowania środków ochrony prawnej, w tym dochodzenia odszkodowania, w razie, gdyby w wyniku naruszenia Rozporządzenia GDPR poniosła ona szkodę.

Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczących nie jest zgodne z rozporządzeniem. Ponadto, osoba taka ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko dotyczącej jej wiążącej decyzji organu nadzorczego. Ma też prawo do skutecznego środka ochrony, jeżeli organ nadzorczy nie rozpatrzył skargi lub nie poinformował jej o postępach lub efektach rozpatrywania skargi.  Każda osoba, której dane dotyczą, ma także prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna, że prawa przysługujące jej na mocy Rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem Rozporządzenia. Z uprawnienia tego będzie mogła korzystać od dnia 25 maja 2018 r.

Inspektor ochrony danych

Zgodnie z Rozporządzeniem GDPR wyznacza się inspektora ochrony danych. Powinna to być osoba o wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. Jej rolą jest wspomaganie administratora i podmiotu przetwarzającego w monitorowaniu wewnętrznego przestrzegania rozporządzenia. Inspektor może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. W przypadku grupy przedsiębiorstw lub administratorów lub podmiotów przetwarzających będących organami publicznymi, można wyznaczyć jednego inspektora. Inspektora należy wyznaczyć zawsze wtedy, gdy:

– przetwarzania dokonuje organ publiczny, z wyjątkiem sądów lub niezależnych organów sądowych w zakresie sprawowania przez nie wymiaru sprawiedliwości;

– główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

– główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych wrażliwych oraz danych dotyczących wyroków skazujących i naruszeń prawa.

Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych

Transgraniczny przepływ danych osobowych do państw spoza Unii i do organizacji międzynarodowych jest kluczowy w globalnym handlu i transgranicznej gospodarce cyfrowej. Jeżeli dane obywateli UE są przekazywane poza Unię, należy zachować stopień ich ochrony gwarantowany przez Unię.

Zasadniczo, jakiekolwiek przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może mieć miejsce wyłącznie wtedy, gdy administratorzy i podmioty przetwarzające zastosują się do przepisów Rozporządzenia. Międzynarodowe przekazanie danych może nastąpić wtedy, gdy Komisja stwierdzi, że państwo trzecie – lub terytorium, lub określony sektor, lub określone sektory w tym państwie – lub dana organizacja międzynarodowa zapewniają stopień ochrony zasadniczo odpowiadający stopniowi gwarantowanemu przez Unię. Podstawy przekazywania danych osobowych to: decyzja stwierdzająca odpowiedni stopień ochrony, odpowiednie zabezpieczenia oraz wyjątki. Wyrok sądu lub trybunału oraz decyzja organu administracyjnego państwa trzeciego wymagające od administratora lub podmiotu przetwarzającego przekazania lub ujawnienia danych osobowych mogą zostać uznane lub być egzekwowalne wyłącznie wtedy, gdy opierają się na umowie międzynarodowej obowiązującej między wzywającym państwem trzecim a Unią lub państwem członkowskim.

Transgraniczne przekazywanie danych może się odbywać nie tylko na podstawie decyzji stwierdzającej odpowiedni stopień ochrony, lecz także na podstawie odpowiednich zabezpieczeń ze strony administratora lub podmiotu przetwarzającego kompensujących brak ochrony danych w państwie trzecim lub organizacji międzynarodowej. Takie zabezpieczenia mogą mieć formę prawnie wiążących i egzekwowalnych instrumentów między organami lub podmiotami publicznymi, wiążących reguł korporacyjnych lub też standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych lub klauzul umownych przyjętych przez organ nadzorczy. Odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych mogą też zapewnić administratorzy lub podmioty przetwarzające w państwie trzecim. Mogą to uczynić poprzez zatwierdzone kodeksy postępowania wraz z wiążącymi i egzekwowalnymi zobowiązaniami do stosowania odpowiednich zabezpieczeń w drodze umownych lub innych prawnie wiążących instrumentów.

Wnioski

Rozporządzenie GDPR zacznie obowiązywać z dniem 25 maja 2018 r i wprowadza szereg wielozakresowych zmian w przepisach dotyczących ochrony danych osobowych o charakterze wręcz rewolucyjnym. Wielu administratorów danych osobowych i przedsiębiorców nie jest świadomych zakresu tych zmian i ich skali.  

Mając na względzie kształt nowych regulacji należy już planować ich wdrożenie, gdyż będzie to z pewności dla wielu podmiotów i administratorów danych proces długotrwały. Jednym z takich rozwiązań może okazać się powołanie wewnętrznego zespołu odpowiedzialnego za realizację wymagań Rozporządzenia GDPR, który dokona przeglądu zbiorów danych przetwarzanych lub archiwizowanych przez dany podmiot. Należy przeanalizować obowiązujące procedury, stosowane klauzule, tak, aby od dnia 25 maja 2018 roku zacząć działać zgodnie z regulacjami Rozporządzenia GDPR. Administratorzy danych i przedsiębiorcy powinni zapewnić skalowalność, ochronę infrastruktury i szybki dostęp do danych osobowych, tak aby nie narazić się na sankcje wynikające z nowych przepisów.  Pewną komplikacją mogą się okazać przepisy wykonawcze w polskim systemie, których kształt na obecnym etapie jest trudny do przewidzenia.

Radca Prawny Mateusz Romowicz

Beata Edyta Madejska - prawnik specjalizujący się w prawie UE

Więcej informacji dotyczących pracy Kancelarii znajdą Państwo na stronie kancelaria-gdynia.eu , prawo-korporacyjne.pl

Znajdź nas na facebook

Partnerzy portalu

KONFERENCJA_PRAWA_MORSKIEGO_UG_2024
legal_marine_mateusz_romowicz_2023

Dziękujemy za wysłane grafiki.