Autor: Jakub Wezgraj

Dnia 4 maja 2016 r. w Dzienniku Urzędowym UE zostały opublikowane oficjalne teksty aktów prawnych składających się na pakiet unijnej reformy prawa ochrony danych osobowych. W ramach pakietu przyjęto między innymi ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych (ang. General Data Protection Regulation – GDPR). GDPR wprowadza od 25 maja 2018 r. nowe podejście do ochrony danych osobowych i związane z tym standardy. Co istotne, standardy te wymagają przeprowadzenia w krótkim czasie bardzo wielu działań dostosowawczych nie tylko po stronie samych organizacji przetwarzających dane osobowe, ale również polskiego ustawodawcy oraz Generalnego Inspektora Ochrony Danych Osobowych.

Potrzeba wprowadzenia nowych unijnych ram prawnych w zakresie ochrony danych osobowych została podyktowana kilkoma czynnikami. Po pierwsze, rozwój nowych technologii wykorzystywanych w procesach agregowania i dalszego wykorzystywania danych osobowych przez przedsiębiorców i administrację publiczną jest na tyle dynamiczny, że z czasem aktualnie obowiązujące regulacje prawne przestały za nim nadążać. Generalny Inspektor Ochrony Danych Osobowych (GIODO) już od wielu lat zwracał uwagę na niebezpieczeństwa dla obywateli związane z chociażby niekontrolowanym wykorzystywaniem nowoczesnego monitoringu wizyjnego, danych biometrycznych, technologii Big Data umożliwiających pozyskiwanie i wykorzystywanie danych w nieosiągalnych do niedawna zakresie i skali, profilowaniem, transgranicznym przepływem danych, czy też dotyczących zagrożeń dla prywatności w internecie (np. związanych ze śledzeniem aktywności internautów).

Po drugie, stosowanie coraz nowszych rozwiązań technologicznych nie gwarantowało bynajmniej większej ochrony przetwarzanym danym – wręcz przeciwnie, generowało nowe ryzyka dla ich bezpieczeństwa. Jest to o tyle istotne, że dane osobowe mają dzisiaj ogromną wartość ekonomiczną, która stale rośnie. Według danych przedstawionych przez GIODO w „Raporcie o ochronie danych osobowych” wartość danych obywateli UE w 2011 r. wynosiła 315 mld euro, natomiast do roku 2020 r. może wzrosnąć do blisko 1 bln euro. Nic więc dziwnego, że ciągły rozwój technologii i zagrożenia z tym związane spowodowały wzrost braku zaufania samych obywateli do środowisk cyfrowych. Według statystyk Eurobarometru opublikowanych w 2016 r. aż 67 proc. respondentów martwi się faktem, że nie mają kontroli nad informacjami, które podają w internecie. Taka sytuacja z kolei ogranicza rozwój unijnej gospodarki opartej na cyfryzacji i tzw. usługach społeczeństwa informacyjnego.

Po trzecie, aktualnie obowiązujące regulacje prawne z zakresu ochrony danych osobowych – choć bazowały na tej samej dyrektywie unijnej – dosyć znacząco różniły się w poszczególnych krajach członkowskich, co z kolei wyraźnie utrudniało prowadzenie działalności gospodarczej w więcej niż jednym państwie Unii. Świetnym tego przykładem jest chociażby Polska, na której terytorium aktualnie obowiązują przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, które mają charakter bardziej restrykcyjny niż analogiczne regulacje obowiązujące np. w Niemczech.

Co przyniesie GDPR?

Ogólne rozporządzenie o ochronie danych ma przede wszystkim zapewnić jedno, spójne prawo we wszystkich krajach UE – choć jak wskazują przedstawiciele Ministerstwa Cyfryzacji odpowiedzialnego za przygotowanie prawa polskiego do wymagań GDPR, nie oznacza to, że poszczególne kraje członkowskie nie będą mogły zastosować pewnych odmienności. Tylko w Polsce skuteczne wdrożenie GDPR wymaga dostosowania kilkuset aktów prawnych (w tym chociażby przepisów z zakresu prawa pracy i ubezpieczeń społecznych, czy też regulujących funkcjonowanie poszczególnych sektorów rynku jak np. leczniczego, bankowego, telekomunikacyjnego), a rozporządzenie pozwala w niektórych sytuacjach na „indywidualne” podejście do wprowadzanych regulacji. Zdaniem Ministerstwa Cyfryzacji, dostosowanie polskiego prawa do wymogów ogólnego rozporządzenia o ochronie danych będzie również wymagało wprowadzenia nowej ustawy o ochronie danych osobowych. W 2017 r. ma być przedstawiony projekt tej ustawy.

Ujednolicenie prawa ma zasadniczo ożywić również samą gospodarkę i znieść nieuzasadnione bariery administracyjne. Przedsiębiorcy prowadzący swoją działalność w więcej niż jednym państwie członkowskim nie będą bowiem musieli uzgadniać planowanych procesów przetwarzania danych osobowych z poszczególnymi organami kontrolnymi działającymi w tych krajach, lecz z jednym – właściwym ze względu na główną siedzibę przedsiębiorcy. Te uzgodnienia będą wiążące dla wszystkich państw członkowskich. W tym kontekście warto jednak zauważyć, że aby takie ułatwienia mogły funkcjonować w praktyce, niezbędna jest bardzo dobra współpraca pomiędzy poszczególnymi organami kontrolnymi – co może stanowić duże wyzwanie również dla polskiego organu – Generalnego Inspektora Ochrony Danych Osobowych.

Największym jednak beneficjentem wprowadzanych zmian mają być sami obywatele. GDPR gwarantuje im bardzo szeroki – względem aktualnie obowiązujących przepisów – katalog uprawnień, jak np. rozległe prawo do uzyskiwania informacji o sposobie przetwarzania danych (w tym również o przypadkach naruszenia ochrony danych) oraz podmiotach odpowiedzialnych za ten proces, prawo do żądania usunięcia danych (tzw. prawo do bycia „zapomnianym”), prawo do żądania przeniesienia danych od konkretnego administratora danych do innych podmiotów, prawo do żądania ograniczenia przetwarzania danych. Aby umożliwić obywatelom korzystanie z tych praw, podmioty przetwarzające ich dane osobowe będą zobligowane do przekazywania im jasnych i zrozumiałych informacji oraz uświadamiania na jakich zasadach odbywa się przetwarzanie ich danych osobowych, z jakimi ryzykami to się wiąże oraz w jaki sposób dane te są zabezpieczone. Będą też musiały informować ich o przysługujących im uprawnieniach oraz możliwych formach w jakich mogą z nich skorzystać.

Aby sprostać przysługującym obywatelom uprawnieniom, administratorzy danych będą musieli wprowadzić szereg wewnętrznych mechanizmów gwarantujących, że proces przetwarzania danych osobowych jest monitorowany i właściwie zabezpieczony od momentu pozyskania, aż do ich usunięcia. W związku z tym będą zobligowani m.in. do przeprowadzania oceny skutków dla ochrony danych, rejestrowania czynności przetwarzania danych czy też do zgłaszania naruszeń ochrony danych organowi nadzorczemu oraz osobom, których one dotyczą. Obowiązywać będzie zasada niezbędności, zgodnie z którą możliwe będzie zbieranie danych osobowych tylko w takim zakresie, jaki jest absolutnie niezbędny do realizacji celu w jakim zostały pozyskane. Wydaje się, że spełnienie tego wymogu będzie dużym wyzwaniem, w szczególności w przypadkach wykorzystywania profilowania lub technologii Big Data do przetwarzania danych osobowych.

Tym samym punkt ciężkości zostanie przeniesiony na niespotykaną do tej pory skalę na odpowiedzialność i transparentność podmiotów przetwarzających dane osobowe. To one, będąc zainteresowane wykorzystywaniem danych obywateli w ramach prowadzonej działalności, jednocześnie będą podlegały silnej kontroli samych dysponentów tych informacji, a także – w określonym w rozporządzeniu zakresie – organom kontrolnym. Co istotne, te ostatnie będą posiadały możliwość nakładania wysokich kar finansowych sięgających kwoty 20 mln Euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Konsekwencje dla Polski

Choć ogólne rozporządzenie o ochronie danych formalnie zacznie obowiązywać od 25 maja 2018 r., faktyczna „rewolucja” związana z jej wprowadzeniem w życie ma już miejsce.
Z perspektywy Polski dotyczy ona co najmniej 3 obszarów:

• obszaru ustawodawczego – w tym zakresie szczególnie istotna będzie rola Ministerstwa Cyfryzacji odpowiedzialnego za podjęcie działań legislacyjnych zapewniających pełne i skuteczne stosowanie ogólnego rozporządzenia w polskim porządku prawnym;
• obszaru współpracy organów kontrolnych z zakresu ochrony danych osobowych
  – z perspektywy Polski niezwykle istotne będą zasady współpracy wypracowane przez Generalnego Inspektora Ochrony Danych Osobowych z jego odpowiednikami z innych państw członkowskich jak również z Europejskim Inspektorem Ochrony Danych (organy te będą mogły komunikować się w ramach nowoutworzonej Europejskiej Rady Ochrony Danych, której głównym zadaniem będzie propagowanie współpracy organów nadzorczych w całej Unii);
• obszaru związanego z działalnością samych podmiotów przetwarzających dane osobowe – zarówno przedsiębiorcy jak i jednostki publiczne zostały zobligowane na gruncie GDPR do wdrożenia wielu nowych wymogów gwarantujących większe bezpieczeństwo i kontrolę przetwarzanych danych osobowych.

Proces dostosowawczy we wszystkich tych obszarach powinien zakończyć się najpóźniej do dnia 25 maja 2018 roku. Z jednej bowiem strony od tego dnia musi istnieć możliwość pełnego i harmonijnego stosowania wymagań GDPR zarówno po stronie organu nadzorczego jak i podmiotów przetwarzających dane osobowe. Z drugiej strony, od tego momentu wszystkie organy kontrolne działające w poszczególnych państwach członkowskich (w tym również GIODO) będą uprawnione m.in. do nakładania na podmioty przetwarzające dane wysokich sankcji finansowych związanych z niezastosowaniem się do określonych wymagań rozporządzenia.

Autor: Jakub Wezgraj, radca prawny, Research Fellow w Programie Cyberbezpieczeństwo Fundacji im. Kazimierza Pułaskiego

Zdjęcie: Freepik.com