Nowe zasady ochrony danych osobowych.

ŻOd 25 maja 2018 zaczynamy stosować przepisy o ochronie danych osobowych zawarte w unijnym rozporządzeniu, zwanym w skrócie RODO. Na czym będzie polegać ochrona danych osobowych po europejsku? Rozpoczynamy cykl artykułów, w których postaramy się przybliżyć nowe przepisy, zanim wszystkie NGO będą musiały zacząć je stosować.

Wchodząca w życie 25 maja 2018 roku reforma ochrony danych osobowych wprowadza całkowicie nowe rozwiązania w tej dziedzinie. Powszechnie określa się ją jako rewolucję. Dotknie ona również organizacje pozarządowe, ponieważ co do zasady, będą one podlegały jej przepisom w całości. W artykule zostały omówione najważniejsze założenia reformy oraz pojęcia danych osobowych i podmiotów zobowiązanych do stosowania przepisów.

Nowe podejście do ochrony danych

Jedną z ważniejszych cech reformy jest całkowita zmiana założeń dotyczących tego, jak powinna wyglądać ochrona danych osobowych. Dotychczas wystarczało, że administrator wypełniał obowiązki wskazane w przepisach prawa. Od wejścia w życie reformy administrator będzie zobowiązany stosować zasadę risk based approach. To znaczy, że będzie musiał samodzielnie oceniać, jakie są ryzyka związane z przetwarzanymi danymi osobowymi i jakie w związku z tym należy przedsięwziąć środki.

Uchylone zostanie rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), na podstawie którego tworzono Politykę bezpieczeństwa i Instrukcje zarządzania systemem informatycznym. W większości organizacji pozarządowych te dokumenty były podstawą do określenia obowiązków w zakresie danych osobowych.

Nie znaczy to jednak, że z chwilą uchylenia rozporządzenia z dnia 29 kwietnia 2004 r. wszystkie Polityki i Instrukcje stracą moc. Jeżeli analiza ryzyka przeprowadzona w organizacji pozarządowej potwierdzi, że są one wystarczające, będzie można je również stosować po wejściu w życie RODO (czyli opisywanej tu reformy). Trzeba być jednak uważnym w tym zakresie, ponieważ to na organizacji pozarządowej (administratorze) będzie spoczywał obowiązek udowodnienia, że nie była konieczna zmiana dokumentów.

Interpretacja preambuły

RODO zawiera bardzo obszerną preambułę składającą się ze 173 motywów. W wersji papierowej mieści się ona na ponad 30 stronach. Formalnie preambuła nie ma charakteru wiążącego (por. Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-134/08 HauptzollamtBremen przeciwko J.E. Tyson Parketthandel GmbH). Jej zadanie polega na wskazaniu intencji prawodawcy w czasie wprowadzania konkretnego rozwiązania. Daje to wskazówki do interpretacji poszczególnych przepisów – pokazuje, jak należy je rozumieć. Na przykład motyw 43 mówi, że „zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych”. Dlatego zgoda taka powinna osobno dotyczyć samego wykonania umowy, a osobno na przykład przetwarzania dla celów marketingowych.

Z perspektywy preambuły do RODO warto zwrócić uwagę na dwa cele. W motywie 1 podkreślono, że prawo do ochrony danych należy do praw podstawowych Unii Europejskiej oraz praw człowieka. Na tej podstawie należy sądzić, że celem RODO jest ochrona praw jednostki, a interpretacja tego aktu powinna iść w kierunku jak najpełniejszej ich ochrony. Inaczej mówiąc, w przypadku wątpliwości należy wybierać rozwiązanie, które będzie chroniło dane osobowe.

Jednocześnie w motywie 2 wskazano, że celem rozporządzenia jest działanie na rzecz „tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi”. To znaczy, że co do zasady wolno wykorzystywać dane osobowe w obrocie gospodarczym, ale na zasadach wskazanych w przepisach.

Cel zawarty w motywie pierwszym i drugim nie pozostają ze sobą w sprzeczności. Mogą jednak wchodzić w konflikt. W tej sytuacji interpretacja przepisów będzie wymagała uwzględnienia obu wskazanych wartości w najszerszy możliwy sposób poprzez ich wyważenie. Należy jednak pamiętać, że uzasadnienie wyboru jest obowiązkiem administratora.
Pojęcie danych osobowych

Definicja danych osobowych w RODO nie odbiega od dotychczas stosowanej. Zgodnie z nią dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Wprowadzono natomiast wytyczne w zakresie uznania, że dana osoba jest „możliwa do zidentyfikowania”.

