Ochrona danych osobowych. Nowe wyzwania dla przedsiębiorców

Te dwa akty to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW. 

 

Wskazane przepisy definiują na nowo kluczowe zagadnienia z zakresu ochrony danych osobowych a poprzez te definicje nakładają nowe wyzwania na osoby administrujące danymi osobowymi. 

 

Definicje te warto poznać już dzisiaj, gdyż najbliższy rok to niewątpliwie czas dla przedsiębiorców na dostosowanie wewnętrznych regulacji. Wśród nowych rozwiązań warto zwrócić uwagę na cztery podstawowe reguły ochrony danych osobowych: privacy by design, privacy by default, prawo do bycia zapomnianym oraz wymóg szacowania ryzyka.

 

Privacy by design

 

Zgodnie z art. 25 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającego z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak np. pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą. 

 

Oznacza to, iż już na etapie projektowania przetwarzania danych, administrator zobowiązany jest do uwzględnienia zasad prywatności.

 

Privacy by default

 

Zgodnie z art. 25 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 - administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane, bez interwencji danej osoby, nieokreślonej liczbie osób fizycznych.

 

Z zasadami privacy by design oraz privacy by default związany jest przepis art. 35 Rozporządzenia, w myśl którego: jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

 

Ocena skutków dla ochrony danych, jest wymagana w szczególności w przypadku:

a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

 

b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 Rozporządzenia, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa lub systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

 

Prawo do bycia zapomnianym

 

Jeżeli administrator upublicznił dane osobowe, a ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. 

 

Prawo to można zrealizować w oparciu o przesłanki żądania usunięcia z listy wyników wyszukiwania, jeżeli dane są nieprawdziwe (nie jest to warunek konieczny), niestosowne, nadmierne w stosunku celów przetwarzania, nie są zaktualizowane czy też są za długo przechowywane, ze względu na rolę danej osoby, z uwagi na czas od opublikowania informacji oraz na podstawie konieczności wyważenia między prawem do prywatności a prawem dostępu do informacji.

 

Wymóg szacowania ryzyka

 

Nowe przepisy wskazują, iż w oparciu o stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia administrator i podmiot przetwarzający zobowiązani są wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

 

Warto już podjąć działania

 

Najbliższy rok to czas na wdrożenie przez przedsiębiorców procedur mających na celu dostosowanie struktury przetwarzania danych do nowych przepisów. Mając na uwadze, iż kary finansowe za naruszenie praw związanych z danymi osobowymi określone zostały na poziomie 20 000 000 euro, a w przypadku przedsiębiorstw mogą wynosić 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, warto odpowiednie działania podjąć już dziś – a więc zgodnie z opisaną powyżej zasadą privacy by design – już na etapie projektowania przyszłych rozwiązań. 

 

Tomasz Podleśny, radca prawny, senior managing associate Deloitte Legal

 

Niniejszy artykuł zawiera ogólne informacje w zakresie zagadnienia będącego jego przedmiotem i nie stanowi wyczerpującej i kompleksowej analizy danego zagadnienia. Zatem zawarte w nim informacje nie mogą być traktowane jako wystarczająco kompletne, adekwatne, dokładne czy przydatne dla indywidualnych celów jej odbiorców oraz stanowić podstawy ich decyzji, działań lub zaniechań. Informacje zawarte w artykule nie stanowią doradztwa, konsultacji ani opinii w indywidualnych sprawach. Osoby korzystające z informacji zawartych w artykule ponoszą wyłączne ryzyko i odpowiedzialność za decyzje podjęte na podstawie zawartych w nim informacji i ich skutki. Informacje zawarte w artykule przeznaczone są do wiadomości odbiorcy i nie mogą być wykorzystywane do innych celów, w szczególności komercyjnych.