W styczniu 2013 r. Jan Philipp Albrecht, sprawozdawca komisji Parlamentu Europejskiego do spraw Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) opublikował projekt raportu zalecający ponad 300 poprawek. W dniu 22 października 2013 r. komitet LIBE głosował i zatwierdził tekst kompromisowy, który ma być przedstawiony Parlamentowi Europejskiemu, biorąc pod uwagę ponad 3000 kolejnych poprawek, które zostały podniesione.
Artykuł przedstawia niektóre z najważniejszych postanowień rozporządzenia, zatwierdzonych przez LIBE.
Zasięg terytorialny (artykuł 3)
Rozporządzenie będzie miało zastosowanie do przetwarzania danych osobowych podmiotów przebywających na terenie Unii Europejskiej, bez względu na to, gdzie znajduje się administrator danych lub podmiot przetwarzający dane, jeśli przetwarzanie jest związane z oferowaniem europejskim podmiotom - których dane dotyczą - produktów i usług (bez względu na to czy odpłatnie czy pod tytułem darmym) lub z monitorowaniem tych podmiotów. Rozporządzenie określa, że monitorowanie podmiotów, których dane dotyczą, będzie oznaczało śledzenie jednostek - bez względu na źródło danych - albo zbieranie danych o jednostkach w celu wykorzystania technik przetwarzania danych do profilowania celem analizy lub prognozowania osobistych preferencji, zwyczajów i upodobań jednostek. Te same regulacje będą mieć zastosowanie do organizacji znajdujących się poza Europą, jeśli przetwarzają dane osobowe obywateli Unii Europejskiej, włączając w to cele związane z monitoringiem.
Dane osobowe i możliwe do zidentyfikowania podmioty danych (artykuł 4, akapit 24 i 25)
Dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba jest możliwa do zidentyfikowania, jeśli jej tożsamość można określić bezpośrednio lub pośrednio, przy wykorzystaniu środków zwykle stosowanych do dokonywania identyfikacji, w szczególności identyfikatorów dostarczonych przez urządzenia, aplikacje, narzędzia i protokoły takie jak adresy IP (Internet Protocol), identyfikatory cookie i oznaczenia częstotliwości radiowych.
Przetwarzanie ograniczone do niezbędnego minimum (art. 5)
Zgodnie z rozporządzeniem dane osobowe powinny być przetwarzane w sposób adekwatny, odpowiedni i ograniczony do minimum w kontekście celów przetwarzania. Ponadto, przetwarzanie może być dokonywane jedynie przez okres, gdy cele przetwarzania nie mogą zostać spełnione przez przetwarzanie informacji niedotyczących danych osobowych. Powyższe stanowi zmianę w stosunku do obecnie obowiązującego obowiązku przetwarzania danych w sposób adekwatny, odpowiedni i nienadmierny. W związku z planowaną zmianą konieczna będzie modyfikacja działań podejmowanych podczas zbierania i wykorzystywania danych.
Uzasadnione interesy jako podstawa do przetwarzania danych osobowych (artykuł 6 oraz akapity 38 i 39) Przetwarzanie danych osobowych będzie zgodne z prawem w zakresie uzasadnionych interesów administratora danych w sytuacji, gdy przetwarzanie związane jest z uzasadnionymi oczekiwaniami podmiotu danych w oparciu o ich związek z administratorem, chyba że uzasadnione interesy organizacji przetwarzającej godziłyby w interesy lub podstawowe prawa i wolności podmiotu, którego dane osobowe dotyczą (wówczas pierwszeństwo mają rzecz jasna interesy, podstawowe prawa i wolności podmiotu, którego dane dotyczą).
Zdaniem posłów Parlamentu Europejskiego uzasadnionym interesem administratora danych osobowych będzie przetwarzanie następujących danych:
• szczegółowych informacji związanych z kontaktami biznesowymi,
• ściśle określonych i proporcjonalnych dla celów zapewnienia bezpieczeństwa sieci i informacji danych np. w celu ograniczenia nadużywania publicznych sieci i systemów informacji - np. poprzez tworzenie czarnych list identyfikatorów elektronicznych,
• danych zapobiegających lub ograniczających szkody np. danych dotyczących egzekucji roszczeń przeciwko podmiotowi, którego dane dotyczą oraz windykacji należności,
• danych napisanych pod pseudonimem (rozumianych jako dane osobowe, które nie mogą być przypisane do właściwego podmiotu danych osobowych bez zastosowania dodatkowych informacji, które muszą być przechowywane oddzielnie),
• danych do celów marketingowych dla własnych lub podobnych produktów i usług lub dla celów pocztowego marketingu bezpośredniego przy udzieleniu wyraźnej informacji dotyczącej prawa do sprzeciwu i źródeł danych osobowych.
Wyrażenie zgody na przetwarzanie danych osobowych (art. 7 i akapit 25)
Wyrażenie zgody na przetwarzanie danych osobowych powinno być dokonane w sposób wyraźny, poprzez podjęcie działań, które w sposób oczywisty stanowią o decyzji podmiotu, którego dane dotyczą (wstępne określenie stanowiska nie jest wiążące) lub w drodze złożenia stosownego oświadczenia. Tym samym bezczynność, milczenie czy samo korzystanie z usług nie będzie mogło być rozumiane jako zgoda na przetwarzanie danych. Zgoda będzie musiała być ograniczona do określonych celów i będzie skutkować utratą ważności w przypadku, gdy cel przetwarzania przestanie istnieć, przetwarzanie danych osobowych z danego powodu przestanie być konieczne, a firmy nie będą mogły sporządzić warunkowej zgody na przetwarzanie danych, które nie jest konieczne dla żądanych usług.
Przenoszenie danych (art. 15)
Posłowie uważają za pożądane, aby administratorzy danych byli zachęcani do rozwijania interoperacyjnych formatów umożliwiających przenoszenie danych osobowych, co z kolei ułatwiłoby przenoszenie danych osobowych między usługodawcami. Zgodnie z regulacją w sytuacji, gdy dane osobowe będą przetwarzane w sposób zorganizowany, za pomocą środków elektronicznych, w powszechnie przyjętym formacie, podmioty których dane dotyczą będą mogły otrzymać kopie dotyczących ich informacji. Ponadto, możliwe będzie przesyłanie danych z jednej aplikacji (np. sieci społecznej) do drugiej.
Zniesiony obowiązek powiadomienia – obecna regulacja przewiduje konieczność zgłoszenia się przez administratorów danych do ich organu nadzorującego. Omawiany projekt zakłada usunięcie tego zapisu.
Prawo do bycia zapomnianym/prawo do wykreślenia (artykuł 17)
Prawo do bycia zapomnianym zmieniło nazwę na „prawo do wykreślenia”. Daje to podmiotom, których dane dotyczą, prawo do uzyskania od administratora wykreślenia jakichkolwiek danych odnoszących się do nich, włączając w to prawo do otrzymania od stron trzecich (którym dane zostały przekazane) wykreślenia jakichkolwiek odnośników do danych, kopii danych lub powieleń danych. Nie jest to prawo absolutne i istnieją wyjątki pozwalające na zachowanie danych np. w przypadkach, gdy zachowanie danych jest potrzebne dla korzystania z prawa wolności wypowiedzi.
Zasady zgodności (artykuł 22 oraz 13a)
Administratorzy danych będą zobowiązani do podjęcia odpowiednich kroków w celu wdrożenia zasad zgodności oraz procedur, które respektują autonomiczne wybory podmiotów, których dane dotyczą. Zasady te muszą być weryfikowane przynajmniej raz na dwa lata. Polityka prywatności powinna być natomiast prezentowana w uporządkowanym zestawieniu tabelarycznym przy użyciu graficznych ikon określających, w jaki sposób dane osobowe są zbierane i chronione przed dostępem osób trzecich.
Administratorzy grupowi (artykuł 24)
Tam, gdzie cele przetwarzania danych osobowych i wykorzystywane do przetwarzania danych środki będą określane przez kilka organizacji, konieczne będzie sporządzenie istotnych warunków umowy dostępnych dla podmiotów, których dane dotyczą - tak aby nie pozostawiać wątpliwości odnośnie zadań i zakresu odpowiedzialności poszczególnych administratorów.
Zgłaszanie uchybień (artykuł 31)
Wymóg zgłaszania uchybień postanowieniom Rozporządzenia w przeciągu 24 godzin od ich wystąpienia został zniesiony. Obecnie administratorzy danych są zobowiązani do informowania organów nadzorujących o uchybieniach bez zbędnej zwłoki. Administratorzy danych są zobowiązani do dokumentowania przypadków uchybienia przepisom o ochronie danych osobowych, następstw tych naruszeń oraz podjętych działań naprawczych. Organy nadzorujące będą prowadzić publiczny rejestr typów zgłoszonych naruszeń.
Koordynatorzy ochrony danych (artykuły od 35 do 37)
Firmy prywatne są zobowiązane do wyznaczenia koordynatora ochrony danych jeśli:
• dokonywane przez nie przetwarzanie danych odnosi się do więcej niż 5000 podmiotów w każdym kolejnym okresie 12 miesięcy (zamiast kryterium liczby ponad 250 pracowników w danej firmie proponowanego przez Komisję) lub:
• głównym przedmiotem działalności administratora lub podmiotu przetwarzającego dane stanowi przetwarzanie danych wiążące się z regularnym i systematycznym monitorowaniem podmiotów, których dane dotyczą lub jeśli przetwarzane są określone kategorie danych (tj. dane wrażliwe), dane dotyczące miejsca pobytu, dane dotyczące dzieci lub dane pracowników w dużych systemach archiwizacyjnych. Większość małych i średnich przedsiębiorstw będzie zatem wyłączona z obowiązku wyznaczania koordynatora ochrony danych jeśli przetwarzanie danych nie będzie stanowiło przedmiotu ich głównej działalności.
Europejska Pieczęć Ochrony Danych (artykuł 39) – administrator lub podmiot przetwarzający dane może zażądać (za opłatą) od organu nadzorującego wydania certyfikatu potwierdzającego, że przetwarzanie przez niego danych osobowych odbywa się zgodnie z zasadami określonymi w rozporządzeniu. Jest to procedura dobrowolna. Certyfikaty będą ważne przez maksimum 5 lat i zostaną ujawnione w publicznym rejestrze. Firmy, którym przyznano certyfikat, nie będą karane grzywną za uchybienia postanowieniom Rozporządzenia, chyba że uchybienie będzie zamierzone lub będzie wynikiem niedbalstwa. Ponadto firmy takie będą mogły przenosić dane do krajów trzecich pod warunkiem, że odbiorca również będzie miał nadaną Europejską Pieczęć Ochrony Danych.
Organ wiodący (art. 54)
Wmyśl projektu przetwarzające dane na terytorium Europy organizacje będą współpracowały tylko z jednym organem wiodącym. Rozporządzenie wskazuje, iż w sytuacji, gdy dane osobowe będą przetwarzane przez administratora lub edytora w więcej niż jednym państwie członkowskim, organ nadzorujący jego głównego zakładu będzie organem wiodącym, odpowiedzialnym za nadzór nad czynnościami w zakresie przetwarzania danych we wszystkich państwach członkowskich. Organ wiodący będzie zobowiązany do konsultacji z innymi kompetentnymi organami nadzorującymi, jak najpełniejszego uwzględnienia ich opinii i podjęcia wszelkich starań w celu zawarcia porozumienia przed podjęciem jakichkolwiek działań. W przypadku wątpliwości powstałych przy określeniu organu właściwego, nowoutworzona Europejska Rada ds. Ochrony Danych (EDPB) będzie mogła wskazać organ wiodący. Ponadto podmioty, których informacje dotyczą, będą miały prawo do złożenia skargi na działalność organu wiodącego do organu nadzorującego w jakimkolwiek państwie członkowskim. Organ wiodący będzie zobowiązany do współpracy z organem nadzorującym w zakresie zarzutów podnoszonych w skardze (art. 73).
Profilowanie (akapit 58)
Profilowanie prowadzące do działań wywołujących skutki prawne dotyczące podmiotów, których dotyczą dane oraz wpływających znacząco na ich prawa, wolności i interesy jest dozwolone jedynie jeśli przewidują to przepisy prawa, jeśli wynika to ze sposoby wykonania umowy lub w przypadku wyrażenia wyraźnej zgody przez podmiot, którego dane dotyczą, a ponadto zastosowane zostaną przy tym odpowiednie zabezpieczenia. Rozporządzenie zakłada, że profilowanie oparte wyłącznie na przetwarzaniu informacji napisanych pod pseudonimem nie będzie znacząco wpływać na prawa, wolności i interesy podmiotu, którego informacje dotyczą.
Odpowiedzialność solidarna podmiotów przetwarzających dane osobowe (artykuł 73)
Osoba będzie miała prawo do dochodzenia odszkodowania od administratora lub podmiotu przetwarzającego dane, jeśli dozna szkody w wyniku niezgodnego z prawem przetwarzania danych. Jeśli przetwarzaniem danych zajmować się będzie więcej niż jeden administrator lub podmiot przetwarzający, wówczas będą oni odpowiadać solidarnie za całą szkodę, chyba że będą dysponować pisemnym porozumieniem określającym zakres ich odpowiedzialności (zgodnie z artykułem 24). Przy zawieraniu umów delegujących zadania w zakresie przetwarzania danych będzie zatem istotne z punktu widzenia podmiotu przetwarzającego dane, by jasno określić zakres odpowiedzialności każdej ze stron.
Podwyższone sankcje w wysokości do 100 milionów euro lub do 5% rocznego globalnego obrotu (artykuł 79) – za uchybienie przepisom Rozporządzenia przewidziane zostało zastosowanie jednej z następujących sankcji:
• pisemne ostrzeżenie (za pierwsze i niezamierzone uchybienie),
• regularne kontrole,
• kara w wysokości do 100 milionów Euro lub do 5% rocznego globalnego obrotu w przypadku przedsiębiorstwa – wybrana zostanie wyższa wartość. (Komisja proponowała karę do 2% rocznego globalnego obrotu).
Zastosowanie jednej z powyższych sankcji jest obligatoryjne, niemniej jednak przewidziano szereg okoliczności łagodzących, które należy wziąć pod uwagę przy ustalaniu, którą sankcję zastosować. Zaliczają się do nich natura, waga oraz długość trwania nieprawidłowości, powtarzalność uchybień, stopień współpracy z organem nadzorującym w celu usunięcia nieprawidłowości i zminimalizowania ich skutków oraz kategorie danych osobowych naruszonych w wyniku uchybień. Jeśli administrator lub podmiot przetwarzający dane znajduje się w posiadaniu ważnej Europejskiej Pieczęci Ochrony Danych, kara jest stosowana tylko w wypadkach zamierzonego naruszenia prawa lub niedbalstwa.
Kolejne kroki
Rada Unii Europejskiej odbyła w grudniu 2013 r. posiedzenie, na którym ministrowie wyrazili swoje obawy co do regulacji odnoszącej się do organu wiodącego. Dopiero po uzyskaniu akceptacji Rady Unii Europejskiej, Parlament Europejski i Komisja będą mogły rozpocząć negocjacje, które być może doprowadzą do zatwierdzenia ostatecznej wersji tekstu rozporządzenia przed wyborami do Parlamentu Europejskiego w maju 2014 r. i przyjęcia nowej regulacji w 2015 r.
Mając na uwadze powyższe, firmy miałyby około 2 lat na przygotowanie się do wejścia w życie nowych przepisów. Co prawda tekst rozporządzenia nie jest ostateczny i prawdopodobnie ulegnie jeszcze zmianom, niemniej jednak pewne zawarte w projekcie podstawowe zasady pozostaną niezmienione lub zostaną zmienione w sposób nieznaczny do czasu uzyskania przez rozporządzenie mocy obowiązującej. Wskazane jest by firmy zaczęły przygotowywać się na wejście w życie zmian przewidzianych w projekcie rozporządzenia i skutki nowych regulacji.
Autor: adw. Przemysław Wierzbicki, wspólnik zarządzający w kancelarii Wierzbicki Adwokaci i Radcowie Prawni
Jest szansa na unijne rozporządzenie o ochronie danych
Projekt unijnego rozporządzenia o ochronie danych był przedmiotem intensywnych negocjacji. Jest znaczący postęp w kierunku przyjęcia rozporządzenia, choć pozostaje jeszcze kilka kroków do wykonania, by stało się ono prawem pisze adwokat Przemysław Wierzbicki.