Pakiet legislacyjny unijnej reformy ochrony danych osobowych jest już i pełny, i zaakceptowany. Przyjęty w ostatni czwartek przez Parlament Europejski (PE) czeka tylko na oficjalną publikację, by niewiele później zacząć formalnie obowiązywać wszystkie kraje wspólnoty, dając im jednak okres przejściowy na wdrożenia. Polscy przedsiębiorcy nie muszą jednak czekać na to ogłoszenie, aby poznać szczegóły zmian, do których muszą się dostosować. Polskie teksty dokumentów są dostępne od piątku na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Nie tylko rozporządzenie
Dokumenty są dwa. Pierwszy to rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (tzw. ogólne rozporządzenie o ochronie danych). Uchyli ono obecną dyrektywę 95/46/WE, a zacznie obowiązywać po 20 dniach od ogłoszenia, co jak już parokrotnie pisaliśmy, może nastąpić najpóźniej w czerwcu tego roku.
Drugi to dyrektywa w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynówzabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych, która uchyli obecną decyzję ramową Rady 2008/997/WSiSW.
— Rozporządzenie zapewni przedsiębiorstwom większą przejrzystość prawną poprzez ustanowienie jednolitych przepisów w całej UE. Nowe prawo przyczyni się do zaufania, pewności prawnej i uczciwszej konkurencji — powiedział w trakcie obrad PE Jan Philipp Albrecht, poseł-sprawozdawca.
Zróżnicowane obowiązki
Nowe przepisy określają m.in. warunki wyrażania zgody na przetwarzanie danych prywatnych i prawo do przenoszenia ich do innego usługodawcy. Przewidują zgłaszanie naruszenia ochrony danych osobowych i prawo osoby, której dane dotyczą, do informacji o takim zdarzeniu, a maksymalne kary za łamanie prawa ustalają nawet w wysokości 4 proc. całkowitego rocznegoświatowego obrotu przedsiębiorcy.
Firmy nie będą musiały zgłaszać zbiorów danych do rejestru GIODO, ale mają dokumentować czynności ich przetwarzania. Nie wszystkie, ponieważ ten obowiązek, jak i niektóre inne, uzależniono od wielkości i rodzaju prowadzonej działalności. Małe firmy zwolniono np. z powołania inspektora ochrony danych.
Jednakowe definicje
Ujednolicenie zasad ochrony danych osobowych we wszystkich krajach unijnych sprawi, że będą je obowiązywały te same definicje ważnych dla tej ochrony pojęć. Obecnie są zróżnicowane, co nie pozostaje bez wpływu na praktyczne stosowanie reguł ochrony.
— Definicja danych osobowych zawarta w rozporządzeniu unijnym nie odbiega od dotychczasowej zawartej w polskiej ustawie o ochronie danych osobowych. Nie jest ani szersza, ani węższa — mówi dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.
Jak wyjaśnia, podczas prac nad rozporządzeniem w Grupie Roboczej Art. 29 padła np. propozycja, żeby do danych osobowych zaliczyć również informacje, na podstawie których nie można wprawdzie wprost określić tożsamości osoby, ale pozwalają na jej wyodrębnienie z większego grona osób, co np. mogłoby mieć znaczenie przy tzw. profilowaniu odbiorców określonych usług. Przykładem może być zaliczenie danej osoby do kręgu stałych klientów danego sklepu internetowego albo użytkowników danego serwisu www.
— Z pomysłu zrezygnowano. Jednak taką interpretację można wywieść zarówno z obecnej, jak i przyjętej w rozporządzeniu definicji danych osobowych — zauważa GIODO.
Zmiany pojawiły się natomiast w rozumieniu pojęcia przetwarzania danych. Przyjęto, że są to zarówno operacje zautomatyzowane, jak i niezautomatyzowane. Rozszerzono też katalog przykładowych operacji przetwarzania danych, np. o ich przeglądanie. W Polsce od początku obowiązywania ustawy o ochronie danych osobowych taka czynność jest uznawana za przetwarzanie. W innych krajach jest różnie postrzegana.
W Wielkiej Brytanii na przykład sądy orzekały, że nie jest przetwarzaniem zapoznanie się z określonymi informacjami. W Czechach obejmuje ono tylko operacje, które prowadzą do wprowadzenia danych do zbioru. Natomiast w Niemczech zbierania danych nie zalicza się do przetwarzania, jest to odrębna operacja.
— W Polsce wgląd do danych jest jednoznaczny z ich przetwarzaniem, mimo iż nie dochodzi przy tym do utrwalania danych. Dobrym przykładem tego typu operacji jest zapoznanie się z informacjami zawartymi w czyimś dowodzie osobistym — podkreśla dr Edyta Bielak-Jomaa. Unijne rozporządzenie uporządkuje definicję przetwarzania i jej interpretację w całej Unii.
Dwa lata pracy
Każdy kraj wspólnoty będzie musiał bezpośrednio stosować jego postanowienia dwa lata po jego wejściu w życie. Również dwa lata będą miały na wdrożenie nowej dyrektywy do przepisów krajowych. Nowe przepisy przewidują też ustanowienie Europejskiej Rady Ochrony Danych oraz procedur współpracy administracyjnej prowadzonej pomiędzy organami ochrony danych osobowych państw członkowskich UE.
OKIEM EKSPERTA
Pora wdrażać nowe obowiązki
MARCIN LEWOSZEWSKI
radca prawny w zespole prawa nowych technologii kancelarii CMS
Nowe rozporządzenie unijne, zaakceptowane właśnie przez Parlament Europejski, jest mocnym sygnałem dla polskich przedsiębiorców, że Unia Europejska bardzo poważnie traktuje kwestię ochrony danych osobowych. Rozporządzenie stara się podpowiedzieć biznesowi, jak chronić dane klientów czy pracowników, kładąc duży nacisk na transparentność przetwarzania, w tym konieczność przedstawienia klientom bardzo szerokiego katalogu informacji związanych z ochroną prywatności,ale też na zagwarantowanie osobom, których dane są przetwarzane, wachlarza uprawnień, na przykład przenoszenia danych zapisanych w powszechnie używanym formacie od jednego operatora telekomunikacyjnego do innego. Z drugiej jednak strony, przewiduje bardzo wysokie sankcje finansowe, dotychczas nieznane w tej dziedzinie polskim przedsiębiorcom, na przykład w przypadku niepoinformowania GIODO o wycieku danych osobowych albo ich transferu poza Europejski Obszar Gospodarczy bez podstawy prawnej. Polscy przedsiębiorcy powinni zatem już teraz intensywnie przygotowywać się do wdrożenia wszystkich obowiązków wynikających z nowego prawa, rozpoczynając od identyfikacji kluczowych procesów w firmie i możliwego wpływu na nie unijnego rozporządzenia.