Identyfikacja może mieć bezpośredni lub pośredni charakter, a jej podstawa jest dowolna. W RODO wskazuje się przykładowo, że za środek identyfikacji mogą posłużyć imię i nazwisko, numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy.

Jednocześnie nie rozstrzygnięto, w jaki sposób ocenia się, czy administrator jest w stanie zidentyfikować danego człowieka. Istnieją w tej kwestii dwa poglądy. Obiektywny, który mówi, że danymi osobowymi są te informacje, które pozwalają na identyfikację jednostki niezależnie od tego, czy administrator ma do nich dostęp, czy nie. Pogląd subiektywny wskazuje, że tylko wtedy dana informacja będzie daną osobową, jeżeli administrator sam ma możliwości stwierdzenia tożsamości osoby fizycznej. Na przykład numer PESEL lub numer prawa jazdy w wersji obiektywnej zawsze będzie daną osobową, ponieważ są rejestry, które pozwalają przypisać je do konkretnej osoby. Według koncepcji subiektywnej tylko wtedy będą to dane osobowe, jeżeli administrator przetwarza jeszcze inne informacje – na przykład imię i nazwisko.

W motywie 26 wskazuje się, że do oceny, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby jej identyfikacji. Dotyczy to również czasu, kosztów oraz dostępnej technologii, która ma służyć ustaleniu tożsamości. Jednak, jak wspomniano, preambuła (zawarte w niej motywy) nie jest bezpośrednio wiążąca.

Z rozstrzygnięciem tego sporu należy więc poczekać na oficjalne interpretacje i orzecznictwo sądowe. Na tę chwilę trzeba pamiętać, że regulacje RODO nie zawierają ograniczenia, znanego z polskiej ustawy, które wyłączało spod reżimu ochrony danych osobowych informacje, których wykorzystanie do określenia tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań.
Zakres podmiotowy, czyli kto stosuje RODO

Rozporządzenie wprowadza dwa podmioty odpowiedzialne za jego stosowanie.

Pierwszym jest administrator, którym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Zatem administratorem mogą być zarówno organizacje pozarządowe w rozumieniu ustawy o pożytku, jak również inne podmioty prowadzące działalność pożytku publicznego, w tym grupy nieformalne czy jednostki organizacyjne niemające osobowości prawnej (jak stowarzyszenia zwykłe). Forma prawna nie ma istotnego znaczenia. Jako wyróżnik administratora wskazuje się fakt wskazywania celów i sposobów przetwarzania danych. Należy pamiętać, że w przypadku osób prawnych administratorem będzie ta osoba, a nie członkowie organów działających w jej imieniu. Stąd administratorem jest fundacja lub stowarzyszenie, a nie prezes czy zarząd.

Drugim podmiotem odpowiedzialnym za stosowanie RODO jest podmiot przetwarzający. Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. W tym przypadku organizacja nie decyduje o celach i sposobach przetwarzania danych, tylko prowadzi operacje na nich w zakresie wskazanym przez administratora. Najczęściej podmiotem przetwarzającym stajemy się w wyniku podpisania stosownej umowy. Przykładowo może to mieć miejsce, kiedy organizacja jest podwykonawcą projektu lub współorganizuje jakąś akcję z zaprzyjaźnioną NGO.

Rozróżnienie między administratorem danych a podmiotem przetwarzającym jest kluczowe dla określenia odpowiedzialności prawnej. Zasadniczo odpowiada administrator, a podmiot przetwarzający odpowiada w zakresie umowy zawartej z administratorem, chyba że przepis szczególny stanowi inaczej.

Zakres terytorialny stosowania RODO

Zakres terytorialny stosowania RODO jest określony w artykule 3. Wskazuje on dwie zasady.

Pierwsza to obowiązek stosowania przepisów dla wszystkich podmiotów mających siedzibę na terenie Unii Europejskiej. Dotyczy to również sytuacji, gdy przetwarzanie odbywa się poza jej terenem. Dlatego polska organizacja pozarządowa prowadząca projekt pomocowy w Afganistanie ma obowiązek stosować przepisy RODO.

Druga zasada dotyczy podmiotów mających siedzibę poza Unią Europejską. Muszą one stosować RODO, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług dla osób przebywających na terenie Unii lub z monitorowaniem ich zachowania.

 Źródło: www.ngo.pl

 

Media społecznościowe:

Polecam: