RODO – ujednolicenie przepisów oraz dostosowanie zasad ochrony danych osobowych do wyzwań XXI wieku
- Data Publikacji:
- Aktualizacja:
W 2019 roku pisałem pracę o RODO. W tamtym okresie był to emocjonujący temat. Po trzech latach obowiązywania rozporządzenia zainteresowanie tematyką spadło, ale kwestie podejmowane w niniejszym opracowaniu są nadal aktualne. Jeśli masz do napisania pracę, chcesz poznać RODO nie usypiając przy kilkuset stronnicowych książkach lub jesteś osobą zainteresowaną legislacją to zapraszm do lektury. Poznasz przyczyny powstania rozporządzenia, jego historię, obowiązujące w nim zasady, oddziaływanie, kontrowersje i podsumowanie z punktu widzenia pierwszej połowy 2019 r. Materiał zawiera dużo źródeł i cytatów.
Wstęp
Każdy ma prawo do prywatności oraz ochrony swoich danych osobowych. W art. 16 ust. 1 TFUE1 ustanowiono zasadę, że wszyscy obywatele UE mają prawo do ochrony danych osobowych. W art. 8 Karty praw podstawowych UE zapisano ochronę danych osobowych jako jedno z praw podstawowych. Powyższe regulacje wymagają od UE kompleksowego i spójnego podejścia zapewniającego poszanowanie podstawowego prawa osób fizycznych do ochrony ich danych osobowych na terenie Unii i poza nią.
Dyrektywa w sprawie ochrony danych z 1995 r.2 była kamieniem węgielnym w zakresie ochrony danych w Unii Europejskiej. Zapisano w niej dwa istotne dążenia w procesie integracji europejskiej: ochronę prawa podstawowego jednostki, ze szczególnym uwzględnieniem podstawowego prawa do ochrony danych oraz swobodnego przepływu danych osobowych.
Te obydwa cele nadal obowiązują, a zasady zapisane w dyrektywie nie straciły na aktualności. Jednakże globalizacja oraz gwałtowny rozwój technologiczny doprowadziły do głębokich przemian w otaczającym nas świecie. Przemiany te przyniosły ze sobą nowe nieznane dotąd wyzwania w obszarze ochrony danych osobowych oraz zmusiły do odpowiedzi na pytanie, czy dotychczasowe przepisy odpowiadają na te wyzwania.
W 2009 r. Komisja Europejska zainicjowała przegląd obowiązujących norm prawnych oraz wykonanie szeregu analiz. Podjęte działania wykazały potrzebę reformy aktualnego prawa. Do podstawowych celów zaliczono konieczność zapewnienia większej skuteczności sankcji i środków zaradczych oraz ujednolicenie zasad pośród wszystkich państw członkowskich UE. Rozpoczęty w 2009 r. proces zakończył się przyjęciem przez Parlament Europejski 14 kwietnia 2016 r. pakietu legislacyjnego dotyczącego nowych unijnych ram prawnych ochrony danych osobowych.
Przedmiotem pracy jest omówienie rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO ang. General Data Protection Regulation GDPR). Zostaną w niej przedstawione wyzwania przed którymi stanęło nowe prawo, omówione podstawowe zasady ochrony danych osobowych w rozporządzeniu oraz podsumowane skutki jego wprowadzenia.
Stworzenie kompleksowego, spójnego, skutecznego oraz neutralnego technologicznie prawa chroniącego dane osób fizycznych jest ogromnym wyzwaniem. Niniejsza praca stawia tezę, że Unia Europejska podjęła to wyzwanie i dokonała właściwego wyboru wprowadzając ambitną reformę ochrony danych w postaci ogólnego rozporządzenia o ochronie danych 2016/679 (RODO).
Praca składa się z pięciu rozdziałów. W pierwszym rozdziale omówione zostały zmiany technologiczne i społeczne jakie zaszły w ostatnich 30 latach, ich wpływ na przetwarzanie danych osobowych oraz prywatność obywateli. Rozdział drugi przedstawia istotę oraz historię prawa do prywatności, a następnie przybliża podstawowe pojęcia i reguły zawarte w ogólnym rozporządzeniu o ochronie danych. W trzecim rozdziale dokonano przeglądu zawartych w rozporządzeniu zasad przetwarzania danych przez administratorów, w dalszej kolejności omówiono prawa przysługujące obywatelom, których dane są przetwarzane oraz rolę inspektora danych osobowych. W czwartym rozdziale przedstawiono zasady bezpieczeństwa w przetwarzaniu danych osobowych ze szczególnym uwzględnieniem podejścia opartego na ryzyku, które jest poważnym wyzwaniem dla podmiotów przetwarzających dane. Ostatni rozdział zawiera podsumowanie 12 miesięcy działania unijnej regulacji i jej wpływu na funkcjonowanie organizacji oraz życie obywateli.
Rozdział 1 Zmiany technologiczne i społeczne oraz wyzwania z tym związane
1.1. Zmiany technologiczne
Ciągły rozwój nowych technologii to niezmienne wyzwanie dla ochrony danych osobowych. Od czasu, gdy Komisja Europejska w 1990 r. po raz pierwszy zaproponowała dyrektywę o ochronie danych osobowych nastąpiła na świecie ogromna przemiana technologiczna. W 2007 r. Internet przeniósł się do 55% europejskich domostw. Odsetek ten stale wzrastał i w 2017 r. już 87% unijnych gospodarstw domowych posiadało dostęp do Internetu3. W Polsce w 2018 r. dostęp do Internetu posiadało 84,2% gospodarstw domowych i 95,6% przedsiębiorstw4.
Rozwój ten postępuje zarówno w obszarze technologii sprzętowych jak i nowych technik przetwarzania informacji. Wzrasta moc obliczeniowa komputerów w związku z podwajaniem się liczby tranzystorów w układzie scalonym co ok. 18-24 miesięcy zgodnie z prawem Moore’e, Pojemność przechowywania i przepustowość komunikacji wzrastały do 2009 r. w jeszcze szybszym tempie i podwajały się co 12 miesięcy5. Ten wykładniczy wzrost radykalnie zwiększył możliwości organizacji do zbierania, przechowywania oraz przetwarzania prywatnych danych.
Nasze otoczenie jest coraz mocniej nasycone kamerami przemysłowymi oraz telefonami komórkowymi z biometrycznymi czujnikami używanymi do łączenia danych pomiędzy użytkownikiem i urządzeniem. Kolejnym przejawem rozwoju technologii sprzętowej są mikro kamery i mikro czujniki wyposażone w moduły łączności bezprzewodowej, które są wykorzystywane do komunikacji z innymi urządzeniami. Przykładem są np. czujniki wbudowane w soczewki kontaktowe mierzące poziom cukru i komunikujące się ze smartfonem, którego oprogramowanie może ostrzegać o przekroczeniu poziomów bezpieczeństwa.
Mając do dyspozycji wzrastające moce obliczeniowe przedsiębiorstwa tworzą coraz bardziej rozwinięte systemy przetwarzania danych. Przykładem może być oprogramowanie, w którym wykorzystuje się algorytmy do rozpoznawania stanów emocjonalnych osoby na podstawie analizy obrazów z kamer monitoringu. Inną próbką możliwości technologicznych jest profilowanie osoby na podstawie danych pobieranych przez różnego rodzaju czujniki rozmieszczone w miejscach publicznych z urządzeń noszonych przy sobie przez daną osobę np. telefon komórkowy, tablet lub smartwatch6.
Metody gromadzenia danych osobowych są coraz bardziej wyrafinowane i trudniej wykrywalne. Do analizy wykorzystuje się technologie Big Data, które zajmują się przetwarzaniem ogromnych ilości danych. Użycie zaawansowanych narzędzi umożliwia podmiotom gospodarczym skuteczniejsze dobranie strategii postępowania wobec poszczególnych jednostek dzięki monitorowaniu ich zachowania.
Dr Edyta Bielak-Jomaa7 wskazała na zagrożenie, które niesie za sobą stosowanie tzw. analiz predykcyjnych8. Na podstawie informacji o nas można wnioskować automatycznie o naszych przyszłych zachowaniach. Oznacza to, że ocena nie jest na podstawie tego co zrobiliśmy, ale co potencjonalnie moglibyśmy zrobić. Przykładowo – analiza informacji o danej osobie może wskazać na to, że jest prawdopodobieństwo popełnienia przez tę osobę przestępstwa. Może to prowadzić do blokady innowacyjności i zachowań konformistycznych, jeśli uznamy, że nie przystajemy do określonej normy społecznej
9.
W raporcie Komisji Europejskiej10 podkreśla się zagrożenia związane ze wzrastającą rolą analiz automatycznych coraz większej ilości przechowywanych danych. Istnieje ryzyko, że jednostki staną się zwykłymi przedmiotami i będą traktowane, a nawet dyskryminowane na podstawie profili wygenerowanych przez komputer, nie mając możliwości przeciwstawienia się algorytmowi. Decyzje o poważnych konsekwencjach, takich jak odmowa przyjęcia do pracy, zatrzymanie na granicy lub nawet uniemożliwienie wjazdu do kraju docelowego będą coraz częściej podejmowane, ponieważ „komputer tak powiedział” i nawet urzędnicy czy osoby obsługujące, które przekazują decyzję nie będą w stanie wyjaśnić jej przyczyn. Nowe technologie z natury rzeczy zaburzają równowagę sił pomiędzy jednostką a podmiotem przechowującym i przetwarzającym dane. Terminy „podmiot przetwarzający dane” czy „administrator danych” zyskują nowe pejoratywne znaczenie.
„Przetwarzanie w chmurze” (ang. cloud computing), czyli przetwarzanie dokonywane w Internecie na dzielonych zasobach znajdujących się na zewnętrznych serwerach również stanowi wyzwanie dla ochrony danych. Wiąże się to z utratą kontroli przez jednostki nad ich informacjami, które są przechowywane na urządzeniach stron trzecich i mogą być z łatwością przez nie przenoszone pomiędzy różnymi nieznanymi lokalizacjami, a nawet jurysdykcjami.
W cyfrowym świecie prawie każda komunikacja, odwiedzenie strony internetowej lub wprowadzenie frazy w wyszukiwarce zostawia szczegółowe ślady. Zebrane w ten sposób informacje są przechowywane i przetwarzane w celach dostarczania reklam, ale również profilowania naszych zwyczajów i preferencji. Jednocześnie z tak zebranych danych przedsiębiorstwa i instytucje korzystają często w sposób, którego nie oczekiwaliśmy, ani nas o tym nie poinformowano.
Kolejnym obszarem, z którym musiała się zmierzyć nowa regulacja jest upowszechnienie danych biometrycznych. Pojęcie „Dane biometryczne” zdefiniowane zostało m.in. w opinii 4/2007 Grupy Roboczej11 Art. 29 (WP136) jako właściwości biologiczne, cechy fizjologiczne i życiowe lub powtarzalne czynności, przy czym te cechy i/lub czynności dotyczą wyłącznie danej osoby oraz są wymierne, nawet jeśli schematy używane w praktyce do ich pomiaru charakteryzuje pewien stopień prawdopodobieństwa.
Jest wiele źródeł danych biometrycznych, które obejmują fizjologiczne, fizyczne, psychologiczne lub behawioralne cechy danej osoby fizycznej. Istnieją dwie główne techniki pomiaru próbek:
- techniki fizyczne i fizjologiczne, gdzie mierzy się i porównuje fizyczne oraz fizjologiczne cechy danej osoby, takie jak: linie papilarne palca, układ naczyń krwionośnych palca, kształt dłoni, ucha lub ust, głos, DNA, zapach ciała, obraz tęczówki lub siatkówki oka, kształt i rysy twarzy itp.,
- techniki behawioralne, którymi mierzy się zachowanie jednostki i które zawierają: cechy podpisu odręcznego, sposób poruszania się, a nawet cechy odzwierciedlające myśli podświadome, takie jak oszustwo, kłamstwo itp.
Pośród tych drugich szczególnie ciekawe i potencjalnie niebezpieczne wydają się być techniki mające podstawy psychologiczne. Za ich pomocą mierzy się reakcje na konkretne sytuacje lub przeprowadzone testy celem dopasowania do danego profilu psychologicznego12. Techniki te mogą być użyte między innymi do rozpoznania stanów emocjonalnych osób, których zamiarem jest popełnienie przestępstwa typu kradzież, przemyt czy atak terrorystyczny.
Przetwarzanie danych biometrycznych w systemie dzielimy zwykle na:
- rejestrację, określaną jako procesy mające za cel wyodrębnienie danych biometrycznych pobranych ze źródła danych i powiązanie ich z konkretną osobą fizyczną,
- przechowywanie, polegające na składowaniu pobranych danych w celu ich późniejszego wykorzystania,
- kojarzenie, będące procesem porównania ze wzorcem celem identyfikacji, weryfikacji lub kategoryzacji.
Autorzy opracowania „Informacja Generalnego Inspektora Ochrony Danych Osobowych o zagrożeniach płynących z upowszechnienia danych biometrycznych” wskazują na wiele zagrożeń oraz wątpliwości związanych z użyciem biometrii w procesie identyfikacji, weryfikacji oraz klasyfikowania badanej próbki.
Do najważniejszych zagrożeń należą m.in13.
- Ewentualność ujawnienia danych wrażliwych. Niektóre próbki mogą zarówno identyfikować badaną osobę jak również zdradzać inne jej cechy jak np. stan zdrowia, stres, zmęczenie, bycie pod wpływem środków odurzających;
- Użycie bez wiedzy i zgody badanego. Przykładem tego zagrożenia jest użycie kamer monitoringu wizyjnego, wyposażonych w specjalistyczne oprogramowanie rozpoznawania twarzy;
- Łatwość łączenia danych. Ma to miejsce, gdy ten sam rodzaj próbki użyto w różnych systemach;
- Brak przejrzystości. Producenci wykorzystują poufne i zastrzeżone algorytmy, co uniemożliwia skuteczny audyt przez niezależny podmiot lub organizację.
Niewątpliwie rola biometrii będzie wzrastać, a wymienione tutaj zagrożenia należy brać pod uwagę ze względu na szczególną właściwość tej metody, którą jest niezmienność danych. Nie ma możliwości wymiany siatkówki w oku czy odcisków własnych palców tak jak zmienia się hasło. Wiąże się z tym nieodwracalna utrata anonimowości, ponieważ dane biometryczne, które są przechowywane i przetwarzane w systemach administratorów umożliwiają precyzyjną identyfikację danej osoby.
Wzrastająca popularność urządzeń określanych jako „Internet rzeczy (IoT)” niesie również ryzyka naruszania prawa i wolności osób. Według raportu Gartnera14 w 2020 r. będzie na świecie 21 miliardów podłączonych urządzeń15. Jak wiele innych dynamicznie rozwijających się technologii jest ona niedojrzała pod względem bezpieczeństwa, a jednocześnie przetwarza prywatne dane. Przykładami urządzeń są inteligentne termostaty, żarówki, lodówki itp. Dane z tych urządzeń mogą zostać wykorzystane do badania naszej codziennej rutyny, nawyków czy preferencji. W połączeniu z innymi zebranymi o nas informacjami będą służyć jeszcze dokładniejszemu profilowaniu jednostek.
W 2016 r. pojawiły się nowe zjawiska, które mogą wpłynąć na prywatność i przetwarzanie danych osobowych. Przykładem jest tzw. „cartaping” polegający na śledzeniu pojazdów w oparciu o czujniki, kamery i urządzenia lokalizacyjne komunikujące się oraz wymieniające dane z otoczeniem. Dodatkową zachętą do montażu jeszcze większej ilości zaawansowanych technologii przez producentów samochodów może być ogólnoeuropejski system eCall służący szybkiemu powiadamianiu o wypadkach drogowych. Według założeń, uruchomienie go może uratować życie 2,5 tys. osób rocznie. Pomimo niewątpliwej wartości zaawansowane technologie mogą również ingerować w prywatność podróżujących osób. Kluczowe zagrożenia w zakresie ochrony danych osobowych dla użytkownika stanowi brak przejrzystości w zakresie rodzaju i sposobu przetwarzania danych oraz świadomości w zakresie zagrożeń związanych z ich udostępnienia innym osobom lub podmiotom16.
1.2. Zmiany zachowań społecznych
Dzisiejsze technologie umożliwiają jednostkom łatwe dzielenie się informacjami na temat ich zachowania i preferencji oraz publiczne udostępnianie tych informacji w skali globalnej na nie mającą precedensu skalę. Sieci społecznościowe z miliardami17 użytkowników na całym świecie stanowią najbardziej oczywisty, choć nie jedyny, przykład tego zjawiska. Większość portali społecznościowych wymaga podczas rejestracji podania swoich danych, takich jak imię i nazwisko, data urodzenia, nr telefonu itp., a warunkiem członkostwa jest na ogół akceptacja często długiego i niezrozumiałego regulaminu, w którym zawarte są ogólne i niejasne cele przetwarzania naszych danych.
Wygoda, brak granic oraz brak opóźnienia pomiędzy momentem umieszczenia informacji, a możliwością jej odczytania przez odbiorców spowodowało przeniesienie konwersacji, wymiany poglądów oraz komentarzy na platformy portali społecznościowych. Użytkownicy samodzielnie tworzą treść za pomocą prostych i przyjaznych narzędzi, a bezpośrednią wymianę informacji zastąpiły rozmowy prowadzone z użyciem komunikatorów.18
Według raportu CBOS „Internauci 2015”19 z internetu w roku 2015 regularnie korzystało w Polsce dwie trzecie dorosłych i popularność portali społecznościowych wzrosła w stosunku do poprzedniego okresu. Obecność w przynajmniej jednym deklarowało 66% internautów, a regularnie jak wynikało z deklaracji korzystało z nich 82% zarejestrowanych. Uczestnicy wykorzystywali je przede wszystkim do utrzymywania kontaktów ze znajomymi, odnawiania znajomości, nawiązywania nowych kontaktów oraz jako wzrastający trend w celu poszukiwania pracy.
Ponieważ odeszliśmy od pisania listów na papierze, a bezpośrednie rozmowy mogą być prowadzone z dowolnego miejsca na świecie z wykorzystaniem elektronicznych środków transmisji, bardzo dużo naszych prywatnych informacji trafia do internetu. Co więcej obecność w serwisach społecznościowych sprzyja zamieszczaniu prywatnych danych na swój temat. Dotyczy to szczególnie publikowania daty urodzenia, adresu e‑mail, zdjęć, miejsca pobytu, zainteresowań i poglądów.20
Jednocześnie użytkownicy są bardzo często nieświadomi, że publikowane przez nich informacje, ogłoszenia i komentarze zawierają ogromną ilość danych o ich preferencjach, zwyczajach, nastroju czy poglądach politycznych. Pojedyncze wpisy zdają się nie nieść ze sobą większego zagrożenia dla prywatności, ale administratorzy mają nieograniczone możliwości łączenia danych z całej naszej internetowej aktywności i wykorzystywania ich jako bazy dla algorytmów profilujących, badania zachowań grup społecznych, a nawet kierowania marketingu politycznego.
Jak zwraca uwagę Nathalie Nahai gdy coś jest odległe i mgliste nie postrzegamy tego jako zagrożenie, dlatego tak łatwo dzielimy się w internecie swoimi danymi. Gdyby do naszego domu przyszedł ktoś i zabrał zdjęcia lub inne prywatne informacje wtedy z pewnością poczuli byśmy złość i zdenerwowanie. Podobnie wiedza o przeglądaniu naszego profilu na portalu społecznościowym przez pracodawcę wywołała by w nas niepokój. A to właśnie się dzieje z naszymi prywatnymi danymi21.
Doskonałym przykładem z pozoru niewinnego hobby jest publikowanie swoich prywatnych zdjęć na portalach społecznościowych. Każdy z nas nosi cały czas przy sobie aparat fotograficzny w telefonie, zdjęcia są od razu w postaci cyfrowej, bardzo proste i szybkie w wykonaniu. Użytkownicy na ogół nie zdają sobie sprawy z faktu, iż razem ze zdjęciem lub filmem publikowane są tzw. metadane, które zawarte w pliku przedstawiają dodatkowe informacje, tj. numer identyfikacyjny urządzenia, koordynaty GPS oraz datę i godzinę ich wykonania22. Co więcej nowoczesne algorytmy rozpoznające rysy twarzy są w stanie zidentyfikować na zdjęciu lub filmie wszystkich jego uczestników, narażając prywatność zarówno nas jak i naszych znajomych23.
Porzuciliśmy notesy i zapisujemy prywatne kontakty oraz terminarz w telefonie, który przechowuje wszystkie te informacje na serwerach w internecie. Jest to bardzo wygodne, ponieważ mamy do nich dostęp z dowolnego miejsca, a w przypadku uszkodzenia lub zagubienia urządzenia nasze dane są zabezpieczone. Podobnie nasze prywatne dokumenty tworzymy na urządzeniach połączonych z internetem, a ich zawartość trafia do sieci. Co ważne, mogą się tam znaleźć dane wrażliwe czego przykładem są np. informacje o naszym zdrowiu, sytuacji finansowej czy rodzinnej. Ciesząc się wygodą korzystania z nowoczesnych technologii często zapominamy, że wiąże się to z ryzykiem naruszenia prywatności zarówno naszej jak i naszych znajomych.
Zamieniliśmy listy pocztowe na pocztę elektroniczną oraz komunikatory internetowe. Cała komunikacja elektroniczna odbywa się w internecie i treści w niej zawarte są przetwarzane oraz przechowywane przez różne podmioty rozsiane na całym świecie podlegające różnym zasadom prawnym. Brak jednolitych i skutecznych norm regulujących zasady przetwarzania i przechowywania danych osobowych w praktyce uniemożliwia nam jakąkolwiek kontrolę rzetelności działania organizacji przetwarzających nasze dane.
Odłożyliśmy encyklopedie i słowniki na półki, a odpowiedzi na większość pytań poszukujemy w internecie. Wpisując poszukiwaną frazę w wyszukiwarce internetowej na ogół nie zdajemy sobie sprawy z ilości informacji, które przesyłane są razem z zapytaniem. Firmy oferujące usługi wyszukiwania, tj. Google opierają swoją model biznesowy na dostarczaniu spersonalizowanych reklam i wykorzystywaniu naszych danych do profilowania24 jednostek oraz badań opartych o BIG DATA25. Jednocześnie na co wskazuje Siva Vaidhyanathan filtr jaki Google zakłada w spersonalizowanym wyszukiwaniu zamyka poszukujących w świecie, który znają nie dając możliwości natrafienia na coś nowego czy zaskakującego 26. Najlepiej otrzymane wyniki wyszukiwania obrazuje zdanie Google powie nam to, co chcemy usłyszeć
27.
Coraz częściej28 na zakupy udajemy się do sklepów internetowych, które ze względu prawo odstąpienia od umowy29 oraz bogactwo wyboru stały się atrakcyjną alternatywą dla tradycyjnych punktów handlowych. W każdym z tych sklepów musimy podać informacje osobiste tj. imię i nazwisko, e-mail, adres dostawy. Na podstawie historii naszych zakupów przedsiębiorstwo poznaje nasze preferencje zakupowe, co w połączeniu z innymi zebranymi o nas danymi służy jeszcze dokładniejszemu profilowaniu naszej osoby.
Wszystkie opisane w tym rozdziale zmiany w naszych zachowaniach i przyzwyczajeniach spowodowały, iż codzienność związana z przetwarzaniem informacji przeniosła się do globalnej sieci. Informacje, które tam znajdujemy oraz publikujemy pomagają nam w pracy i życiu codziennym, ale mogą również zostać wykorzystane przeciwko nam lub w sposób, którego nie akceptujemy.
1.3. Gwałtowny rozwój i wzrost znaczenia spółek technologicznych
Według raportu miesięcznika Forbes30 w 2018 r. 5 przedsiębiorstw o największej wartości rynkowej to Apple, Amazon.com, Alphabet (Google), Microsoft i Facebook. Działają one w obszarze nowoczesnych technologii, a w okresie ostatnich 20 lat dynamicznie się rozwijały i zdobyły dominującą pozycję na rynku. Jednocześnie wszystkie z nich zajmują się przetwarzaniem danych osobowych, a dla firm Alphabet i Facebook, wykorzystanie danych użytkowników stanowi podstawowe źródło przychodów. Firmy te posiadają ogromną ilość bardzo szczegółowych informacji o użytkownikach internetu, które zostały zebrane w przeciągu ostatnich dwóch dekad.
Przykładem tych danych są:
- imię, nazwisko, numer telefonu,
- wyszukiwane w internecie informacje,
- miejsca w których byliśmy (na podstawie lokalizacji w telefonie),
- historia przeglądanych stron internetowych,
- historia naszych zakupów internetowych.
Obecnie dane osobowe stały się „cyfrową walutą”, którą użytkownicy internetu płacą za teoretycznie darmowe usługi. Pozyskane w ten sposób informacje mają ogromną wartość ekonomiczną. Według badań wartość danych obywateli UE w 2011 r. wynosiła 315 mld, a do 2020 r. może wzrosnąć do blisko 1 bln euro rocznie31. Należy podkreślić, że w przypadku braku skutecznej ochrony prawnej zebrane dane będą mogły zostać wykorzystane w nieznanym dzisiaj celu, a decyzja o ich wykorzystaniu będzie oparta tylko na rachunku ekonomicznym podmiotu będącego w ich posiadaniu.
Wielkie firmy internetowe przetwarzają dane użytkowników poza granicami Unii Europejskiej, co wpływa na wzrost niepewności osób, których te dane dotyczą. Przykładem są tutaj transfery danych do Stanów Zjednoczonych, w których podejście do ochrony prywatności różni się znacznie od europejskiego. Mamy tam do czynienia z różnymi przepisami sektorowymi, brak jest natomiast regulacji o charakterze nadrzędnym wiążącym wszystkie podmioty prywatne i publiczne.
Tą różnicę w podejściu ukazują działania operatorów telekomunikacyjnych na terenie Stanów Zjednoczonych. Jak ustalił reporter portalu internetowego motherboard32 operatorzy sieci komórkowych sprzedają dane o lokalizacji osób fizycznych różnym podmiotom gospodarczym bez wiedzy i zgody osób, których te dane dotyczą. Działania te pomimo bardzo poważnego naruszenia prywatności nie są nielegalne w świetle amerykańskiego prawa.
Według najnowszych statystyk w Europie wyszukiwarka Google ma 93,5% udziału wśród wszystkich dostawców wyszukiwania33, a pośród mediów społecznościowych dominującą pozycję zdobył Facebook z wynikiem 74,82%34. Jest oczywiste, że te dynamicznie rozwijające się firmy z obszaru nowych technologii i internetu są prawie monopolistami. W związku z tym pojawiają się obawy o konkurencję w obszarze usług internetowych. Komisja Europejska bada różne praktyki biznesowe Google, eBay oraz innych znanych spółek internetowych, a konsumenci wydają się być coraz sceptyczniej nastawieni do siły rynkowej firm takich jak Facebook. Ponieważ działania tych przedsiębiorstw coraz częściej spotykają się z podejrzeniami organów ds. konkurencji i organizacji ds. ochrony konsumentów, nasuwa się oczywiste pytanie czy obecne narzędzia prawa są wystarczające, aby zaradzić obawom o stan konkurencji na rynku platform cyfrowych35.
Komisja Europejska rozpoczęła w 2010 r. szerokie dochodzenie antymonopolowe zarzucając Google, iż nadużywając swojej dominującej pozycji na rynku manipuluje wynikami wyszukiwania. W 2012 r. przedstawiono cztery zarzuty:
- Zwodnicze wyświetlanie wyników: „Google wyświetla w ogólnych wynikach wyszukiwania odnośniki do własnych usług, a nie do konkurentów.”.
- Nieautoryzowane pobieranie treści: „Sposób, w jaki Google kopiuje zawartość z konkurencyjnych usług i wykorzystuje je we własnej ofercie.”.
- Wyłączność w umowach reklamowych: „Umowy pomiędzy Google a stronami partnerów, na których Google wyświetla reklamy. [...] W wyniku porozumień partnerzy otrzymują de facto wyłączność.”.
- Przenośność danych kampanii reklamowych: „Nakładane przez Google ograniczenia powodują, że danych z kampanii w produkcie Google AdWords nie można przenieść swobodnie do produktów konkurencji.”.
W wyniku prowadzonych postępowań Komisja Europejska nałożyła w czerwcu 2017 r. na Google karę w wysokości 2,4236 mld euro za „nadużywanie pozycji dominującej jako wyszukiwarki (…)” oraz w lipcu 2018 r. w wysokości 4,3437 mld euro za „nielegalne praktyki dotyczące urządzeń mobilnych z systemem Android (…)”.
W wielu krajach na całym świecie prowadzone są postępowania władz oraz procesy sądowe przeciwko technologicznym gigantom. Dotyczą one na ogół nadużywania dominującej pozycji na rynku, naruszania prywatności użytkowników oraz niewłaściwego wykorzystywania ich danych. Owocem jednego z nich był przełomowy wyrok TSUE38 z 2014 r. w sprawie Mario Costeja González przeciwko Google Inc. W sentencji orzeczono, że „operator wyszukiwarki internetowej jest odpowiedzialny za przetwarzanie danych osobowych, które znajdują się w wynikach wyszukiwania”39. Ten bezprecedensowy wyrok dał prawo osobom prywatnym do bycia zapomnianym w internecie i stał się drogowskazem określającym kierunek prawodawstwa40.
Niemiecki urząd ochrony konkurencji „Bundeskartellamt” w lutym 2019 r. w wydanym komunikacie nakazał firmie Facebook Inc. zaprzestania łączenia danych użytkowników z odrębnych aplikacji, tj. WhatsApp, Instagram oraz witryn internetowych stron trzecich bez wyraźnej zgody użytkownika. Wskazano, że jako podmiot dominujący w praktyce nie daje wyboru swoim użytkownikom, zmuszając ich do zaakceptowania regulaminu. Podkreślono również, że istnieje ryzyko utraty kontroli nad zgromadzonymi informacjami i użytkownicy nie będą mieli możliwości sprawdzenia źródeł ani sposobów wykorzystywania danych na ich temat41.
Wydarzeniem pokazującym ogromną władzę oraz zagrożenie ze strony firm technologicznych gromadzących i przetwarzających prywatne dane użytkowników było ujawnienie tzw. „Skandalu Facebook - Cambridge Analytica”. Opinia publiczna na początku 2018 r. dowiedziała się, że w latach 2007-2014 firma Cambridge Analytica uzyskiwała dostęp do danych 87 mln użytkowników platformy Facebook i wykorzystywała je do marketingu politycznego. Dostęp do danych został pozyskany bez zgody oraz wiedzy użytkowników, a działania firmy miały na celu manipulowanie wyborcami i jak oceniają eksperci oraz dziennikarze mogą być realnym zagrożeniem dla procesów demokratycznych42. W wyniku ujawnienia skandalu podjęte zostały dochodzenia w Stanach Zjednoczonych oraz Europie, a prezes Facebook Inc. został przesłuchany przed Kongresem USA i Parlamentem Europejskim. Brytyjski organ do spraw ochrony danych nałożył na amerykański koncern karę w wysokości 500 tys. funtów, co było najwyższą możliwą kwotą w ramach regulacji obowiązujących w marcu 2018 r. Należy w tym miejscu wskazać, iż gdyby to naruszenie nastąpiło po 25 maja 2018 r. jego potencjalne konsekwencje mogły by być dla firmy znacznie dotkliwsze, co zostanie omówione w dalszej części niniejszej pracy.
Zachodzące zmiany w procesach gospodarczych, gdzie największą wartością dla przedsiębiorstw są informacje o użytkownikach i ich zachowaniach zaczęto nazywać „Kapitalizmem inwigilacyjnym”. W swojej książce43 Shoshana Zuboff definiuje to zjawisko jako „Jednostronne zbieranie ludzkich doświadczeń celem zamiany w dane behawioralne”. Jest to drapieżcza mutacja kapitalizmu w której porządek ekonomiczny oparty jest na nadzorze jednostek i przewidywaniu ich zachowań celem osiągnięcia korzyści ekonomicznych przez przedsiębiorstwa.
Liczba dochodzeń oraz postępowań prowadzonych przeciwko technologicznym potentatom przez organy administracyjne wielu krajów w związku z naruszaniem prywatnych danych użytkowników oraz nadużywaniem dominującej pozycji na rynku wskazuje na powagę sytuacji i coraz większą świadomość regulatorów oraz obywateli. Ogromna ilość danych o osobach prywatnych, która jest przetwarzana przez dominujące spółki technologiczne na nieuregulowanym rynku stanowi realne zagrożenie dla prywatności obywateli i wymagało to wdrożenia skutecznej ochrony prawnej.
1.4. Ustanowienie unijnych norm prawnych celem poprawy zaufania obywateli do ochrony ich danych osobowych
Karta praw podstawowych UE w art. 8 uznaje niezależne prawo każdego do ochrony swoich danych osobowych, określa zasady przetwarzania tych danych oraz ustanawia kontrolę przestrzegania tych zasad przez niezależny organ44. Jednocześnie wprowadzono nową podstawę prawną w postaci artykułu 16 TFUE, który umożliwia UE ustanowienie całościowych i spójnych przepisów o ochronie danych osób fizycznych oraz ich swobodnego przepływu45. Europejski Inspektor Ochrony Danych w swojej opinii wskazał, iż wyzwania są olbrzymie i należy podjąć ambitne działania w celu zreformowania europejskiego prawa46. Na bazie tych regulacji oraz przeprowadzonych konsultacji Komisja Europejska przyznała najwyższy priorytet kwestii poszanowania prawa do ochrony danych, co rozpoczęło proces legislacyjny dla nowych ram prawnych.
Pomimo obowiązywania dyrektywy 95/46/WE przepisy wdrożone w państwach członkowski miały istotne rozbieżności w związku z czym administratorzy danych byli zmuszeni do radzenia sobie z 27 różnymi systemami krajowymi. Powodowało to rozdrobnienie otoczenia prawnego oraz skutkowało brakiem pewności prawnej i nierówną ochroną osób fizycznych. Ta sytuacja prowadziła do zbędnych kosztów oraz obciążeń przedsiębiorców, stanowiąc jednocześnie czynnik zniechęcający do poszerzania ich działalności na rynki innych krajów UE. Przyjęcie jednolitych norm prawnych na terenie wspólnoty w ocenie unijnych ustawodawców będzie skutkować ograniczeniem możliwości sprzecznej interpretacji i nieuzasadnionych różnic w obszarze wdrażania i egzekwowania prawa.
Społeczeństwo informacyjne nie jest już środowiskiem równoległym, w którym można uczestniczyć na zasadzie dobrowolności, lecz stało się integralną częścią naszej codzienności. Technologia będzie się cały czas rozwijać, dlatego normy prawne muszą być neutralne pod względem technologicznym, obowiązywać przez wiele lat i nie stawać na drodze postępu technologicznego.
Kolejnym wyzwaniem dla skutecznej ochrony były różnice w prawodawstwie UE oraz krajów spoza wspólnoty co nie gwarantowało odpowiedniego poziomu ochrony danych. W 2000 r. opracowano program Safe Harbour („bezpieczna przystań”), a uzyskanie certyfikatu przez uczestniczące w nim podmioty miało zagwarantować z ich strony odpowiednią ochronę danych osobowych. Praktyka pokazała wiele słabości w funkcjonowaniu programu i przestrzeganiu jego zasad, a ponadto przekazanie danych do certyfikowanego podmiotu nie gwarantowało, że nie będą one użyte w niewłaściwy sposób np. przez organy ścigania. W dniu 6 października 2015 r. TSUE wydał doniosły wyrok47 w którym stwierdził nieważność decyzji Komisji Europejskiej w sprawie zasad ochrony prywatności w ramach „bezpiecznej przystani”, co skutkowało koniecznością wypracowania nowych prawnych rozwiązań.
Instytucje rządowe oraz wymiar sprawiedliwości przetwarzają coraz więcej danych o swoich obywatelach w celu realizacji interesów publicznych, takich jak zapewnienie bezpieczeństwa, skuteczny pobór danin, ochrona zdrowia czy poprawa obsługi w placówkach administracji lokalnej. W społeczeństwach demokratycznych rządy są odpowiedzialne za podejmowane działania, w tym również za wykorzystywanie danych osobowych do ich realizacji. Jedną z problematycznych i wymagających uregulowania kwestii było zbieranie i użycie danych pobranych z urządzeń monitoringu wizyjnego w przestrzeni publicznej. W Polsce kamery monitoringu można spotkać wszędzie: w szkołach, urzędach, na ulicach, szpitalach czy obiektach sportowych. Monitorowanie zachowań osób, chociaż uzasadnione ze względów bezpieczeństwa narusza prywatność i jako takie powinno podlegać kompleksowej regulacji tego zagadnienia.
Poszanowanie zasad ochrony powinno gwarantować, że organy ścigania działają w sposób praworządny, co ustanawia zaufanie do ich działalności. Objęcie Policji, wymiaru sprawiedliwości oraz instytucji publicznych zakresem ogólnego rozporządzenia daje więcej gwarancji obywatelom odnośnie poziomu ochrony w zakresie przetwarzania ich danych. Dotyczy to w szczególności zasady przetwarzania tylko danych istotnych z punktu widzenia statutowych celów działalności organów administracji publicznej. W opinii EIOD48 kompleksowy instrument ochrony danych obejmujący współpracę policji i wymiarów sprawiedliwości jest conditio sine qua non skutecznej ochrony danych49.
Jednym z bardzo istotnych elementów rozwoju gospodarczego jest zaufanie obywateli do internetu. Brak zaufania powoduje, że konsumenci nie mają pewności czy dokonywać zakupów w globalnej sieci i korzystać z usług online w tym elektronicznych usług organów administracji publicznej. Według badań Eurobarometru z 2015 r.50 dwie trzecie respondentów (67%) stwierdziło, iż martwi je fakt braku kontroli nad informacjami, które podają w internecie, jedynie 15% uważa, że ma nad nimi pełną kontrolę, a 31% sądzi, że nie posiada żadnej kontroli. Ponad sześciu na dziesięciu ankietowanych wskazało, że nie ufa firmom internetowym (63%) i firmom telekomunikacyjnym oraz dostawcom usługi internetu (62%). Dziewięciu na dziesięciu Europejczyków uważa za ważne posiadanie takiej samej ochrony ich prywatnych danych niezależnie od miejsca, w którym znajduje się organizacja przetwarzająca.
Ankietowani obywatele mają również poważne obawy odnośnie konsekwencji gromadzenia, przetwarzania oraz wykorzystywania ich danych. Aż siedem na dziesięć osób obawia się, że ich dane zostaną wykorzystane w innych celach niż ten, dla którego je podali. Ten brak zaufania spowalnia rozwój innowacyjnego wykorzystania nowych technologii, stanowi barierę dla wzrostu gospodarczego, a sektorowi publicznemu uniemożliwia czerpanie potencjalnych korzyści z cyfryzacji.
W świetle wyzwań i kwestii zarysowanych powyżej oraz na podstawie kompetencji zdefiniowanych w Traktatach, Unia Europejska zdecydowała się na podjęcie kroków celem ustanowienia nowych norm prawnych w obszarze ochrony danych osobowych oraz prywatności dla wszystkich obywateli wspólnoty. Zgodnie z zasadą pomocniczości (art. 5 ust. 3 TFUE), Unia podejmuje kroki jedynie wówczas, gdy osiągnięcie zamierzonych celów nie może być osiągnięte w sposób wystarczający przez państwa członkowskie lub ich osiągnięcie jest skuteczniejsze na poziomie Unii. Działanie na szczeblu UE było niezbędne, żeby zapewnić jednolitość prawodawstwa wewnątrz wspólnoty i zagwarantować wiarygodność oraz adekwatny do wyzwań poziom ochrony w zglobalizowanym świecie.
Celem realizacji tego zadania przyjęto trzy główne cele:51
- zwiększenie wymiaru ochrony danych,
- podwyższenie skuteczności podstawowego prawa do ochrony danych i umożliwienie osobom fizycznym kontrolę ich danych,
- zwiększenie spójności unijnych ram ochrony danych.
Na podstawie zdefiniowanych celów Unia Europejska podjęła proces legislacyjny, którego przedmiotem było stworzenie nowego prawa, a wynikiem wejście w życie od 25 maja 2018 r. ogólnego rozporządzenia o ochronie danych 2016/679 zwanego w skrócie RODO. Ilekroć w niniejszej pracy jest mowa o rozporządzeniu to chodzi o RODO.
Rozdział 2 Zagadnienia podstawowe z zakresu ochrony danych osobowych
2.1. Istota prawa do prywatności i jego podstawa prawna
Precyzyjne zdefiniowanie prawa do prywatności jest zadaniem w praktyce niewykonalnym. Nieustannie zmieniająca się sytuacja społeczna, globalizacja, a ostatnio gwałtowny rozwój technologii informatycznych powodują, że zakres tego co „prywatne” również nieustannie się zmienia52. Prawo do prywatności pojawiło się w języku prawniczym dopiero u schyłku XIX wieku i jest jednomyślnie przypisywane przełomowemu artykułowi Samuela D. Warrena i Louisa D. Brandeisa opublikowanemu w 1890 r. w „Harvard Law Review”53.
Współcześni autorzy różnią się w swoich opisach prywatności i tak A. Kopff opisuje ją w sposób następujący to wszystko, co ze względu na uzasadnione odosobnienie się jednostki od ogółu służy jej do rozwoju fizycznej lub psychicznej osobowości oraz zachowania osiągniętej pozycji społecznej
54. Znana ze swojej zwięzłości jest podana przez Thomasa Cooleya, a upowszechniona przez Samuela D. Warrena i Louisa D. Brandeisa, definicja określająca prywatność jako prawo do „bycia pozostawionym w spokoju”55. M. Chrabonszczewski charakteryzuje prywatność jako „regulowanie swojej osoby dla innych”56 w obszarze fizycznym oraz metafizycznym, co symbolizuje nietykalność fizyczną i prawo do nieujawniania swoich myśli, przeżyć i poglądów. Ta garść przykładów pokazuje, że nie ma definicji prywatności, a teoretycy próbują opisywać ją według własnych poglądów na ten temat.
W wyroku z dnia 19 maja 1998 r. Trybunał Konstytucyjny zważył: „W doktrynie na ogół przyjmuje się, że prywatność odnosi się m.in. do ochrony informacji dotyczących danej osoby i gwarancji pewnego stanu niezależności, w ramach której człowiek może decydować o zakresie i zasięgu udostępniania i komunikowania innym osobom informacji o swoim życiu”57.
Związana z tematyką niniejszej pracy jest dość kontrowersyjna wypowiedź szefa jednej z największych korporacji przetwarzającej nasze dane osobowe Google Inc. Eric Smidt w wywiadzie powiedział: „Jeśli chcesz coś ukryć przed innymi, może przede wszystkim nie powinieneś tego robić”58. Z prywatności jako burżuazyjnego kaprysu kpił Karol Maks, a Stefan Żeromski w Przedwiośniu ukazuje nam szklane domy wykluczające prywatność.
Powszechna ochrona prawa do prywatności pojawiła się w XX wieku. Wpłynęły na to bolesne doświadczenia Drugiej Wojny Światowej, które ukazały niebezpieczeństwo związane z upublicznianiem informacji o swoim wyznaniu, poglądach, pochodzeniu, a nawet tym kogo zapraszamy do domu. Co więcej bardzo groźne okazały się wszelkiego rodzaju rejestry obywateli prowadzone przez administrację publiczną, które zostały następnie przejęte przez najeźdźców. Te doświadczenia przyczyniły się do umieszczenia ochrony życia prywatnego w Powszechnej deklaracji praw człowieka ONZ z 1948 r.
W państwach członkowskich Unii Europejskiej obszar prywatności chroni obowiązująca od 1953 r. Europejska Konwencja Praw Człowieka. Każdy Europejczyk zgodnie z art. 8 ma prawo do „poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji”. Ważnym elementem ochrony jest przyznane pokrzywdzonej jednostce prawo skargi do Europejskiego Trybunału Praw Człowieka w Strasburgu.
W związku z bardzo ogólnym sformułowaniem prawa do prywatności w EKCP59 niebagatelne znaczenie w wyznaczaniu zakresu ochrony prywatności ma orzecznictwo TSUE. Trybunał wypowiadał się w kwestiach dotyczących prywatności wielokrotnie, a przykładowe rozstrzygnięcia to wyrok z 1982 r. AM & S Europe Limited przeciwko Komisji Wspólnot Europejskich, w którym wskazano jako niedopuszczalne naruszenie tajemnicy korespondencji60, oraz przytoczone tu już orzeczenie z 2014 r. określane jako „prawo do bycia zapomnianym”.
Prawo do prywatności to kontrola nad informacjami o sobie i swoich działaniach, oraz wiedza kto i w jakim zakresie posiada te informacje61. W demokratycznym społeczeństwie oraz współczesnej globalnej gospodarce obywatele potrzebują silnej bariery pomiędzy nimi, a niezwykle potężnymi organizacjami w ich otoczeniu. Prywatność jest kluczową barierą pomiędzy jednostką a społeczeństwem, przedsiębiorcami oraz organami państwa.
2.2. Ochrona danych osobowych rys historyczny
Z pojęciem prywatności nierozerwalnie związane są dane osobowe obywateli oraz ich ochrona na gruncie prawnym. Za dane osobowe przyjmuje się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Definicja oraz jej źródło zostanie szerzej omówiona w dalszej części pracy, w tym miejscu przyjrzymy się historii ochrony danych osobowych w regulacjach prawnych.
Najstarszym aktem prawnym rozlegle regulującym tematykę ochrony danych osobowych jest Konwencja Nr 108 Rady Europy sporządzona w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Jej przedmiotem i celem zapisanym w artykule 1 jest „zapewnienie każdej osobie fizycznej, (…) poszanowania jej praw, (…) a w szczególności jej prawa do prywatności w związku z automatycznym przetwarzaniem dotyczących jej danych osobowych („ochrona danych”)”. Została ona podpisana przez Polskę 24 kwietnia 1999 r. i ratyfikowana w maju 2002 r62.
Początkowo Unia Europejska nie widziała potrzeby wprowadzenia jednolitych regulacji w obszarze ochrony danych osobowych w aktach prawa krajowego, postulując jedynie, aby państwa członkowskie ratyfikowały Konwencję Nr 108. Praktyka pokazała istotne rozbieżności w ustawodawstwach państw Unii, co spowodowało konieczność ich ujednolicenia. Zasadniczym celem regulacji było zapewnienie minimalnego poziomu ochrony danych osobowych przetwarzanych w zbiorach oraz zapewnienie ich swobodnego przepływu pośród krajów członkowskich. Po 5 latach prac wydano Dyrektywę Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych.
W Polsce przed wprowadzeniem Konstytucji z dnia 2 kwietnia 1997 r. doktryna i orzecznictwo rozstrzygały kwestie ochrony danych osobowych jednostki na gruncie art. 23 i 24 k.c. Istnienie prawa do prywatności zostało również potwierdzone m.in. w wyroku Sądu Najwyższego z dnia 8 kwietnia 1994 r. w którym powołano się na art. 8 ratyfikowanej przez Polskę Konwencji o Podstawowych Prawach i Wolnościach Człowieka. Wskazano w nim, iż Styl życia, osobiste upodobania, przejawy kultury obyczajowej w najrozmaitszych zakresach (…) z pewnością należą do prywatnej sfery życia obywateli
63.
Polska pierwsze gwarancje ochrony danych osobowych zapewniła obywatelom w Konstytucji z dnia 2 kwietnia 1997 r. Jej art. 47 gwarantuje każdemu prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym. W art. 57 unormowano działania władz publicznych, a w szczególności ograniczono możliwość pozyskiwania i przetwarzania informacji o obywatelach poza zakres niezbędny w demokratycznym państwie prawnym.
Wdrażając wytyczne Unii Europejskiej, Polska uszczegółowiła zapisane w konstytucji prawo do decydowania o naszych danych osobowych implementując dyrektywę 95/46/WE co nastąpiło ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych64. Ustawa wprowadziła normy prawne służące ochronie danych osobowych, a jej przepisy obowiązywały od dnia 30 kwietnia 1998 r do 24 maja 2018 r.
Podejmując wyzwania związane z globalizacją i gwałtownym rozwojem technologicznym Unia Europejska zdecydowała o przeprowadzeniu kolejnej reformy ustawodawstwa w zakresie ochrony danych osobowych. Parlament Europejski przyjął w dniu 14 kwietnia 2016 r. rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływ takich danych oraz uchylił dyrektywę 95/46/WE. Od dnia 25 maja 2018 r. rozporządzenie zwane potocznie RODO stosowane jest bezpośrednio i obejmuje swoją ochroną mieszkańców UE. Najważniejszą zmianą w stosunku do dotychczasowych regulacji jest przeniesienie ciężaru odpowiedzialności za przestrzeganie zasad i obowiązków na administratorów danych osobowych oraz surowe kary.
Według stanu z maja 2019 r. w Polsce obowiązują następujące źródła prawa w zakresie ochrony danych osobowych oraz ich przepływu:
- RODO - regulacja obowiązująca bezpośrednio w całej UE i będąca podstawowym źródłem praw i obowiązków w zakresie przetwarzania danych;
- ustawa z 10 maja 2018 r. o ochronie danych osobowych65. Jej głównym zadaniem jest uregulowanie kwestii proceduralnych krajowego organu nadzorczego, wyłączenie stosowania przepisów unijnych w dozwolonych obszarach oraz unormowanie procedur certyfikacyjnych;
- ustawa z 14 grudnia 2018 r. wdrażająca dyrektywę 2016/68066, zwana potocznie „policyjną”. Reguluje zasady ochrony danych osobowych m.in. w odniesieniu do czynności śledczo-dochodzeniowych, operacyjno-rozpoznawczych i administracyjno-porządkowych związanych z wykrywaniem, zapobieganiem i zwalczaniem przestępczości;
- ustawa z 9 maja 2018 r. o przetwarzaniu danych dotyczących przelotu pasażera67;
- ustawa z dnia 21 lutego 2019 r. o zmianie 168 ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r68. Jest to ustawa dostosowująca polski porządek prawny do RODO m.in. przez usunięcie sprzecznych lub powielających rozwiązania RODO przepisów. Obowiązuje od 4 maja 2019 r.
Jak możemy to prześledzić na schemacie nr 1 ochrona prawna danych osobowych i prywatności ma ponad stuletnią historię. Najważniejsze akty prawne zostały uchwalone po doświadczeniach Drugiej Wojny Światowej. Pomimo nieustannego wzmacniania zakresu ochrony przez regulacje, skala zbierania i przetwarzania danych jednostek wzrastała lawinowo. Spowodował to przede wszystkim postęp technologiczny w XXI wieku, za którym próbuje nadążać uchwalane prawo. RODO jest najnowszą próbą przywrócenia przez Unię Europejską równowagi pomiędzy obywatelami, a organizacjami przetwarzającymi ich dane.
2.3. Podstawowe reguły RODO oraz nowa ustawa o ochronie danych osobowych
RODO jest aktem prawnym szeroko regulującym kwestię ochrony prywatności i danych osobowych. Został przyjęty przez Unię Europejską w formie rozporządzenia i dotyczy bezpośrednio każdej organizacji przetwarzającej dane obywateli UE. Regulacja stanowi przełom w ochronie danych ze względu na nowe obowiązki podmiotów przetwarzających dane osobowe oraz surowe kary. Fundamentem rozporządzenia jest podejście oparte na ryzyku oraz zasada rozliczalności, co stanowi nie lada wyzwanie, gdyż zawarte w nim normy są bardzo ogólne i jako źródło powszechnie obowiązującego prawa, pozostawia szerokie pole do interpretacji zawartych w nim regulacji.
RODO jest bardzo złożone i wymagające. Nakłada surowe kary za nieprzestrzeganie wysoce niejasnych69 przepisów na wszystkie organizacje przetwarzające dane osobowe. Przyjrzyjmy się 4 wiodącym cechom RODO, a są to:
- wymierność,
- ogólnikowość,
- surowość,
- domniemanie winy.
Wymierność w rozporządzeniu przejawia się przede wszystkim bezpośrednim zdefiniowaniem terminów na obsługę ważnych z punktu widzenia chronionych jednostek terminów. Przedsiębiorca w ciągu miesiąca ma obowiązek udzielić odpowiedzi osobom żądającym realizacji ich uprawnień, takich jak przedstawienie raportu o zakresie i celu przetwarzania ich danych czy wniosku o usunięcie danych. Termin może zostać wydłużony maksymalnie o kolejne dwa miesiące. Obowiązkowe przedłożenie informacji o naruszeniu ochrony danych osobowych organowi nadzorczemu organizacja musi spełnić do 72 godzin od chwili jego wykrycia. Te obowiązki wymagają od administratorów zapewnienia odpowiednich zasobów na obsługę procesów związanych z ochroną danych osobowych.
Ogólnikowość przejawia się brakiem precyzyjnie zdefiniowanych norm wyjaśniających obowiązki ciążące na podmiotach przetwarzających dane. Sformułowane w rozporządzeniu zasady pozostawiają szerokie pole interpretacji co do sposobów realizacji jego wymogów. Nakłada to na administratorów oraz podmioty przetwarzające trudny obowiązek analizy ogólnych norm i dostosowania procesów wewnątrz organizacji według własnych subiektywnych ocen.
Surowość RODO to gigantyczny pułap kar pieniężnych, które mogą być potencjalnie nałożone za naruszenie postanowień rozporządzenia. Zgodnie z art. 83 ust. 1 kary powinny być określane indywidualnie dla każdego przypadku, a ich celem jest skuteczność, proporcjonalność i odstraszanie. RODO wprowadza dwa zakresy kar:
- do 10 mln euro, lub 2% całkowitego rocznego obrotu, jeśli przekracza to 10 mln euro za naruszenie obowiązków zdefiniowanych w poszczególnych artykułach rozporządzenia,
- do 20 mln euro, lub 4% całkowitego rocznego obrotu, jeśli przekracza to 20 mln euro m.in. za naruszenie podstawowych zasad przetwarzania oraz praw osób, których te dane dotyczą.
Nieuchronność kar70 wymaga od organizacji odpowiedzialnego podejścia do kwestii ochrony danych osobowych i przeznaczenia zasobów na niezbędne działania.
Domniemanie winy administratora lub podmiotu przetwarzającego należy wnioskować z treści art. 5, art. 24 oraz art. 82 RODO. Wynika z nich, iż to organizacja musi udowodnić, że przestrzega norm zawartych w rozporządzeniu. Przykładem jest zapis z art. 82 ust. 3 w którym użyte jest sformułowanie jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody
. Takie zapisy jednoznacznie wskazują, iż celem nowej regulacji jest wzmocnienie pozycji organów kontrolujących przestrzeganie zasad rozporządzenia oraz przeniesienie ciężaru dowodowego na administratorów i podmioty przetwarzające dane osobowe.
RODO to 88 stron, na które składa się preambuła oraz jedenaście rozdziałów. Ich lista wraz z wybranymi zagadnieniami jest przedstawiona w poniższej tabeli.
Rozdział | Wybrane zagadnienia |
---|---|
I. Przepisy ogólne | Art. 1 – Art. 4 Określenie przedmiotu i celów, materialny i terytorialny zakres stosowania, definicje. |
II. Zasady | Art. 5 – Art. 11 Podstawowe zasady przetwarzania danych, zgodność z prawem, przejrzystość, aktualność, okres przechowywania. Zasady wyrażania zgody przez jednostki. Przetwarzanie danych szczególnych kategorii. |
III. Prawa osoby, której dane dotyczą | Art. 12 – Art. 23 Prawo do informacji o zbieraniu danych, prawo dostępu do danych, prawo do usunięcia danych (bycie zapomnianym), prawo do ograniczenia przetwarzania, prawo sprzeciwu wobec przetwarzania, prawo do bycia obsłużonym. |
IV. Administrator i podmiot przetwarzający | Art. 24 – Art. 43 Obowiązki administratorów danych, podejście oparte na analizie ryzyka, uwzględnienie ochrony danych w fazie projektowania, odpowiedzialność podmiotów przetwarzających, rejestrowanie czynności przetwarzania, współpraca z organem nadzorczym. Zapewnienie poufności, integralności, dostępności i odporności systemów. Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadamianie osoby, której dane dotyczą. Ocena skutków dla ochrony danych. Wyznaczanie inspektora ochrony danych, jego status i zadania. Kodeksy postępowania i certyfikacja. |
V. Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych | Art. 44 – Art. 50 Eksport danych poza UE. Zasady przekazywania danych osobowych do państw trzecich, przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń, wiążące reguły korporacyjne, wyjątkowe sytuacje eksportu danych. Międzynarodowa współpraca na rzecz ochrony danych osobowych. |
VI. Niezależne organy nadzorcze | Art. 51 – Art. 58 Status, niezależność, ogólne warunki, zadania, uprawnienia organu nadzorczego. Zasady sporządzania sprawozdań z działalności organu nadzorczego. |
VII. Współpraca i spójność | Art. 59 – Art. 76 Współpraca i wzajemna pomoc między wiodącym organem nadzorczym, a innymi organami nadzorczymi. Istota, rola i zadania Europejskiej Rady Ochrony Danych. |
VIII. Środki ochrony prawnej, odpowiedzialność i sankcje | Art. 77 – Art. 84 Prawo do wniesienia skargi do organu nadzorczego, prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu, prawo do skutecznego środka ochrony prawnej przeciwko administratorowi, prawo do odszkodowania, administracyjne kary pieniężne. |
IX. Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem | Art. 85 – Art. 91 Przetwarzanie dla potrzeb dziennikarskich oraz do celów wypowiedzi akademickiej, artystycznej i literackiej. Zasady przetwarzania dokumentów urzędowych, związanych z zatrudnieniem, do celów archiwalnych w interesie publicznym, badań naukowych lub historycznych i statystycznych. |
X. Akty delegowane i akty wykonawcze | Art. 92 – Art. 93 Określenie warunków powierzania Komisji Europejskiej uprawnień do przyjęcia aktów delegowanych oraz procedura komitetowa. |
XI. Przepisy końcowe | Art. 94 – Art. 99 Uchylenie dotychczas obowiązującej dyrektywy 95/46/WE. Zasady przedkładania sprawozdania Komisji z oceny i przeglądu rozporządzenia. Stosowanie rozporządzania bezpośrednio we wszystkich państwach członkowskich od dnia 25 maja 2018 r. |
Unijne rozporządzenie pozostawiło pewne obszary z zakresu ochrony danych osobowych do uzupełnienia i uszczegółowienia przez regulacje krajów członkowskich. Krajowa ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych zawiera:
- w zakresie ochrony danych osobowych niewielkie uzupełnienia w stosunku do RODO,
- wyłączenia dotyczące m.in. twórczej działalności artystycznej, prasowej i literackiej,
- dostosowanie prawa do zmiany organu nadzorczego z GIODO na Prezesa Urzędu Ochrony Danych Osobowych (PUODO),
- ograniczenie wysokości kar administracyjnych nakładanych na niektóre jednostki budżetowe,
- sposób wyznaczania inspektora ochrony danych osobowych,
- zasady certyfikacji o których mowa w art. 42 RODO.
Jest to typowa ustawa uzupełniająca w stosunku do RODO, a jej regulacje nie mogą stać w sprzeczności z unijnym rozporządzeniem.
2.4. Najważniejsze pojęcia RODO
W niniejszym rozdziale zostaną omówione najważniejsze pojęcia RODO niezbędne w dalszej analizie rozporządzenia. Ogólne rozporządzenie o ochronie danych jest pełne ogólnikowych sformułowań i często brak w nim definicji poszczególnych zagadnień. W takich przypadkach będziemy się wspomagać innymi źródłami, takimi jak wyroki sądowe, rekomendacje organizacji i regulatorów, doktryna oraz stosowana praktyka.
Administrator to osoba fizyczna lub prawna, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych oraz odpowiada za zgodność z zasadami ochrony. Przykłady statusu administratora to np. dostawcy usług telekomunikacyjnych, biuro podróży, portal społecznościowy czy adwokat reprezentujący swojego klienta w sądzie71 jak również operator wyszukiwarki internetowej w stosunku do informacji zawierających dane osobowe, co potwierdził TSUE w przytaczanym już w niniejszej pracy wyroku C-131/12.
Analiza ryzyka to oszacowanie zagrożeń naruszenia praw lub wolności osób fizycznych w związku z przetwarzaniem ich danych. Administrator musi samodzielnie ocenić zagrożenia oraz prawdopodobieństwo naruszenia bezpieczeństwa i zastosować adekwatną ochronę danych. Pomocny w ocenie jest motyw 75 z preambuły RODO, który wskazuje na szczególne zagrożenia dla praw lub wolności osób, których dane dotyczą. Wymienia się w nim sytuacje, które mogą skutkować m.in.: dyskryminacją, kradzieżą tożsamości, stratą finansową, naruszeniem dobrego imienia naruszeniem poufności danych chronionych tajemnicą zawodową.
Anonimizacja to proces nieodwracalnego przetworzenia danych osobowych, którego celem jest uniemożliwienie bezpośredniej lub pośredniej identyfikacji osób, których dane poddano temu procesowi. W rozporządzeniu nie znajdziemy definicji anonimizacji72.
Czynność przetwarzania danych nie została zdefiniowana w rozporządzeniu pomimo wielokrotnego posługiwania się tym terminem. Na czynności przetwarzania składają się operacje przetwarzania danych, które również nie zostały zdefiniowane w RODO. Rozporządzenie wymienia natomiast ich listę, na którą składa się m.in. zbieranie, przechowywanie, zmienianie, udostępnianie i usuwanie. W publikacjach i komentarzach zgodnie podkreśla się, że czynności przetwarzania to operacje na danych, które realizują jeden cel przetwarzania73. Podmiot przetwarzający dane powinien na podstawie celów zdefiniować czynności przetwarzania kierując się logiką wewnętrznych procesów organizacji lub skorzystać z rekomendacji publikowanych przez regulatorów.
Dane osobowe zgodnie z artykułem 4 rozporządzenia oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej
. Źródłem informacji mogą być publiczne rejestry, dane zaobserwowane przez nas samych, informacje ujawnione bezpośrednio przez osobę oraz informacje „subiektywne”, opinie lub oceny.
Za dane osobowe należy również uznać informacje, które nie muszą być prawdziwe i sprawdzone ani powszechnie zrozumiałe74. Przykłady danych osobowych to: data urodzenia, płeć, adres zamieszkania, zdjęcie osoby, numer telefonu, PESEL, adres e-mail, adres IP, imię i nazwisko. Grupa Robocza Art. 29 wskazuje, iż osobę fizyczną można uznać za „zidentyfikowaną”, gdy w grupie osób można ją odróżnić od pozostałych osób. Wystarczająca jest sama możliwość zidentyfikowania, operacja identyfikacji nie musi być jeszcze przeprowadzona75.
Jednoznaczne przypisanie pewnym informacjom charakteru danych osobowych nastręcza niejednokrotnie trudności, czego przykładem jest kwestia rozstrzygnięcia czy numer rejestracyjny samochodu jest daną osobową. W Polsce sądy administracyjne orzekają w tej sprawie niejednolicie czego przykładem jest wyrok Wojewódzkiego Sądu Administracyjnego76 w Warszawie, który uznał, że numer rejestracyjny ma status danych osobowych, a odmienne stanowisko zajął WSA w Krakowie77.
PUODO to skrót nazwy „Prezes Urzędu Ochrony Danych Osobowych” i jest to organ nadzorczy kontrolujący od 25 maja 2018 r. przestrzeganie przepisów o ochronie danych osobowych w Polsce. Zastąpił „Generalnego Inspektora Ochrony Danych Osobowych”.
Europejska Rada Ochrony Danych to formalny organ będący swego rodzaju zgromadzeniem regulatorów krajowych wszystkich członków Unii. Został powołany przez RODO i zastąpił pełniącą podobną rolę Grupę Roboczą Art. 29.
Inspektor ochrony danych (IOD) to funkcja określona w art. 37-39 rozporządzenia. Jego zadaniem jest dbałość i nadzór nad ochroną danych w organizacji. Posiada on silne gwarancje niezależności, a odpowiedzialność za przestrzeganie zasad ochrony spoczywa na kierownictwie jednostki i nie może być przekazana.
Kategorie danych osobowych oraz rodzaj danych osobowych to kolejne pojęcia, które nie zostały zdefiniowane w RODO. Obydwa terminy są używane zamiennie w treści rozporządzenia i sama jego lektura nie wyjaśnia, gdzie leży różnica. Kategoria danych osobowych wydaje się być szerszym poziomem niż rodzaj danych. RODO dzieli dane osobowe na pięć bardzo ogólnikowych kategorii: szczególne kategorie danych osobowych (dane wrażliwe)78, dane dotyczące wyroków skazujących, dane osobowe zwykłe79, dane osobowe dzieci, dane osób niezidentyfikowanych. Unijny ustawodawca wprowadzając te pojęcia w ogólnej formie, pozostawił ich uszczegółowienie regulatorom80, którzy mogą to zrobić w formie wytycznych lub rekomendacji.
Naruszenie ochrony danych osobowych jest pojęciem opisującym sytuację, w której tracimy kontrolę nad danymi. Grupa robocza Art. 29 w swojej opinii wyjaśnia, iż naruszenia można przyporządkować do trzech znanych zasad bezpieczeństwa informacji81:
- Naruszenie poufności - niedozwolony albo przypadkowy dostęp do danych osobowych lub ich ujawnienie.
- Naruszenie dostępności - niedozwolone albo przypadkowe zniszczenie danych lub utrata dostępu do nich.
- Naruszenie integralności - niedozwolona lub niezamierzona zmiana danych osobowych.
Ocena skutków dla ochrony danych jest to formalny proces analizy ryzyka, który organizacja powinna przeprowadzić w sytuacji, gdy ryzyko związane z przetwarzaniem danych jest wysokie. RODO w art. 35 stawia wymóg przeprowadzenia takiej oceny w sytuacji zmian technologicznych, biznesowych lub organizacyjnych, które mogą stanowić wysokie ryzyko naruszenia praw lub wolności dla osób, których dane są przetwarzane.
Odbiorca danych według RODO to organizacja, osoba fizyczna lub inny podmiot, któremu ujawnia się dane osobowe, nawet jak nie jest stroną trzecią. Tak przedstawiona definicja jest bardzo szeroka i wydaje się być niekonsekwentna. Czytając ją bezpośrednio należało by rozumieć, że do odbiorców zaliczymy również np. personel administratora danych. Obowiązek informacyjny wynikający z rozporządzenia nakładał by w tej sytuacji obowiązek informowanie jednostek, których dane są przetwarzane o swoim własnym personelu, czyli o samym sobie. Należy z tego wyciągnąć wniosek, że chodzi o podmioty będące administratorami danych.
Ograniczenie przetwarzania należy przede wszystkim rozumieć jako prawo osoby, której dane są przetwarzane do zgłoszenia wniosku o takie ograniczenie. Dobrym przykładem będzie sytuacja, w której z panem Kowalskim uporczywie kontaktuje się dział windykacji operatora telewizji kablowej. Pan Kowalski kwestionuje istnienie zobowiązania i rozwiązał ponad rok temu umowę. W tych okolicznościach może on zażądać ograniczenia przetwarzania do czasu wyjaśnienia sprawy przez administratora.
Osoba, której dane dotyczą to konkretny człowiek, który jest zidentyfikowany, albo możliwy do zidentyfikowania. Rozporządzenie chroni dane osobowe osób fizycznych za wyjątkiem osób zmarłych.
Podmiot przetwarzający jest organizacją przetwarzającą dane dla potrzeb administratora. RODO nakłada na administratora i podmiot przetwarzający obowiązek zawarcia umowy precyzyjnie określającej warunki na jakich przetwarzanie się odbywa.
Przetwarzanie ma swoją definicję w art. 4 pkt 2 RODO i oznacza operację lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Przetwarzanie należy rozumieć jako zbiór czynności przetwarzania, tj. zbieranie, modyfikowanie, przechowywanie, przeglądanie lub usuwanie. Jednocześnie jak zważył NSA czynności wykonywane w celu zebrania danych np. żądanie przekazania informacji nie jest przetwarzaniem82.
Pseudonimizacja została zdefiniowana w art. 4 pkt RODO i jest to w uproszczeniu zastępowanie unikalnych dla danej osoby identyfikatorów (np. imię, nazwisko, PESEL, numer telefonu, adres e-mail) pseudonimami, czyli unikalnymi dla danej osoby kodami, liczbami czy obrazami. Pseudonimizacja jest procesem odwracalnym i podmiot przetwarzający dane osobowe może ponownie przypisać je do konkretnych osób.
Rejestr czynności przetwarzania danych opisany w art. 30 ust. 1 RODO to wykaz czynności przetwarzania, który jest jednym z zasadniczych elementów umożliwiających realizację zasady rozliczalności. Prowadzenie rejestru jest obowiązkowe dla podmiotów zatrudniających 250 lub więcej pracowników. Mniejsze podmioty powinny przeprowadzić analizę ryzyka naruszenia praw lub wolności osób, których dane przetwarzają lub przetwarzają dane szczególne lub karne. Na podstawie oceny ryzyka organizacja samodzielnie decyduje o prowadzeniu rejestru.
Ryzyko w RODO nie zostało wprost zdefiniowane, pomimo że w treści rozporządzenia słowo „ryzyko” jest użyte 76 razy. Istotę pojęcia należy rozumieć jako ryzyko naruszenia praw i wolności osób fizycznych, których dane są przetwarzane. Z tego pojęcia wywodzi się fundamentalna zasada podejścia opartego na ryzyku, która jest kluczową, perspektywiczną koncepcją rozporządzenia. Zasada ta uzależnia sposoby wypełniania obowiązków nałożonych na administratorów od zakresu, charakteru i celów przetwarzania danych83.
W powyższym rozdziale opisaliśmy najważniejsze pojęcia stosowane w rozporządzeniu o ochronie danych osobowych zwanym potocznie RODO. Będą one przydatne w dalszej analizie wybranych zasad przetwarzania danych osobowych.
Rozdział 3 Zgodne z zasadami przetwarzanie danych oraz prawa jednostki
3.1. Zasady przetwarzania danych osobowych
Ogólne rozporządzenie o ochronie danych w art. 5 ust. 1 wymienia 8 materialnych zasad przetwarzania danych osobowych, które ujmuje w sześciu punktach:
- zasada legalności, którą rozporządzenie definiuje trzema określeniami: „zgodność z prawem, rzetelność i przejrzystość”;
- zasada celowości, wyrażona jako „ograniczenie celu”;
- zasada adekwatności, wyrażona jako „minimalizacja danych”;
- zasada prawidłowości;
- zasada ograniczenia czasowego, wyrażona jako „ograniczenie przechowywania”;
- zasada odpowiedniego bezpieczeństwa, którą zdefiniowano dwoma określeniami: „integralność i poufność”.
W art. 5 ust. 2 RODO jako ostatnią zawarto formalną zasadę rozliczalności. Zasady materialne są od siebie zależne, dlatego należy je analizować jako całość bez oderwania od pozostałych84 co uczynimy w kolejnych akapitach niniejszej pracy.
Zasada legalności wymaga od administratora, aby przetwarzał dane osobowe zgodnie z przepisami RODO oraz innymi obowiązującymi aktami prawnymi. Oznacza to podjęcie czynności w sposób określony prawem, spełniając wymagane przesłanki określone w art. 6, 9 i 10 rozporządzenia. Co do zasady wymaga to posiadania przez administratora uzasadnionego interesu prawnego lub zgody od osoby, której dane zamierza przetwarzać.
Rzetelność zawarta w zasadzie legalności to uczciwe wykorzystanie danych osobowych, dbania o interesy osoby, od której dane pochodzą i nienaruszanie jej dóbr. Przejrzystość oznacza przede wszystkim zrozumiałość dla osób fizycznych zasad i celów przetwarzania. We wszystkich formach komunikacji z nimi należy używać jasnego, zwięzłego i czytelnego języka unikając zawiłych sformułowań oraz żargonu prawniczego. Niestety zasada czytelności stoi w sprzeczności z liczbą obowiązków informacyjnych, które administratorzy mają do zrealizowania. Pozostawia to dość szerokie pole uznania dla organu nadzoru czy zasada przejrzystości została w wystarczającym stopniu spełniona85.
Zasada celowości oznacza, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Zakazane jest przetwarzanie niezgodne z pierwotnym celem, dla którego dane zostały zebrane oraz nie można zataić lub pominąć żadnego celu przetwarzania przed podmiotem danych osobowych. Przetwarzanie danych w celach nieokreślonych, niejasnych lub gdy granicy ich przetwarzania nie da się wyznaczyć jest niezgodne z prawem86. Należy jednocześnie podkreślić, że o każdym celu przetwarzania należy poinformować podmiot danych.
Zasada adekwatności nakłada na administratora obowiązek przetwarzania tylko takiego zakresu danych, które są niezbędne ze względu na cel zbierania danych. Zasada ta jest obecna w RODO w kilku miejscach i wymaga od administratora oprócz minimalizowania zakresu przetwarzanych danych również minimalizacji czasu ich przechowywania oraz minimalizacji dostępu do danych. W praktyce administracyjnej prawidłowe stosowanie tej zasady oznacza, że dopuszczalne jest wyłącznie przetwarzanie danych niezbędnych do osiągnięcia celu oraz usuwanie danych, które przestały spełniać tę przesłankę. Jednym z przykładów praktycznego działania tej zasady jest decyzja Generalnego Inspektora Danych Osobowych nakazująca towarzystwu ubezpieczeniowemu zaprzestanie pozyskiwania nadmiarowych danych na potrzeby przygotowania oferty dla potencjalnych klientów. Towarzystwo wymagało imienia i nazwiska głównego użytkownika pojazdu, daty urodzenia, adresu zameldowania lub adresu zamieszkania oraz numeru telefonu. Sąd przychylił się do stanowiska GIODO, że na etapie tworzenia oferty dla klienta wystarczające jest podanie wieku, nazwy miejsca zamieszkania, ewentualnie stanu cywilnego oraz danych dotyczących historii ubezpieczenia i pojazdu, bez podawania danych indywidualizujących osobę87.
Zasada prawidłowości nakazuje przetwarzanie danych, które są prawidłowe i w razie potrzeby uaktualniane. Ta oczywista zasada w praktyce administracyjnej sprawia czasami problemy oragnizacjom przetwarzającym dane. Bardzo wielu z nas przydarzyło się otrzymać korespondencję na nieaktualny adres pomimo zgłoszenia zmiany lub odebrać telefon w sprawie, której nie jesteśmy od dawna stroną. Taka dezaktualizacja danych oraz ignorowanie wniosków osoby o ich poprawienie jest niezgodne z RODO.
Zasada ograniczenia czasowego obliguje do przechowywania danych w postaci umożliwiającej identyfikację osoby, przez okres nie dłuższy niż to jest niezbędne do celów przetwarzania. Administrator ma obowiązek określić okres przechowywania danych i poinformować o jego długości osobę, której dane przetwarza. Nie jest to łatwa w implementacji zasada, gdyż dla niektórych danych należy samodzielnie określić okresy przechowywania, a dla innych minimalny czas wyznaczają obowiązujące przepisy prawa, które są rozrzucone po rozmaitych aktach prawnych. Dość rozpowszechniona jest praktyka wiecznego przechowywania informacji ze względu na niski koszt nośników danych. W świetle RODO takie postępowanie jest niedopuszczalne. Sprostanie zasadzie ograniczenia czasowego jest jednym z większych wyzwań dla organizacji przetwarzających dane osobowe
Zasada odpowiedniego bezpieczeństwa wymaga zagwarantowania ochrony danych osobowych przed niedozwolonym lub niezgodnym z prawem dostępem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Administrator musi zapewnić do tego celu odpowiednie środki techniczne i organizacyjne. RODO jako cechy bezpieczeństwa danych wymienia poufność i integralność, pomijając dostępność, która występuje w klasycznym modelu bezpieczeństwa informacji88. Poufność to zabezpieczenie przed dostępem do danych osób niepowołanych. Poufność może zostać naruszona, gdy osoba niepowołana uzyska fizyczny lub zdalny dostęp do urządzenia przechowującego dane lub przechwyci informacje transmitowane pomiędzy różnymi urządzeniami. Integralność wymaga by dane nie zostały przypadkowo ani celowo zmienione bądź uszkodzone. Dostępność oznacza, że dane są dostępne wtedy, gdy ich potrzebujemy. Gdy brak dostępu wynika z ich zniszczenia oprzemy się na zasadzie integralności, w przypadku utraty łączności lub chwilowego braku fizycznego dostępu do urządzenia przetwarzającego dane, możemy mówić o braku dostępności89.
Rozliczalność jest zasadą formalną, która nakłada na administratorów obowiązek udowodnienia, że ich metody, wdrożone procedury oraz działania są zgodne z RODO. Zasada ta wprowadza domniemanie winy przetwarzającego dane osobowe i przenosi ciężar udowodnienia zgodności z RODO na administratorów. Art. 82 ust.3 stanowi, że zwolnienie z odpowiedzialności za szkody może nastąpić, jeśli administrator wykaże, że w żaden sposób nie ponosi winy. Pomimo, iż RODO znosi obowiązujący dotychczas model ochrony danych osobowych narzucający obowiązek i schematy opracowania dokumentacji90, to w praktyce jedyną znaną możliwości rozliczenia się z czegokolwiek to wykazanie się odpowiednimi dokumentami. Należy zatem przyjąć, że zasada rozliczalności będzie spełniona, jeśli podmiot przetwarzający dane posiada odpowiednią dokumentację zasobów i procesów przetwarzania danych osobowych.
Wymienione zasady stanowią podstawę standardów ochrony danych osobowych i mają nadrzędny charakter dla pozostałych szczegółowych przepisów RODO.
3.2. Wybrane zagadnienia zgodnego z prawem przetwarzania danych osobowych
Przetwarzanie danych osobowych jest zgodne z prawem, gdy podmiot przetwarzający spełni przynajmniej jeden z warunków wymienionych w art. 6 ust. 1 lit. od a do f, a może to być:
- zgoda osoby, której dane dotyczą;
- niezbędność przetwarzania celem wykonania lub zawarcia umowy;
- niezbędność przetwarzania do wypełnienia obowiązku prawnego;
- konieczność przetwarzania celem ochrony żywotnych interesów osoby, której dane dotyczą;
- konieczność przetwarzania do wykonania zadania realizowanego w interesie publicznym;
- niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów administratora lub strony trzeciej.
Wyżej wymienione przesłanki dopuszczają przetwarzanie tzw. „danych osobowych zwykłych”. RODO wyróżnia również dane osobowe szczególnych kategorii, których przetwarzanie jest zabronione za wyjątkiem przesłanek wymienionych w art. 9, oraz dane osobowe dotyczące wyroków skazujących, czynów zabronionych i środków zabezpieczających, których przetwarzanie jest dopuszczane, gdy zezwala na to prawo Unii lub kraju członkowskiego wyłącznie pod nadzorem władz publicznych.
Zgoda to najszerzej wykorzystywana podstawa przetwarzania danych. Pomimo, iż każdą z wymienionych przesłanek można zastosować samodzielnie i niezależnie91 od siebie, organizacje często wymagają zgody nawet w przypadku wystąpienia innej przesłanki. Takie postępowanie jest wynikiem niedostatecznego zrozumienia zasad rozporządzenia oraz obawy, że urząd nadzorujący może mieć odmienną ocenę spełnienia jednej z pozostałych przesłanek upoważniających do przetwarzania danych osobowych.
W art. 4 pkt 11 RODO definiuje, iż zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli (…)
, co daje cztery warunki do spełnienia tej przesłanki do zgodnego z prawem przetwarzania danych:
- dobrowolność,
- konkretność,
- świadomość,
- jednoznaczność.
Te cztery warunki są wymieniane w wyjaśnieniach oraz wytycznych organów unijnych92.
Dobrowolność to rzeczywista możliwość dokonania realnego i swobodnego wyboru oraz sprawowania kontroli przez osobę, której dane dotyczą. Osoba wyrażająca zgodę nie może czuć się zmuszona do jej złożenia, nie może ponieść negatywnych konsekwencji niewyrażenia zgody, a samej zgody nie można łączyć z innymi celami organizacji. Co do zasady jakakolwiek presja lub wpływ uniemożliwiający osobie złożenia swobodnego oświadczenia woli spowoduje nieważność zgody. Przykładem takiego wpływu jest brak równowagi sił pomiędzy stronami. RODO w motywie 43 stanowi, że pomiędzy organem publicznym oraz obywatelem występuje brak równowagi sił, który wyraźnie zmniejsza prawdopodobieństwo wyrażenia dobrowolnej zgody przez jednostkę. Na to samo wskazuje się również, gdy występuje stosunek pomiędzy pracownikiem a pracodawcą. Nie jest to lista zamknięta i brak równowagi sił może zaistnieć także w innych sytuacjach, a zgoda wówczas wyrażona będzie nieważna.
Zgód nie należy łączyć dla różnego typu działań, co w praktyce oznacza, że zgody na przetwarzanie w różnych celach powinny być wyraźnie od siebie oddzielone za pomocą odrębnych formularzy lub pól do zaznaczenia93. Jeśli od wyrażenia zgody zależy wykonanie umowy lub świadczenie usługi zgoda jest nieważna. Trudniejsze jest rozstrzygnięcie czy wyrażenie zgody na przetwarzanie danych w celach marketingowych w zamian za otrzymanie rabatu lub innej korzyści jest prawidłowe. Brak jest w tej kwestii jednolitego stanowiska w literaturze. Dr Maciej Kawecki w wyjaśnieniach opublikowanych na kanale Ministerstwa Cyfryzacji dopuszcza taką możliwość94. W opinii autora niniejszej pracy, jeśli wyrażenie zgody jest warunkiem otrzymania bonifikaty do świadczonej usługi to jest ona obarczona ryzykiem nieważności. W przypadku gdy w zamian dostajemy autonomiczną korzyść np. możliwość przetestowania najnowszych produktów, taka zgoda jest prawidłowa. Celem uzyskania pewności prawnej pozostaje zaczekać na rozstrzygnięcia lub wytyczne organów nadzoru.
Konkretność zgody to precyzyjne określenie konkretnego, wyraźnego i prawnie uzasadnionego celu przetwarzania danych95 na który wyraża swoją zgodę jednostka. Konkretność zgody wyklucza jednocześnie możliwość zmiany celu przetwarzania danych na inny niż w wyrażonej zgodzie.
Świadoma zgoda to zapewnienie osobie, której dane dotyczą niezbędnych informacji do jej wyrażenia. Kluczowe jest, aby administratorzy używali jasnego i prostego języka we wszystkich przypadkach bez stosowania długich i trudnych informacji oraz zawiłego języka prawniczego. Wiadomość musi być zrozumiała dla przeciętnej osoby, oddzielona od innych kwestii i nie może być ukryta w ogólnych warunkach96. Świadomość zgody wymaga, aby wyrażający znał i rozumiał jej konsekwencje.
Jednoznaczność zgody to wyraźne działanie lub oświadczenie osoby wyrażającej zgodę. RODO wyklucza milczącą zgodę i nakazuje jednoznacznie okazać wolę poprzez działanie takie jak podpis na formularzu, wysłanie e-maila, zaznaczenie opcji wyboru na stronie internetowej, wysłanie sms-a itp. Administratorzy mają swobodę wyboru formy w jakiej przyjmą zgodę, RODO nie narzuca żadnych rozwiązań. Zgodnie z zasadą rozliczalności administrator ma obowiązek udowodnić, że zgoda została wyrażona, stąd powinna być co do zasady udokumentowana. RODO nie określa również okresu ważności zgody, za ty wyraźnie nakazuje, że musi być możliwa do wycofanie równie łatwo jak została udzielona.
Administratorzy powinni prawidłowo wybrać podstawę prawną przetwarzania danych, ponieważ co do zasady nie można jej zmienić w trakcie przetwarzania. W tej części omówimy pozostałe przesłanki, na których można oprzeć przetwarzanie danych.
Zawarcie lub wykonanie umowy są przesłankami, na które administrator może się powołać, gdy przetwarzanie danych jest niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem i zażąda tego osoba, której dane dotyczą. W przypadku gdy osoba zwróci się do administratora o przedłożenie oferty, to nie należy pozyskiwać od niej zgody. W następstwie, gdy dojdzie do transakcji przetwarzanie dalej będzie odbywać się w oparciu o tę przesłankę. Odmienna sytuacja zaistnieje, gdy zechcemy samodzielnie przedstawić ofertę, w takim wypadku zgodę na przetwarzanie należy uzyskać.
Obowiązek prawny to przesłanka, na podstawie której można przetwarzać dane, gdy istnieje przepis prawa nakładający taki obowiązek, a przetwarzanie danych jest niezbędne do wypełnienia tego obowiązku prawnego. Zgodnie z Konstytucją RP źródłem obowiązku prawnego w tym przypadku może być ustawa lub ratyfikowana ustawą umowa międzynarodowa97.
Przesłanka ochrony żywotnych interesów osoby będzie miała zastosowanie, gdy przetwarzanie danych będzie miało istotne znaczenie dla jej życia. Wymienić tutaj można sytuacje w których wymagane jest ratowanie życia lub zdrowia czy ochrona majątku. Należy dodać, że można na podstawie tej przesłanki przetwarzać również dane osób trzecich. Z motywu 4698 RODO dowiemy się, że zastosowanie tej przesłanki jest uzasadnione wyłącznie, gdy przetwarzania nie da się oprzeć na innej przesłance.
Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej to przesłanka zbliżona do przesłanki obowiązku prawnego. Zarówno zadanie, jak i sprawowanie władzy publicznej muszą mieć konkretną podstawę w prawie krajowym lub unijnym. Do takich zadań należą zadania o charakterze użyteczności publicznej, tj. utrzymanie dróg, zapewnienie opieki zdrowotnej, pomocy społecznej, zaopatrywanie ludności w wodę, gaz i energię elektryczną.
Ostatnia przesłanka to uzasadniony interes administratora danych lub strony trzeciej. Powołanie się na tę przesłankę jest dozwolone, gdy przetwarzanie jest niezbędne do realizacji konkretnego celu administratora wynikającego z jego prawnie uzasadnionych interesów, a podstawowe prawa i wolności osoby, której dotyczą, nie mają nadrzędnego charakteru w stosunku do praw podmiotu przetwarzającego. Za uzasadniony cel przetwarzania uznaje się ten, który wynika z przedmiotu działalności organizacji, natomiast podstawowe prawa i wolności osoby znajdziemy przede wszystkim w Karcie Praw Podstawowych Unii Europejskiej oraz Konstytucji RP.
Administrator zgodnie z zasadą rozliczalności musi udowodnić, że jego prawnie uzasadnione interesy są nadrzędne wobec interesów lub podstawowych praw i wolności osoby, której dane przetwarza. W motywach 47-49 RODO znajdziemy kilka przykładów sytuacji, gdy można wykorzystać przesłankę uzasadnionego interesu administratora, takie jak zapobieganie oszustwom, marketing bezpośredni, przesyłanie danych w ramach grupy kapitałowej, zapewnienie bezpieczeństwa systemów informatycznych, czy dochodzenie roszczeń.
RODO w art. 9 ust. 1 wymienia dane osobowe szczególnie chronione, które co do zasady objęte są zakazem przetwarzania, jednocześnie w ust. 2 określając zestaw wyjątkowych sytuacji w których przetwarzanie będzie dopuszczalne. W rozumieniu rozporządzenia są to dane ujawniające pochodzenie rasowe, poglądy polityczne, przekonania, przynależność do związków zawodowych, dane genetyczne, dane biometryczne służące do identyfikacji, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby.
Przetwarzanie danych szczególnie chronionych może się odbywać za wyraźną zgodą osoby, której dane dotyczą. Również w przypadku zgody na przetwarzanie danych szczególnie chronionych RODO nie narzuca jej szczególnej formy. Dodanie słowa „wyraźna” wskazuje na konieczność zachowania najwyższej możliwej staranności przy jej odbieraniu od osoby wyrażającej. Pozostałe wyjątki sformułowane w RODO mają przede wszystkim umożliwić przetwarzanie danych wrażliwych w stosunku pracy, działaniami związanymi z ważnym interesem publicznym i ochroną zdrowia, pracą wymiaru sprawiedliwości, działaniem fundacji oraz organizacji, przetwarzaniem danych upublicznionych oraz w celach archiwalnych i naukowych.
Administratorzy celem zachowania zgodności z zasadą rozliczalności powinni prowadzić rejestr czynności przetwarzania danych (RCPD). RODO nakazuje prowadzenie rejestru organizacjom zatrudniających 250 i więcej osób lub przetwarzającym w sposób ciągły dane, których przetwarzanie rodzi ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Nakaz dotyczy również podmiotów przetwarzających dane wrażliwe i karne. Administratorom zatrudniających mniej niż 250 osób ustawodawca pozostawił możliwość podjęcia samodzielnej decyzji czy prowadzić rejestr przetwarzania.
Prowadzone przez administratorów rejestry pozwalają usystematyzować wykonywane czynności, spojrzeć na wykonywane operacje przetwarzania pod względem celów biznesowych i wymagań prawnych. Dla organu nadzorczego jest to ułatwienie kontroli wszystkich procesów przetwarzania danych w organizacji99. W art. 30 pkt 1 RODO wymienione są informacje, które powinny znaleźć się rejestrze. Są to m.in. nazwa administratora, cele przetwarzania, kategorie osób i danych osobowych, przekazania danych do państwa trzeciego, planowane terminy usunięcia poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
RODO w art. 30 pkt 1, 2 i 3 nakazuje prowadzenie rejestru w formie pisemnej w tym formie elektronicznej oraz określa obowiązkowe składniki rejestrów. Wątpliwości może budzić znaczenie poszczególnych pojęć użytych w przywołanych artykułach rozporządzenia oraz szczegółowość rejestrów i sposób ich prowadzenia. Generalny Inspektor Danych Osobowych przygotował dokument ze wskazówkami odnośnie prowadzenia rejestrów przez administratorów i podmioty przetwarzające dane, w którym znajdują się szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami100.
3.3. Zagwarantowanie praw jednostki przez administratorów danych osobowych
RODO to ochrona obywateli przed negatywnymi konsekwencjami przetwarzania ich danych osobowych. Nowa regulacja zagwarantowała im szerokie prawa oraz nałożyła obowiązki na administratorów danych osobowych. W tej części pracy przyjrzymy się bliżej jakie narzędzia ochronne ma do dyspozycji podmiot danych osobowych w relacjach z administratorami przetwarzających jego dane.
W art. 12 RODO określa zasady stosowane podczas obsługi praw jednostki przez administratorów danych, innymi słowy są to standardy jakości, które muszą oni spełnić. Pogrupowane tematycznie zostaną omówione w kolejnych akapitach.
Czytelność i zwięzłość komunikacji to wymóg art. 12 ust. 1 w którym przeczytamy, iż należy udzielać informacji „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie”. Jednym słowem należy komunikować się z podmiotem danych prostym i przystępnym językiem, bez cytowania przepisów i żargonu prawniczego. Należy zwrócić szczególną uwagę na prostotę i jasność w kontaktach z dziećmi w różnym wieku.
Komunikacja i przekazywanie informacji co do zasady musi odbywać się pisemnie lub elektronicznie, czyli zgodnie z zasadą rozliczalności w sposób udokumentowany. Jeśli osoba, której dane dotyczą, zażąda informacji w formie ustnej, to uwierzytelnienie, czyli potwierdzenie jej tożsamości musi się odbyć „innymi sposobami” niż ustnie101. Dopuszczalne w opinii autora niniejszej pracy sposoby to m.in.: wysłanie przez osobę wiadomości e-mail lub sms, wpisanie kodu na klawiaturze telefonu czy uzupełnienie formularza na stronie internetowej.
RODO zobowiązuje administratorów do ułatwienia osobie, której dane dotyczą spełnienia jej praw. Można sobie wyobrazić różne sposoby ułatwiania: dedykowana infolinia dla celów wykonania prawa osoby, informacja na stronie internetowej w jaki sposób realizować prawa jednostki w organizacji, formularz z prostymi polami wyboru. Naturalnym ułatwieniem dla osób fizycznych w kontaktach z organizacją jest powołanie inspektora danych osobowych, który służy pomocą w wykonaniu ich praw.
RODO nakazuje administratorom bezzwłocznie odpowiadać na wszystkie żądania od osób, a także określa terminy graniczne na wypełnienie żądania. W terminie do miesiąca należy wnioskodawcy odpowiedzieć jakie działania prowadzimy w związku z wnioskiem o nieprzetwarzanie jego danych, o odmowie realizacji wniosku, o zrealizowaniu wniosku lub o przedłużeniu terminu realizacji do maksymalnie dodatkowych dwóch miesięcy. Ostateczny termin obsługi żądania to 3 miesiące.
Administratorzy są narażeni na otrzymywanie nieuzasadnionych lub powtarzających się często żądań. Ochroną jest prawo administratora do pobrania rozsądnej opłaty za podjęcie żądanych działań lub odmowy podjęcia działań w przypadku, gdy wniosek jest ewidentnie nieuzasadniony lub ma ustawiczny charakter. Zgodnie z zasadą rozliczalności na administratorze spoczywa obowiązek wykazania niezasadności lub nadmierności żądania. Za nieuzasadnione można uznać żądanie, w którym nie ma żadnego związku pomiędzy wnioskodawcą, a administratorem. RODO nie precyzuje jak często można złożyć wniosek, żeby nie został uznany za nadmierne żądanie. W regulacjach poprzedzających RODO określano, że osoba ma prawo złożyć wniosek o to czy administrator przetwarza jej dane osobowe „nie częściej niż raz na 6 miesięcy”, co może być pewnym wyznacznikiem.
Przejrzysta komunikacja i przejrzyste informowanie to standardy jakościowe, które administrator musi zapewnić w całym procesie obsługi wniosków przez osoby, których dane przetwarza. W dalszej części zapoznamy się z katalogiem praw, które RODO gwarantuje obywatelom.
Podstawowym prawem każdej osoby opisanym przez art. 13 i 14 RODO jest wiedza o tym kto i w jakim celu przetwarza jej dane osobowe. Administrator jest obowiązany poinformować osobę o przetwarzaniu jej danych, gdy je zbiera bezpośrednio od osoby lub z innych źródeł, gdy zmienia cel przetwarzania lub dodaje nowy cel przetwarzania oraz przy wykonaniu żądania dostępu do danych przez osobę.
Ilość informacji jakie administrator musi przekazać osobie, od której pozyskuje dane jest długa, toteż wymienimy w skrócie najważniejsze:
- tożsamość i dane kontaktowe administratora, dane kontaktowe inspektora ochrony danych;
- cele przetwarzania i ich podstawy prawne;
- informacje o odbiorcach danych osobowych;
- informacja o eksporcie danych poza UE, jeśli dotyczy;
- okres przechowywania;
- informacje o prawach osoby, której dane dotyczą102;
- informacja czy podanie danych jest wymogiem zawarcia umowy, czy jest obowiązkowe oraz jakie są konsekwencje niepodania danych;
- informacje o zautomatyzowanym profilowaniu;
- oraz źródle danych, jeśli je pozyskał nie bezpośrednio od osoby.
Gdy pozyskujemy dane od osoby, informujemy ją o tym podczas pozyskiwania. W przypadku zbierania danych z innych źródeł robimy to bez zbędnej zwłoki, nie później niż w ciągu miesiąca lub przy pierwszym kontakcie.
Informacja o przetwarzaniu powinna być zredagowana przejrzyście i jednocześnie łatwo dostępna dla odbiorcy. W przypadku oferowania produktu lub usługi dla dzieci, administrator powinien tak dostosować słownictwo, ton lub styl używanego języka, ażeby dziecko rozpoznało, że informacja jest skierowana do niego103. Łatwa dostępność oznacza, że osoba nie może być zmuszona do poszukiwania informacji i mieć łatwość jej spostrzeżenia. W informacji należy wskazać konkretne cele przetwarzania, ogólne stwierdzenia tj. „Możemy wykorzystywać Twoje dane osobowe na potrzeby badań” nie mówią do jakiego rodzaju badań się to odnosi104 i są niezgodne z RODO.
Każda osoba na podstawie art. 15 RODO ma prawo dostępu do swoich danych, na które składa się:
- uzyskanie potwierdzenia lub zaprzeczenia przetwarzania jej danych,
- uzyskanie informacji odpowiadających obowiązkowi informacyjnemu105,
- otrzymanie dostępu do swoich danych,
- otrzymanie kopii danych.
Termin na realizację prawa dostępu przez administratora to jeden miesiąc, który można przedłużyć o kolejne dwa miesiące106.
Udzielnie przez administratora dostępu do danych wnioskującej osoby powinno zostać zrealizowane w taki sposób, aby wnioskujący mógł zapoznać się ze wszystkimi zebranymi o sobie informacjami. W przypadku tradycyjnych dokumentów może to być udostępnienie zestawu akt w wydzielonym pomieszczaniu, a do danych przechowywanych w postaci cyfrowej dostęp z wykorzystaniem terminala komputerowego. Nie ma przeszkód, żeby osoba przeglądała dane na swoim urządzeniu, jeśli administrator zagwarantuje jej bezpieczny dostęp do swoich systemów107.
Na żądanie osoby administrator jest obowiązany wydać kopię jej danych. Pierwsza kopia jest bezpłatna, za kolejne można pobrać opłatę „w rozsądnej wysokości". Odmówić wydania kopii można m.in., gdy żądanie jest nadmierne oraz gdy jej wydanie mogło by naruszyć prawa i wolności innych. Przykładem takiego naruszenia będą zawarte w kopii danych informacje objęte tajemnicą zawodową lub ochroną informacji niejawnych. Norma ta wymaga od administratora kontroli na przekazywanymi lub udostępnianymi informacjami i eliminowania z nich danych naruszających prawa innych podmiotów.
Zgodnie z art. 16 RODO osoba, której dane dotyczą ma prawo zażądać od administratora sprostowania danych nieprawidłowych oraz do uzupełnienia danych niekompletnych. Osoba wnioskująca powinna zostać prawidłowo uwierzytelniona, a sprostowanie nastąpić niezwłocznie po złożeniu wniosku.
Prawo do usunięcia danych, nazywane prawem do bycia zapomnianym zostało unormowane w art. 17 RODO. Na żądanie osoby administrator ma obowiązek:
- usunąć dane wnioskodawcy;
- powiadomić108 o takim usunięciu każdego odbiorcę, któremu ujawniono dane osobowe;
- jeśli upublicznił dane podlegające usunięciu, zobowiązany jest żądać od innych administratorów przetwarzających te dane również ich usunięcia podejmując w tym celu „rozsądne działania”;
- na żądanie osoby ma obowiązek ja poinformować, którym odbiorcom przekazał dane podlegające usunięciu.
Administrator powinien usunąć dane bez zbędnej zwłoki, a terminy graniczne to jeden miesiąc, który można przedłużyć o kolejne 2 miesiące.
Żądanie usunięcia danych będzie skuteczne, gdy:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane, lub w inny sposób przetwarzane;
- osoba cofnęła zgodę na przetwarzanie i brak jest innej podstawy prawnej przetwarzania;
- osoba wniosła sprzeciw wobec przetwarzania i brak jest nadrzędnych prawnie uzasadnionych podstaw przetwarzania;
- dane były przetwarzane niezgodnie z prawem;
- dane muszą być usunięte w celu wywiązania się z obowiązku prawnego;
- dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dzieciom.
W praktyce administratorzy są zobowiązani sami usunąć dane, gdy nie ma podstaw do ich przetwarzania zgodnie z zasadą minimalizacji lub na mocy prawomocnego wyroku sądowego.
Zbędność celu przetwarzania, dla którego dane zostały zebrane nie oznacza, że należy je bezwarunkowo usunąć, ponieważ może istnieć inny cel lub podstawa prawna. Takim przykładem są dane zebrane do wykonania umowy, których nie można usunąć natychmiast po jej wykonaniu, ponieważ jest okres dochodzenia roszczeń oraz prawo podatkowe nakazujące przechowywanie co do zasady dowodów księgowych przez 5 lat.
Interesujący przykład, który praktycznie blokuje możliwość żądania usunięcia danych na podstawie cofnięcia zgody podaje mec. Maciej Gawroński. Administrator ma żywotny interes, aby przechowywać dane o udzieleniu zgody oraz podjętych na tej podstawie czynnościach wraz z dowodami celem obrony przed roszczeniami, że zgoda nie została udzielona. Okres przedawnienia roszczeń może wynosić np. dwa lata, ale roszczenia odszkodowawcze związane z czynami zabronionymi to 20 lat109.
Usunięcie danych, jeśli zostały zebrane bezpośrednio od dziecka jest możliwością odcięcia się od błędów młodości. Żądanie usunięcia swoich danych, które udostępniono w dzieciństwie można złożyć w każdym czasie, także gdy dzieckiem już się nie jest.
Administratorzy nie są obowiązani do usuwania danych, gdy ich przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi, do wywiązania się z obowiązku prawnego, ze względu na interes publiczny w zakresie ochrony zdrowia, do celów archiwalnych, w celu dochodzenia roszczeń, do badań naukowych lub historycznych oraz celów statystycznych.
Prawo do bycia zapomnianym jest w praktyce administracyjnej najtrudniejsze do spełnienia. Usunięcie wszystkich danych z produkcyjnych systemów komputerowych, czyli całkowite zapomnienie stoi w sprzeczności z zasadą rozliczalności oraz bywa często utrudnione ze względu na możliwe relacje pomiędzy danymi, które, jeśli zostaną usunięte mogą zdestabilizować pracę całego systemu. Kolejnym wyzwaniem jest usuwanie lub zmiana wybiórczych danych z kopii bezpieczeństwa110. Takie działanie ingeruje w integralność kopii danych, może uniemożliwić jej odtworzenie, a więc również zagraża bezpieczeństwu danych. Usuwanie danych osobowych z dokumentów utrwalonych na fizycznych nośnikach, czyli przede wszystkim na papierze można spełnić zaczerniając miejsca, gdzie te dane występują111.
Prawo do ograniczenia przetwarzania to wymóg na administratorze przechowywania danych bez możliwości ich przetwarzania. Osoba, której dane dotyczą może żądać od administratora ograniczenia przetwarzania w sytuacji, gdy:
- podmiot danych kwestionuje prawidłowość swoich danych, a ograniczenie jest na czas sprawdzenia ich poprawności;
- przetwarzanie jest niezgodne z prawem i wnioskodawca sprzeciwia się usunięciu danych osobowych, żądając ograniczenia przetwarzania;
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, lecz są potrzebne podmiotowi danych do dochodzenia roszczeń;
- osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania do czasu ustalenia czy istnieją po stronie administratora prawne podstawy przetwarzania.
Prawo do ograniczenia przetwarzania jest rygorystycznym sposobem sprawowania kontroli przez podmiot danych nad dotyczącymi go informacjami112, a jego wykonanie uniemożliwia administratorowi wykonywanie czynności przetwarzania innych niż przechowywanie.
W art. 20 RODO zapisano prawo do przenoszenia danych, które umożliwia wnioskodawcy otrzymanie od administratora swoich danych osobowych w powszechnie rozpoznawanym formacie113, oraz przesłanie tych danych innemu administratorowi. Jest to „prokonsumenckie" prawo, które ma na celu:
- Wzmocnić pozycję osób oraz zwiększyć kontrolę osób nad ich danymi114.
- Zapobiegać uzależnieniu technologicznemu od usług administratora i umożliwiać konsumentom łatwiejszą zmianę usługodawcy.
- Zwiększyć konkurencję pomiędzy administratorami.
Podmiot danych osobowych może skorzystać z tego prawa, gdy do przetwarzania danych osobowych dochodzi na podstawie zgody lub umowy oraz w sposób zautomatyzowany.
Każda osoba na podstawie art. 21 RODO może sprzeciwić się przetwarzaniu jej danych przez administratora ze względu na swoją szczególną sytuację oraz względem marketingu bezpośredniego. Za szczególną sytuację osoby należy uznać stan faktyczny, który nie istniał lub nie był znany administratorowi podczas zbierania danych, a jednocześnie ta szczególna sytuacja wpływa na przetwarzanie danych i następuje zachwianie interesów pomiędzy osobą i administratorem115. Sprzeciw wobec marketingu bezpośredniego nie wymaga uzasadnienia i musi być uwzględniony przez administratora.
Według rozporządzenia profilowanie to „dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych (…)”. RODO szczegółowo reguluje profilowanie danych osobowych określając, kiedy administratorzy mogą profilować, jakie obowiązki na nich spoczywają, jakie uprawnienia mają profilowane osoby oraz w jakich przypadkach można stosować systemy podejmujące automatyczne decyzje.
Administratorzy mogą stosować profilowanie i zautomatyzowane podejmowanie decyzji pod warunkiem, że przestrzegają wszystkich zasad ochrony danych, tj. zgodność z prawem, rzetelność, przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość i ograniczenie przechowywania. RODO wskazuje istotne obowiązki oraz prawa w zakresie profilowania i automatycznego podejmowania decyzji:
- informowanie osoby o automatycznym decydowaniu,
- informowanie osoby o prawie sprzeciwu,
- prawo osoby do sprzeciwu wobec profilowania,
- prawo do niepodlegania decyzji automatycznej lub podjętej wyłącznie w oparciu o profilowanie wywołującej skutki prawne116 lub podobne,
- wymóg przeprowadzenia przez administratora oceny skutków profilowania dla ochrony danych.
Rozwój i złożoność systemów uczących się117 może utrudniać zrozumienie profilowania i zautomatyzowanego podejmowania decyzji, dlatego administrator jest zobowiązany znaleźć prosty sposób na przedstawienie osobie, której dane dotyczą uzasadnienia decyzji lub kryteriów, które doprowadziły do jej podjęcia118.
3.4. Status i zadania inspektora danych osobowych
Rozporządzenie o ochronie danych osobowych 2016/679 wprowadziło instytucję inspektora ochrony danych (IOD). Lektura sekcji nr 4 RODO, w której zawarto przepisy o powołaniu, statusie oraz zadaniach inspektora danych osobowych wskazuje, iż ustawodawca nadał mu przede wszystkim rolę konsultanta dla trzech stron:
- administratorów i podmiotów przetwarzających,
- osób, których dane dotyczą,
- organu nadzorczego.
Swoje zadania wykonuje w oparciu o gwarancje niezależności, a rozporządzenie jednoznacznie wskazuje, że to administrator lub podmiot przetwarzający jest odpowiedzialny za zapewnienie i udowodnienie zgodności przetwarzania danych osobowych z przepisami prawa119.
Co do zasady powołanie IOD jest dobrowolne, ale dla niektórych administratorów i podmiotów przetwarzających RODO wyznaczyło taki obowiązek. Dotyczy to wszystkich organów lub podmiotów publicznych120, organizacji regularnie i na dużą skalę monitorujących osoby fizyczne oraz podmiotów przetwarzających na dużą skalę dane wrażliwe. Pomimo braku obowiązku powołania IOD dla pozostałych organizacji, organ nadzoru rekomenduje jego wybór, pośrednio sygnalizując, że brak inspektora może świadczyć o braku zachowania należytej staranności przy zabezpieczeniu przetwarzanych danych osobowych121.
Inspektorem ochrony danych może być wyłącznie osoba fizyczna. Rozporządzenie pozostawia administratorom swobodę w jego wyznaczaniu, nie narzucając również sposobu współpracy pomiędzy stronami. Po wyznaczeniu administrator lub podmiot przetwarzający podają do wiadomości publicznej dane kontaktowe inspektora oraz powiadamiają o nich organ nadzorczy. Należy zadbać, żeby osoby fizyczne, których dane administrator przetwarza miały łatwy kontakt z inspektorem w celu wykonania swoich praw oraz konsultacji. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywanych zadań.
RODO w art. 39 wyznacza inspektorowi ochrony danych następujące zadania:
- informowanie administratora lub podmiot przetwarzający o obowiązkach wynikających z rozporządzenia oraz innych przepisów o ochronie danych;
- monitorowanie przestrzegania przepisów o ochronie danych, zwiększanie świadomości, szkolenia w zakresie operacji przetwarzania oraz audytowanie;
- udzielanie na żądanie zaleceń przy ocenie skutków dla ochrony oraz monitorowanie ich wykonania122;
- współpraca z organem nadzorczym w tym pełnienie funkcji punktu kontaktowego dla organu nadzorczego;
- prowadzenie konsultacji w innych sprawach123.
Nie jest to lista zamknięta, a inspektorowi można powierzyć inne zadania, jeśli nie powodują one konfliktu interesów124 z jego obowiązkami wynikającymi z RODO.
Rozporządzenie nie określa formalnych kryteriów oceny wiedzy fachowej i doświadczenia dla wyznaczonego inspektora, wskazując jedynie na konieczność posiadania przez niego kwalifikacji zawodowych adekwatnych do wypełnianych zadań. Biorąc pod uwagę zakres i charakter postawionych przed IOD zadań, osoba ta powinna mieć kwalifikacje zawodowe obejmujące:
- głębokie zrozumienie rozporządzenia 2016/679 oraz znajomość krajowych przepisów regulujących ochronę danych osobowych;
- wiedzę dotyczącą technologii informacyjnych, ze szczególnym uwzględnieniem bezpieczeństwa teleinformatycznego;
- znajomości sposobu funkcjonowania organizacji z uwzględnieniem obszaru jej działania;
Analiza tej listy pokazuje, że IOD powinien być specjalistą w zakresie RODO, posiadać szeroką wiedzę praktyczną o procesach zachodzących w organizacji przetwarzającej dane osobowe oraz znać technologie wykorzystywane przy przetwarzaniu danych.
Inspektor ochrony danych otrzymał w RODO gwarancje niezależności zapewniającą autonomię działania w zakresie realizacji określonych w rozporządzeniu zadań. Administrator nie może mu wydawać instrukcji odnośnie sposobów rozpoznawania spraw, celu oraz środków podjętych przy wykonywaniu zadań. Oznacza to działanie bez ulegania wpływom i naciskom z zewnątrz jak i z wewnątrz organizacji oraz swobodę w kontaktach z organem nadzorczym. Dodatkową ochroną IOD jest zapisany w art. 38 ust. 3 zakaz odwoływania i karania inspektora przez administratora za wypełnianie swoich zadań. W praktyce oznacza to, że jeśli inspektor danych osobowych wypełnia swoje obowiązki zgodnie z przepisami rozporządzenia 2016/679 to administrator lub podmiot przetwarzający nie może zastosować wobec niego żadnych bezpośrednich ani pośrednich sankcji. Przypadkiem zabronionego działania będzie sytuacja, gdy administrator lub podmiot przetwarzający nie zgadzają się z oceną skutków dla ochrony danych wykonaną przez IOD i odwołają go ze stanowiska.
Inspektor ochrony danych powinien być niezwłocznie włączany we wszystkie sprawy związane z ochroną danych w organizacji. Istotnym obowiązkiem administratora jest zapewnienie IOD niezbędnych zasobów do wykonywania zadań, dostępu do danych osobowych i operacji przetwarzania oraz zasobów niezbędnych do utrzymania jego fachowej wiedzy. Obowiązek ten gwarantuje IOD dostęp do środków technicznych organizacyjnych oraz finansowych adekwatnych do charakteru i ilości zadań, w szczególności skali, skomplikowania oraz poufności przetwarzanych w organizacji danych. Administrator musi również zapewnić, że inspektor będzie mógł w miarę potrzeb uzupełniać swoją wiedzę fachową, dlatego IOD powinien mieć zagwarantowane przez administratora środki pozwalające na ciągłe aktualizowanie wiedzy na temat prawa i praktyk z obszaru ochrony danych osobowych125.
Inspektor danych osobowych podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Wysokie umiejscowienie w strukturze oraz niezależność dają mu swobodę przy weryfikowaniu przestrzegania zasad i procedur operacji przetwarzania danych osobowych w organizacji. Znaczenie IOD nadane mu przez RODO wskazuje, iż należy go traktować jako osobę o dwóch funkcjach konsultanta oraz audytora126 wewnętrznego. Taki status ma pozwolić inspektorowi na suwerenne, oparte na wiedzy oraz doświadczeniu formułowanie ocen, uwag i zaleceń w ramach realizowanych zadań i pełnionych obowiązków127.
Rozdział 4 Zapewnienie bezpieczeństwa danych osobowych
4.1. Analiza ryzyka występującego przy przetwarzaniu danych osobowych
W art. 32 RODO zobowiązuje administratorów i podmioty przetwarzające do zapewnienia bezpieczeństwa danych osobowych adekwatnego do ryzyka naruszenia praw lub wolności osób fizycznych. Zasada podejścia opartego na ryzyku uzależnia sposoby zagwarantowania bezpieczeństwa danych osobowych od charakteru, zakresu oraz okoliczności towarzyszących przetwarzaniu danych. Rozporządzenie nie narzuca żadnych szczegółowych procedur lub ścieżek postępowania w celu zapewnienia bezpieczeństwa danych, pozostawiając administratorom i podmiotom przetwarzającym swobodę decydowania o wyborze wdrażanych metod.
Motyw 75 RODO akcentuje następujące sytuacje zagrożenia dla praw i wolności osób, których dane dotyczą128:
- szkoda - jeśli przetwarzanie może m.in. narazić osobę na dyskryminację, kradzież tożsamości, stratę finansową, naruszenie dobrego imienia lub inną znaczną szkodę gospodarczą lub społeczną;
- utrata praw lub kontroli - jeżeli przetwarzanie może pozbawić osobę przysługujących jej praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
- dane wrażliwe - jeśli przetwarzane są dane osobowe, takie jak pochodzenie rasowe, poglądy polityczne, wyznanie lub przekonania światopoglądowe;
- profilowanie - gdy oceniane są czynniki osobowe w celu tworzenia lub wykorzystywania profili osobistych;
- osoby wymagające szczególnej opieki - w przypadku przetwarzania danych osób pod szczególną ochroną, w szczególności dzieci;
- duża skala129 - jeżeli przetwarzana jest duża ilość danych.
Organizacje powinny zwrócić szczególną uwagę na występowanie powyższych zagrożeń w przetwarzaniu danych osobowych.
RODO wymienia słowo ryzyko wielokrotnie, a analiza ryzyka jest na liście kontrolnej organu nadzorczego. Czytając treść rozporządzenia, należy podkreślić ważkość odpowiedniego szacowania ryzyka naruszenia praw i wolności osób. Kwestia ryzyka jest podnoszona w wielu motywach preambuły RODO, np. motywie 76, 77, 84, 86, 89 oraz przepisach, takich jak art. 30, 34, 35, 36. Ryzyko jest pewnego rodzaju miarą możliwości naruszenia praw i wolności osób130.
Ryzyko trzeba oszacować obiektywnie i rzeczowo. Wdrożenie podejścia opartego na ryzyku jest procesem ciągłym i należy do niego włączyć wszystkich pracowników oraz współpracowników organizacji. Zasada podejścia opartego na ryzyku nakazuje zachowanie odpowiedniej ochrony na wszystkich etapach przetwarzania danych. Skuteczność wdrożonych środków ochrony danych powinna być regularnie monitorowana oraz doskonalona131.
Dla każdej czynności przetwarzania danych należy przeprowadzić analizę ryzyka. Podstawowe dwa składniki analizy ryzyka dla konkretnej czynności to prawdopodobieństwo wystąpienia zdarzenia naruszającego prawa i wolności osób, których dane przetwarzamy oraz jego skutek dla tych osób. Dla każdego składnika określamy skalę i przydzielamy odpowiednie wartości liczbowe. UODO proponuje pięciostopniową skalę:
- Prawdopodobieństwo: rzadkie - 1, mało prawdopodobne - 2, możliwe - 3, prawdopodobne - 4, prawie pewne - 5.
- Skutek: bardzo niski - 1, niski - 2, średni - 3, wysoki - 4, bardzo wysoki - 5.
Poziom ryzyka będzie iloczynem prawdopodobieństwa i skutku. W pięciostopniowej skali najmniejszy poziom to 1, a największy 25. Sposób obliczania poziomu ryzyka pokazuje schemat nr 2.
Pokazany tu przykład jest jedną z możliwości wyliczania poziomu ryzyka, a samo rozporządzenie nie wskazuje żadnej metodyki. Wybór metody musi odpowiadać specyfice organizacji, uwzględniać rodzaj i wielkość danych, cele przetwarzania oraz możliwości techniczne, organizacyjne i finansowe. Dla większych podmiotów wzorem mogą być normy ISO132:
- PN-ISO/IEC 31000 - Zarządzanie ryzykiem - Zasady i wytyczne.
- PN-ISO/IEC 27005:2014-01 - Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie ryzykiem w bezpieczeństwie informacji.
Niestety normy ISO cechują się dużą ogólnością oraz żmudnym i kosztownym procesem wdrażania na który nie stać małych przedsiębiorców.
4.2. Zapewnienie bezpieczeństwa adekwatnego do ryzyka
W art. 32 ust. 1 RODO wskazuje administratorom oraz podmiotom przetwarzającym dane elementy, które należy uwzględnić przy wyborze adekwatnych do ryzyka środków bezpieczeństwa danych:
- stan wiedzy technicznej;
- koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania;
- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze;
- odpowiednie środki techniczne i organizacyjne.
RODO pozostawia dowolność przy ocenie wpływu powyższych elementów na wybór środków bezpieczeństwa, jednakże zgodnie z zasadą rozliczalności administrator oraz podmiot przetwarzający dane musi wykazać, że wdrożone środki bezpieczeństwa były adekwatne do ryzyka.
Kryterium stanu wiedzy technicznej zobowiązuje administratorów oraz podmioty przetwarzające dane do dostosowywania środków bezpieczeństwa zgodnie z postępem technologicznym. W praktyce administracyjnej oznacza to monitorowanie wdrożonego systemu oraz stosowanie rozwiązań każdorazowo nowoczesnych i odpowiadających aktualnej wiedzy z obszaru bezpieczeństwa teleinformatycznego oraz fizycznego.
Kolejnym kryterium oceny stosowanych środków bezpieczeństwa jest kryterium kosztów ich implementacji. Ponieważ nie istnieje 100%133 bezpieczeństwo, administratorzy oraz podmioty przetwarzające muszą określić akceptowane ryzyko szczątkowe134 naruszenia bezpieczeństwa, które zostanie osiągnięte przy nakładach poniesionych na jego zapewnienie. Poziom nakładów powinien być proporcjonalny do charakteru przetwarzanych danych oraz możliwości finansowych przedsiębiorstwa135. Jak wskazuje dr inż. Krzysztof Liderman dla każdej firmy (konkretnego przypadku analizy ryzyka) istnieje punkt, powyżej którego wzrost poziomu bezpieczeństwa w stosunku do poniesionych wydatków jest niewspółmierny136. Na schemacie nr 3 możemy zobaczyć hipotetyczny przykład jak wzrost wydatków przekłada się na poziom bezpieczeństwa.
Koszt systemu bezpieczeństwa nie powinien zagrażać podstawowemu celowi przedsiębiorstwa jakim jest osiąganie zysku. Do zadań podmiotu gospodarczego należy sporządzenie rachunku ekonomicznego uwzględniającego współmierne do zagrożeń nakłady na zapewnienie bezpieczeństwa danych osobowych, a w wyniku analizy podejmowanie adekwatnych działań. Jeśli to konieczne należy rozważyć zmianę charakteru, ograniczenie lub nawet zaprzestanie przetwarzania danych osobowych.
Charakter przetwarzania to przede wszystkim rodzaje danych osobowych, które mają być przetwarzane i w szczególności należy uwzględnić, czy będą przetwarzane szczególne kategorie danych. Zakres przetwarzania odnosi się zasadniczo do ilości danych które są przetwarzane, czyli innymi słowy skali przetwarzania danych osobowych. Przesłanka kontekstu przetwarzania nakazuje oceniać wszelkie okoliczności prawne i faktyczne przetwarzania. W szczególności należy oszacować intensywność ingerowania w prywatność danego procesu przetwarzania. Ostatnią przesłanką, na którą należy zwrócić uwagę są cele przetwarzania i uwzględnić jej podstawowy wymóg jakim jest zasada ograniczenia celu, zgodnie z którą dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach137.
RODO nakazuje wdrożyć środki organizacyjne i techniczne mające zapewnić adekwatny do ryzyka poziom bezpieczeństwa, nie odwołując się do konkretnych technik. Jest to konsekwentnie realizowana zasada neutralności technologicznej gwarantującej aktualność rozporządzenia niezależnie od postępu technologicznego i związanych z tym zmian. W art. 32 ust.1 wymieniono jedynie przykładowe rozwiązania:
- pseudonimizacja i szyfrowanie danych osobowych;
- zapewnienie poufności, integralności, dostępności i odporności - czyli bezpieczeństwo teleinformatyczne;
- zapewnienie szybkiego przywrócenia dostępności danych osobowych - czyli ciągłość działania i procedury odtwarzania danych po katastrofie;
- regularne testowanie i ocena skuteczności środków bezpieczeństwa - monitorowanie i testowanie.
Administratorzy mają do dyspozycji narzędzia prawne, m.in. umowy, regulacje, klauzule o poufności; organizacyjne, m.in. procedury wewnętrzne, regulaminy, dokumentacje, poziomy dostępu; zabezpieczenia fizyczne, m.in. klucze, sejfy, bezpieczne koperty; zabezpieczenia teleinformatyczne, m.in. poziomy uprawnień, firewalle, systemy wykrywania ataków sieciowych i włamań oraz programy antywirusowe. Przyjrzyjmy się teraz wskazanym przez RODO środkom zapewniania bezpieczeństwa tj. szyfrowaniu oraz pseudominizacji.
RODO nie definiuje pojęcia szyfrowanie oraz nie daje wskazówek co do szczegółów i wymagań tego procesu. Dla administratorów oraz podmiotów przetwarzających dane jest to przede wszystkim metoda zabezpieczania informacji przechowywanej w postaci cyfrowej przed niepowołanym dostępem. Szyfrowanie jest procesem przekształcającym informacje jawne w niejawne (szyfrogram) za pomocą funkcji matematycznych. Nie jest to proces pozbawiający informacji cech osobowych. Odczytywanie zaszyfrowanej informacji odbywa się za pomocą specjalnych kluczy kryptograficznych, które są ciągiem danych i powinny być znane wyłącznie autoryzowanym odbiorcom. Dane można zaszyfrować zarówno na nośnikach fizycznych, takich jak dyski twarde, pamięci przenośne, smartfony czy nośniki optyczne oraz w trakcie przesyłania przez sieci lokalne oraz rozległe. Użycie odpowiednich algorytmów szyfrujących daje gwarancję, iż przy dzisiejszym stanie technologii niepowołany odbiorca używając technik matematycznych nie będzie w stanie odczytać szyfrogramu w rozsądnym czasie138.
Szyfrowanie jest preferowaną oraz najpowszechniej stosowaną metodą zabezpieczania danych przed niepowołanym dostępem. Stosowanie szyfrowania wpływa również na integralność danych, ponieważ współczesne algorytmy szyfrujące zapewniają, że odszyfrowana informacja jest zgodna z oryginałem139. Organizacje powinny rozważyć wdrożenie szyfrowania transmisji w sieciach rozległych, szczególności w internecie, przechowywanie haseł w bazach danych w zaszyfrowanej postaci, włączenie szyfrowania nośników pamięci w urządzeń przenośnych tj. notebooki, tablety i smartfony oraz szyfrowanie kopii bezpieczeństwa.
„Konkurencyjną” formą zabezpieczania danych osobowych jest pseudonimizacja, która jest procesem przetworzenia danych osobowych w sposób uniemożliwiający zidentyfikowanie zawartych w zbiorze osób. W praktyce oznacza to rozdzielenie danych osobowych na dwa zbiory danych, z czego w pierwszym jest lista unikalnych kodów, w drugim dane osobowe z przypisanymi do nich kodami. Plik z danymi osobowymi musi być odpowiednio zabezpieczony. Dzięki takiemu rozwiązaniu jest to proces odwracalny i na podstawie listy kodów (pseudonimów) możemy przypisać dane osobowe z drugiego zbioru. Przetwarzając zbiór pseudonimów bez danych osobowych minimalizujemy ryzyko naruszenia praw i wolności osób, których dane są przetwarzane.
W celu zapewnienia adekwatnego do ryzyka bezpieczeństwa systemów przetwarzających dane osobowe, organizacje oprócz szyfrowania i pseudonimizacji mają do dyspozycji szerokie spektrum środków technicznych i organizacyjnych takich jak:
- prowadzenie rejestru czynności przetwarzania danych;
- przyznanie pracownikom dostępu do systemu teleinformatycznego wyłącznie w zakresie niezbędnym do wykonywania obowiązków;
- zaplanowanie regularnych szkoleń pracowników w zakresie świadomości zagrożeń cybernetycznych oraz ochrony danych osobowych;
- wdrożenie wymogu minimalnej złożoności haseł dla użytkowników;
- fizycznie zabezpieczenie i monitorowanie pomieszczenia do przechowywania serwerów z danymi, ograniczenie dostępu tylko dla personelu technicznego;
- wdrożenie systemów zasilania awaryjnego;
- opracowanie i wdrożenie procedury cyklicznego i automatycznego zapisu danych do kopii zapasowej;
- zapewnienie mechanizmu odzyskiwania danych z kopii zapasowej;
- przeprowadzanie regularnego audytu bezpieczeństwa.
Powyższa lista jest tylko wycinkiem dostępnych możliwości. RODO pozostawia organizacjom do samodzielnej oceny na podstawie analizy ryzyka, jakie techniki ochrony danych osobowych zaimplementują.
4.3. Prywatność w fazie projektowania i prywatność domyślna
RODO wymaga od administratorów, aby uwzględnili ochronę danych już na etapie projektowania systemów przetwarzania (privacy by design) oraz zrealizowali zasadę domyślnej ochrony danych (privacy by default). Te wymagania zobowiązują administratorów, aby zapewnienie bezpieczeństwa danych osobowych uwzględnili w każdej fazie procesu przetwarzania i co do zasady przetwarzali wyłącznie dane niezbędne do osiągnięcia celu przetwarzania.
Zasada privacy by design, która w niniejszej pracy jest określona jako „prywatność w fazie projektowania”140, oparta jest na założeniu ochrony proaktywnej i prewencyjnej z uwzględnieniem ochrony danych osobowych już w fazie projektowania wszystkich procesów zachodzących w organizacji. W rezolucji uchwalonej na 32 Konferencji Rzeczników Ochrony Danych i Prywatności uznano prywatność w fazie projektowania za niezbędny element podstawowej ochrony prywatności141. Rezolucja zawiera 7 podstawowych zasad prywatności w fazie projektowania142:
- podejście proaktywne, nie reaktywne i zaradcze, nie naprawcze;
- prywatność jako ustawienie domyślne;
- prywatność włączona w projekt;
- pełna funkcjonalność: Suma dodatnia, nie suma zerowa;
- ochrona od początku do końca cyklu życia informacji;
- widoczność i przejrzystość;
- poszanowanie dla prywatności użytkowników.
Podstawowe zasady prywatności w fazie projektowania torują drogę do włączania ochrony prywatności w fazę tworzenia projektu, w działanie jego składników oraz w zarządzanie technologiami informacyjnymi i systemami przez cały cykl życia informacji143.
Podejście proaktywne to prewencyjna ochrona prywatności ukierunkowana na podjęcie wszelkich możliwych działań celem zapobiegania powstawaniu naruszeń. Prywatność domyślna jest w RODO oddzielnym obowiązkiem, który zostanie omówiony w dalszej części. Włączenie prywatności w projekt nakazuje zaplanowanie, a następnie wbudowanie wszystkich elementów ochrony danych osobowych w narzędzia, procesy i procedury systemu przetwarzania danych.
Suma dodatnia, nie suma zerowa to założenie, w którym przyjmuje się, że wdrożenie ochrony prywatności nie wymaga kompromisów. O ile ochrona prywatności na ogół idzie w parze z poprawą bezpieczeństwa, to w praktyce zdarza się, że funkcjonalność na tym cierpi, a osoby obsługujące systemy mają zwiększoną ilość obowiązków. Jednakże są oczywiste przykłady, gdy ochrona prywatności i jej podstawowa zasada minimalizacji wpływa na poprawę funkcjonalności, ponieważ personel obsługujący systemy przetwarzające uzupełnia tylko niezbędne do celu przetwarzania dane w formularzach, nie tracąc czasu na zbędne.
Ochrona prywatności w pełnym cyklu życia informacji nakazuje, aby bezpieczeństwo danych oraz poszanowanie prywatności były podstawą funkcjonowania danej technologii czy procesu tak długo, jak jest on stosowany, aż do usunięcia danych lub likwidacji danego systemu144. Zasada przejrzystości to obowiązek dostarczenia osobie, której dane dotyczą niezbędnych informacji do wykonania przyznanych jej praw i wolności w RODO. Ostatnia zasada – poszanowanie prywatności dla użytkowników zobowiązuje do kontroli nad danymi osób, których dane są przetwarzane.
Domyślna ochrona danych (privacy by default) nakłada na twórców wszystkich systemów przetwarzających dane osobowe obowiązek wbudowania w ustawienia początkowe jak najdalej posuniętych zabezpieczeń prywatności. Istotą privacy by default jest aby ograniczenie lub rezygnacja z prywatności następowała na wyraźne żądanie osoby, której dane dotyczą145. Innymi słowy jest to zastosowanie bezwarunkowo zasady minimalizacji w domyślnych ustawieniach wszystkich elementów systemów przetwarzających dane osobowe.
Co do zasady zakłada się, że ustawienia początkowe wbudowane w systemy są używane przez większość użytkowników, dzięki czemu bierny użytkownik staje się beneficjentem systemu, który zapewnia mu ochronę prywatności bez konieczności podejmowania aktywnych działań146. Przykładem zastosowania domyślnej ochrony danych w praktyce może być zachowanie poszanowania prywatności przez portale społecznościowe, które w ustawieniach początkowych konta użytkownika powinny ograniczyć dostępność jego danych dla pozostałych uczestników portalu, anonimowych internautów oraz wyszukiwarek internetowych. Dopiero samodzielne i świadome działanie użytkownika może skutkować zmniejszeniem ochrony. Zasada domyślnej ochrony danych daje osobom fizycznym uzasadnione oczekiwanie respektowania ich prywatności przez organizacje.
Zgodnie z art. 25 ust. 3 RODO administratorzy mogą wykazać się wypełnieniem obowiązku uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych przez wprowadzenie zatwierdzonego mechanizmu certyfikacji. Mechanizm certyfikacji określa art. 42 rozporządzenia, a warunki i tryb dokonywania certyfikacji reguluje Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
4.4. Prawidłowa ocena skutków operacji przetwarzania dla ochrony danych
RODO nałożyło na administratorów obowiązek przeprowadzenia prewencyjnej oceny skutków dla ochrony danych przed rozpoczęciem operacji przetwarzania danych, które mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W trakcie analizy należy ustalić, zidentyfikować i oszacować w szczególności: źródła, charakter, specyfikę i powagę ryzyka. Na podstawie oceny skutków administrator powinien dobrać środki techniczne i organizacyjne, które gwarantują przetwarzanie danych osobowych zgodnie z przepisami RODO. Co więcej, jeśli analiza wskazuje na wysokie ryzyko dla praw lub wolności osób fizycznych, którego administrator nie jest w stanie zminimalizować przy wykorzystaniu dobranych środków, to zgodnie z motywem 84 rozporządzenia przed podjęciem czynności przetwarzania ma on obowiązek skonsultowania się z organem nadzorczym.
Ocena skutków dla ochrony jest również narzędziem rozliczalności, ponieważ ułatwia administratorom przestrzeganie wymogów zapisanych w rozporządzeniu oraz wykazanie, że powzięto odpowiednie środki celem przestrzegania przepisów RODO. Innymi słowy ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności147. Przeprowadzenie oceny skutków dla ochrony danych nie jest obligatoryjne dla każdej operacji przetwarzania, a administratorzy na podstawie ogólnych przesłanek rozporządzenia muszą samodzielnie ustalić czy planowaną zmianę sposobu lub wprowadzenie nowego rodzaju przetwarzania danych należy poprzedzić oceną skutków dla ochrony danych.
Przeprowadzenie oceny skutków dla ochrony danych jest obligatoryjne, gdy148:
- dany rodzaj przetwarzania został wymieniony w przepisie prawa,
- dany rodzaj przetwarzania został wymieniony w publicznym wykazie organu nadzorczego,
- w wyniku szacowania ryzyka jego poziom został określony jako wysoki.
RODO nie definiuje wszystkich możliwych przypadków, powodujących wysokie ryzyko naruszenia praw i wolności, pozostawiając organom nadzorczym wydawanie wytycznych, rekomendacji oraz decyzji pokontrolnych.
Prezes Urzędu Ochrony Danych Osobowych dnia 17 sierpnia 2018 r. opublikował w Monitorze Polskim wykaz149 zawierający dziewięć rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony i są to:
- Ewolucja lub ocena, w tym profilowanie i przewidywanie w celach mogących wywołać negatywne skutki lub niedogodności dla osób fizycznych. Np. profilowanie użytkowników portali społecznościowych, ocena zdolności kredytowej czy ocena stylu życia.
- Zautomatyzowane podejmowanie decyzji powodujących skutki prawne, finansowe, inne istotne dla osoby. Np. systemy monitoringu lub zarządzania ruchem, monitorowanie zakupów i preferencji zakupowych.
- Systematyczne monitorowanie miejsc dostępnych publicznie. Np. rozbudowane systemy monitoringu miejsc publicznych, monitorowanie czasu pracy oraz działań pracownika, pojazdy inteligentne i autonomiczne monitorujące otoczenie, przenośne systemy monitoringu służb publicznych.
- Przetwarzanie danych wrażliwych i karnych. Np. przetwarzanie danych biometrycznych, przetwarzanie danych o przynależności partyjnej oraz preferencjach wyborczych, nagrywanie interwencji przez funkcjonariuszy służb mundurowych przy użyciu kamery w trakcie czynu zabronionego.
- Przetwarzanie danych na dużą skalę. Np. masowe zbieranie danych o przeglądanych stronach internetowych, zakupach czy oglądanych filmach, wykorzystanie centralnych zbiorów danych, takich jak centralna informacja oświatowa czy centralna baza danych ubezpieczeń komunikacyjnych.
- Agregacja i analiza danych z różnych źródeł. Np. łączenie danych z różnych rejestrów państwowych lub publicznych celem pozyskania szczegółowych danych o danej osobie, tworzenie profili osób na podstawie danych z różnych źródeł.
- Przetwarzanie danych w połączeniu z uprawnieniami władczymi. Np. przetwarzanie danych przez serwisy oferujące pracę, które dokonują klasyfikacji lub ocen osób celem dopasowania ofert do określonych preferencji pracodawców.
- Innowacyjne wykorzystanie rozwiązań technologicznych lub organizacyjnych. Np. urządzenia Internetu Rzeczy, takie jak liczniki energii służące do zdalnego pomiaru i w konsekwencji profilowania osób. Również systemy przetwarzania i analizy metadanych, takie jak serwisy internetowe przetwarzające metadane zapisane przez aparaty fotograficzne w plikach ze zdjęciem150.
- Przetwarzanie uniemożliwiające osobom wykonanie ich praw. Np. uzależnienie decyzji kredytowej od informacji dostępnych w rejestrach dłużników, czyli podjęcie decyzji tylko w oparciu o obecność osoby w Krajowym Rejestrze Długów.
Powyższy wykaz stanowi uzupełnienie wskazanych wprost w RODO operacji przetwarzania podlegających obowiązkowej ocenie skutków przetwarzania.
RODO nie narzuca metodyki prowadzenia oraz nie wymaga dokumentowania oceny skutków dla ochrony danych, wskazując jedynie jej obligatoryjne elementy:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania;
- ocena czy operacje przetwarzania są niezbędne i proporcjonalne do celów;
- ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą;
- planowane środki w celu zaradzenia ryzyku.
Pomocne przy wypracowywaniu własnej metodyki w organizacji będą opracowania na ten temat, takie jak wytyczne Grupy Roboczej Art. 29 dotyczące oceny skutków dla ochrony danych, publikacja UODO z maja 2018 r. Jak stosować podejście oparte na ryzyku? oraz normy ISO, szczególnie w zakresie zarządzania ryzykiem (ISO/IEC 27005).
Prawidłowa ocena czy planowane operacje mogą rodzić wysokie ryzyko naruszenia praw i wolności osób fizycznych bywa trudne do rozstrzygnięcia. W praktyce dla każdego rodzaju operacji przetwarzania administrator powinien przeprowadzić wstępną ocenę ryzyka. Jeżeli ta wstępna analiza wykaże, że dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, należy przeprowadzić ocenę skutków dla ochrony danych. Gdy nie można rozstrzygnąć o konieczności przeprowadzenia oceny skutków dla ochrony danych, zaleca się jednak przeprowadzenie takiej oceny151.
Rozdział 5 Rok obowiązywania RODO
5.1. Trudne początki
Minął pierwszy rok obowiązywania unijnego Rozporządzenia o Ochronie Danych Osobowych. Było to z pewnością największe wydarzenie legislacyjne w 2018 r., które swoim zasięgiem objęło wszystkie przedsiębiorstwa oraz instytucje na całym świecie przetwarzające dane obywateli Unii Europejskiej. W tym rozdziale podsumujemy pierwszy rok oddziaływania nowego prawa na przedsiębiorców oraz jego wpływ na życie mieszkańców wspólnoty.
Pomimo uspokajających wypowiedzi Prezesa UODO od 25 maja 2018 r. nastąpiła rewolucja w ochronie danych. Na firmy oraz inne podmioty przetwarzające dane osobowe został nałożony obowiązek dostosowania sposobów ochrony danych w oparciu o podejście oparte na ryzyku. Bezpośrednią odpowiedzialność cywilną i administracyjną ponoszą wszystkie podmioty uczestniczące w przetwarzaniu danych, a niezależny urząd nadzorczy może nakładać drakońskie kary za nieprzestrzeganie przepisów152.
Nowe regulacje sprawiają duże problemy z interpretacją zawartych w nich przepisów, co było szczególnie odczuwalne w początkowym okresie obowiązywania ogólnego rozporządzenia o ochronie danych. Prezes UODO w swoim liście z 25 maja 2018 r. wskazała, iż Nowe prawo (…) odchodzi od szczegółowego regulowania niektórych zagadnień (…). Spełnienie określonych w RODO standardów będzie wymagało odpowiedzialności, kreatywności i samodzielności (…). Zdaję sobie sprawę z tego, że na początku wszystkie te działania mogą sprawiać trudności.
Ekspert w kwestiach ochrony danych mec. Maciej Gawroński pisze wprost Dotychczas ani w prawie polskim, ani w prawie UE nie było aktu, który nakładałby tak wysokie kary za nieprzestrzeganie tak niejasnych przepisów praktycznie na wszystkie organizacje.
. Media zalała fala wiadomości o nieracjonalnych działaniach podmiotów gospodarczych oraz instytucji publicznych. W doniesieniach pojawiły się słowa strach, absurd, panika, chaos, a nawet sformułowanie o niszczeniu wolności153.
Trudno się dziwić administratorom danych, którzy nie mając jasnych wskazówek co do sposobów postępowania pod rygorami nowych regulacji chcieli zachować jak największą ostrożność i zbyt skrupulatnie stosowali zapisy rozporządzenia. Przykłady:154
- Po wypadku autokarowym z udziałem dzieci jadących na wakacje rodzice mieli trudności z uzyskaniem informacji do którego szpitala trafili ich podopieczni. Personel szpitalny jako przyczynę podawał oczywiście RODO, co nie miało uzasadnienia, ponieważ pytano o konkretnego pacjenta, a nie ich listę.
- Dyrektorzy szkół mieli wątpliwości czy na szkolnej gali można posłużyć się nazwiskiem ucznia wręczając mu świadectwo z wyróżnieniem. Jak wyjaśniał dr Maciej Kawecki z Ministerstwa Cyfryzacji, RODO dotyczy zbiorów danych nie ograniczając relacji międzyludzkich.
- Prawnicy sejmowi uznali, że transmisja z wysłuchania kandydatów na ławników Sądu Najwyższego narusza przepisy rozporządzenia o ochronie danych i nakazali przerwanie przekazu. W konstytucji w art. 61 możemy przeczytać
Obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. (…) z możliwością rejestracji dźwięku lub obrazu
. - Odbiorca wizytówki automatycznie staje się administratorem danych i podlega obowiązkowi informacyjnemu. Jak wskazuje dr. Kawecki świadome i aktywne działanie wręczającego jest wyrażeniem zgody na wykorzystanie danych z wizytówki do kontaktu. Należy jednak pamiętać, iż wprowadzenie przez przedsiębiorcę lub reprezentanta innej organizacji informacji z wizytówki do bazy danych bez uzasadnionego celu prawnego nakłada na niego obowiązki zapisane w rozporządzeniu.
- Wiele firm żąda wyrażenia zgody na przetwarzanie danych od klientów zawierających z nimi umowy, a zgodnie z art. 6 RODO przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do jej wykonania. Problematyczna staje również się dobrowolność takiej zgody, skoro uzależnia się od tego wykonanie usługi czy sprzedaż produktu. Należy się też liczyć z obowiązkami wynikającymi z przetwarzania danych osobowych na podstawie zgody, takich jak prawo do cofnięcia zgody, prawo do bycia zapomnianym, czy prawo do przeniesienia danych przez udzielającego zgodę. Można tego wszystkiego uniknąć korzystając z właściwej w danych warunkach przesłanki do przetwarzania danych155.
Powyższa lista jest zaledwie niewielką częścią doniesień, które pojawiły się w internecie od dnia rozpoczęcia obowiązywania RODO.
Innym negatywnym efektem nowych regulacji był wysyp prób „wyłudzenia na RODO”. Przedsiębiorcy zaczęli otrzymywać e-maile z żądaniem informacji dotyczących stanu wdrożenia w ich firmach, a brak odpowiedzi miał skutkować zawiadomieniem urzędu nadzorczego lub prokuratury. W zamian przestępcy proponowali zakup dokumentacji lub płatny audyt. Inną formą wyłudzenia były próby sprzedaży bliżej nieokreślonych certyfikatów jeszcze przed rozpoczęciem obowiązywania krajowej ustawy regulującej ich wydawanie. Były również przypadki zgłaszania się do przedsiębiorców osób podających się za kontrolerów z Urzędu Ochrony Danych Osobowych. W komunikacie z 3 sierpnia 2018 r. dr Edyta Bielak-Jomaa ostrzegła przed fałszywymi kontrolerami wskazując, że Urząd co do zasady pisemnie uprzedza o planowanej kontroli156. Narastający problem dostrzegł ustawodawca wprowadzając zmiany do Kodeksu karnego pozwalające karać za usiłowanie wyłudzeń pod pretekstem ochrony danych osobowych, czyli tzw. szantaż „na RODO”.
Kolejnym przykładem trudności interpretacyjnych jest spór kompetencyjny powstały pomiędzy Urzędem Ochrony Danych Osobowych, a Ministerstwem Cyfryzacji. Minister Cyfryzacji na konferencji w dniu 23 stycznia 2019 r. przedstawił wyjaśnienia prawne odnośnie zasad przetwarzania danych osobowych w rekrutacji. Jako podstawę prawną resort wskazał art. 33 ust. 1 ustawy z 6 marca 2018 r. Prawo przedsiębiorców, zgodnie z którą ministerstwa mogą wydawać wiążące dla przedsiębiorców objaśnienia prawne. Zgoła odmienne stanowisko zajęła Prezes UODO, która w wydanym komunikacie podniosła że w Polsce jedynym i wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych jest Prezes UODO (…) w świetle prawa UE Prezes UODO nie jest związany jakimikolwiek formalnymi objaśnieniami prawnymi dotyczącymi stosowania RODO.
157. Co więcej porównując objaśnienia prawne wydane przez Ministerstwo Cyfryzacji oraz poradniki wydane przez UODO widać wyraźną różnicę w interpretacji tych samych postanowień RODO158. Najbardziej poszkodowani są przedsiębiorcy, którzy zostali narażeni na jeszcze większą niepewność prawną, a na których za nieprawidłowe stosowanie przepisów może zostać nałożona kara finansowa.
Dla wszystkich organizacji wdrożenie odpowiedniej ochrony danych osobowych oznacza przede wszystkim zwiększenie kosztów działalności159. Brak jasnych wytycznych powoduje, że firmy wdrażające procedury wymagane przez RODO nie mają pewności, czy robią to prawidłowo, a w skrajnych przypadkach z powodu obawy przed nowymi regulacjami rezygnują z usług wymagających przetwarzania danych osobowych160.
5.2. Pozytywne oddziaływanie
Pierwszy rok obowiązywania ogólnego rozporządzenia o ochronie danych stanowił wyzwanie dla wszystkich podmiotów objętych nowymi regulacjami. Uwaga opinii publicznej była skupiona na problemach ze stosowaniem nowego prawa, mitach oraz absurdach spowodowanych strachem organizacji przed potencjalnie drakońskimi karami. W cieniu tych doniesień toczyła się trudna codzienna praca celem dostosowania do wymagających przepisów, co podkreśliła Prezes UODO w liście z 23 listopada 2018 r161.
Urząd Ochrony Danych Osobowych w swoim bilansie półrocza162 wskazuje na już odczuwalne korzyści wynikające z rozpoczęcia stosowania nowego prawa, które warto w tym miejscu przytoczyć:
- wzrost znaczenia kwestii ochrony danych i prywatności,
- analiza i porządkowanie procesów przetwarzania danych przez organizacje,
- uproszczenie klauzul informacyjnych,
- powoływanie inspektorów ochrony danych (IOD),
- zmiana praktyk stosowanych przez globalnych graczy,
- informowanie osób o naruszeniu ochrony ich danych osobowych.
Powołanie inspektorów ochronnych danych oraz informowanie osób o naruszeniu ochrony to elementy nowych regulacji, których pozytywny wpływ na prawa jednostek dało się zauważyć w codziennym życiu. Po naruszeniu ochrony danych osobowych klientów sklepów internetowych należących do Morele.net wszyscy użytkownicy otrzymali zawiadomienie. Można było również skontaktować się z inspektorem danych osobowych i otrzymać na żądanie zestawienie przetwarzanych przez firmę danych osobowych, co autor niniejszej pracy skutecznie uczynił.
Jeszcze przed 25 maja 2019 r. UODO oraz Ministerstwo Cyfryzacji rozpoczęły publikację poradników dla podmiotów wdrażających nowe zasady. Na kanale YouTube Dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji dr Maciej Kawecki odpowiadał na pytania oraz obalał mity związane z RODO. UODO uruchomił dwie infolinie jedną ogólną, a drugą w lutym 2019 r. dedykowaną inspektorom ochrony danych. Działania informacyjne urzędów można zaliczyć do udanych.
W dniu 28 stycznia 2019 r. obchodzony był po raz 13 Dzień Ochrony Danych Osobowych163. Na seminarium zostało podsumowane 7 miesięcy prac UODO. Urząd w tym czasie otrzymał ponad 10 tysięcy skarg, pytań i zgłoszeń w kwestiach ochrony danych. Na infolinii Urzędu przeprowadzono ponad 14 tysięcy konsultacji. Prezes UODO prowadził w tym czasie liczne szkolenia i warsztaty dla podmiotów wdrażających zasady nowej regulacji. Na stronach internetowych UODO regularnie publikowane są aktualności, informacje i ostrzeżenia. Można się również umówić na osobiste konsultacje w siedzibie Urzędu, co sprawdził osobiście autor niniejszej pracy zasięgając porady u przedstawicielki działu prawnego.
W krótkim opracowaniu z grudnia 2018 r. BitSight Technologies164 stawia tezę, że w Europie poprawiło się bezpieczeństwo teleinformatyczne czego zasługą jest rozpoczęcie działania ogólnego rozporządzenia o ochronie danych. W 2018 r. według raportu organizacje ze wszystkich branż doświadczyły naruszeń bezpieczeństwa, a globalna jakość bezpieczeństwa była niska, lecz poprawiała się w Europie. Poprawa ta była szczególnie widoczna w miesiącach poprzedzających i następujących po wprowadzeniu RODO165.
W maju 2019 r. Europejska Rada Ochrony Danych opublikowała bilans, w którym potwierdza wzrost świadomości mieszkańców UE na temat ochrony danych ich danych osobowych. Według marcowych badań Eurobarometru 67% ankietowanych stwierdziło, że słyszało o RODO, 36% wie z czym rozporządzenie się wiąże, a 57% badanych wiedziało o krajowym organie publicznym odpowiedzialnym za ochronę ich praw w zakresie ochrony danych. Te wyniki oznaczają 20% wzrost świadomości w porównaniu do badań przeprowadzonych w 2015 r166.
Jedną z wartości RODO jest jego rosnący wpływ na legislację krajów spoza wspólnoty. W Szwajcarii, Norwegii, Islandii oraz Księstwie Liechtensteinu wprowadzono lub są w trakcie legislacji przepisy chroniące dane osobowe bardzo podobne do RODO. W licznych krajach Afryki oraz południowo wschodniej Azji można zauważyć narastającą debatę dotyczącą prawnej ochrony danych. W Indiach toczą się prace legislacyjne nad przepisami wzorowanymi na RODO. W lutym 2020 r. w Brazylii zacznie obowiązywać „General Data Protection Law”, który jest oparty na wartościach zawartych w europejskim ogólnym rozporządzeniu o ochronie danych osobowych.
W Stanach Zjednoczonych, które mają odmienne podejście do ochrony danych osobowych również rozpoczęła się dyskusja dotycząca wprowadzenia regulacji na poziomie całego kraju. Prezes Apple Inc. Tim Cook 24 października 2018 r. pochwalił udaną implementację prawa do ochrony danych osobowych w Europie i wezwał prawodawców USA do pójścia w ślady UE. W styczniu 2019 r. został opracowany przez agencję rządową świadczącą usługi audytorskie dla Kongresu 56 stronnicowy raport167 w którym rekomendowane jest wprowadzenie prawa wzorowanego na RODO.
Powyższe przykłady pokazują, że Unia Europejska wyznaczyła standardy prawne w zakresie ochrony danych osobowych i prywatności, które będą inspirowały procesy legislacyjne w innych krajach na całym świecie.
5.3. Działania organów administracji publicznej
W styczniu 2019 r. Komisja Europejska wydała oświadczenie, w którym krótko podsumowała osiem miesięcy funkcjonowania RODO. W ocenie Komisji nowe przepisy o ochronie danych są najbardziej rygorystyczne i najnowocześniejsze na świecie oraz stają się światowym standardem. Zapoznajmy się z najciekawszymi statystykami dotyczącymi funkcjonowania przepisów na terenie UE:
- Ponad 95 tys. skarg od obywateli wpłynęło do krajowych organów ochrony danych.
- Telemarketing, e-mail marketing i monitoring wizyjny były przyczyną największej ilości skarg.
- Ponad 40 tys. zgłoszonych przypadków naruszenia ochrony danych osobowych.
- Wszczęto 255 postępowań kontrolnych w większości w wyniku zgłoszonych skarg przez osoby prywatne.
- 23 państwa członkowskie wdrożyły krajowe regulacje, pozostałe 5 (Bułgaria, Grecja, Słowenia, Portugalia, Czechy) są w trakcie implementacji.
- Nałożono kilka kar w związku z naruszeniem zasad zawartych w nowych regulacjach.
Jak wynika z powyższych danych, nowe prawo zaczęło działać, a obywatele są świadomi przysługujących im praw.
Największą obawę wśród przedsiębiorców wzbudzają gigantyczne kary, które urzędy nadzoru mogą nałożyć za nieprzestrzeganie zasad ochrony danych osobowych. Do maja 2019 r. w krajach członkowskich nałożono do tej pory niewiele kar na podstawie nowych przepisów, a ich wysokość była zróżnicowana w zależności od skali naruszenia zasad rozporządzenia oraz wielkości organizacji.
Francuski regulator CNIL nałożył na Google Inc karę w wysokości 50 mln euro za brak transparentności, niewystarczające informacje i brak właściwych zgód odnośnie personalizowania reklam. W Niemczech platforma społecznościowa Knuddels.de zgłosiła naruszenie ochrony danych osobowych i po dochodzeniu okazało się, że hasła użytkowników przechowywane były w niezabezpieczony sposób za co została wymierzona kara 20 tys. euro. Austriacki punkt zakładów sportowych został ukarany za nieprawidłowo ustawiony monitoring wizyjny kwotą 5 280 euro.
W Portugalii nałożono sumaryczną karę w wysokości 400 tys. euro na szpital Barreiro-Montijo. Powodem tak wysokiej sankcji było naruszenie trzech artykułów RODO. Jedną z przyczyn naruszenia był nieuprawniony dostęp do danych medycznych hospitalizowanych pacjentów. W trakcie dochodzenia ustalono, że szpital nie podjął adekwatnych do ryzyka środków celem zapewnienia ochrony danych168. Duński regulator zarekomendował nałożenie na przedsiębiorstwo taksówkowe kary w wysokości około 160 tys. euro za naruszenie zasady minimalizacji danych. Firma nie usuwała numerów telefonów klientów przez pięć lat od wygaśnięcia ich kont w systemie169. Litewski regulator nałożył karę w wysokości 61 500 euro na operatora płatności internetowych MisterTango UAB za naruszenie zasady minimalizacji oraz nie poinformowania o wycieku danych klientów w lipcu 2018 r.
Kolejna nałożona kara jest wynikiem działania krajowego Urzędu Ochrony Danych Osobowych. Prezes UODO dr Edyta Bielak-Jomaa w dniu 26 marca 2019 r. poinformowała o nałożeniu kary w wysokości 943 tys. zł. na spółkę Bisnode przetwarzającą dane osobowe dostępne z publicznych rejestrów m.in. CEIDG. Zdaniem organu nadzorczego pomimo przetwarzania danych osobowych, podmiot nie dopełnił w pełni obowiązku informacyjnego. Administrator poinformował o przetwarzaniu wyłącznie osoby do których posiadał adres e-mail, nie zawiadamiając pozostałych. Spółka przetwarzała dane ok. 6 mln osób, a obowiązek informacyjny wypełniła jedynie wobec ok. 682 tys. osób. Podmiot powołał się na tzw. „nadmierny wysiłek” i uznał, że może skorzystać z wyłączenia zapisanego w art. 14 ust. 5 lit. b RODO i nie wypełniać obowiązku informacyjnego.
Decyzja krajowego organu nadzorczego wzbudziła kontrowersje w środowisku prawniczym głównie ze względu na wysokość sankcji. Prezes UODO wskazała, że wielkość kary powinna zniechęcić ukaranego do wkalkulowania jej w koszty prowadzonej działalności, a przy ustalaniu jej wysokości wzięto pod uwagę m.in. świadome podjęcie decyzji o niezrealizowaniu obowiązku informacyjnego. Zdaniem dr Mirosława Gumularza trudno się zgodzić, aby w tej sprawie zagrożenie dla praw lub wolności, wymagało wdrożenia wyśrubowanych mechanizmów informacyjnych170. Adwokat Paweł Litwiński ocenia, że „kara jest zbyt wysoka, bo kwestia, czy w takim stanie faktycznym istniał obowiązek informacyjny, może budzić wątpliwości.”171.
Prezes UODO dr Edyta Bielak-Jomaa oceniła, że jeśli spełnienie obowiązku informacyjnego listem lub przez sms jest niemożliwe lub wymagałoby niewspółmiernego wysiłku, można go zrealizować, np. przez publikację informacji telewizyjnej, prasowej. Dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji nie ma pewności, czy taka realizacja obowiązku byłaby skuteczna. - Byłbym bliższy stanowiska, że nie.
172. Porównując powyższe wypowiedzi urzędników publicznych wydaje się, że kontrowersje związane z decyzją organu mają swoje uzasadnienie, a UODO skorzystał ze swoich ustawowych uprawnień zbyt gorliwie.
W dniu 26 kwietnia 2019 r. Prezes UODO na mocy decyzji ZSPR.440.43.2019 nałożyła na jeden ze związków sportowych karę w wysokości 55 750 zł za upublicznienie na stronie internetowej numerów PESEL i adresów zamieszkania sędziów, którym przyznano licencje. Przy ustaleniu wysokości kary Prezes UODO wziął m.in. pod uwagę czas trwania naruszenia oraz wielkość grupy osób (585 sędziów).
Na szczęście dla organizacji przetwarzających dane osobowe wymierzanie kar to nie jedyna aktywność UODO. Urząd opublikował w Monitorze Polskim173 pierwszy wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Jest to ważne źródło wiedzy dla administratorów oraz inspektorów ochrony danych. W dniu 31 października 2018 r. UODO wydał komunikat, w którym określił, że dla oznaczania stron w postępowaniu administracyjnym nie powinno się wykorzystywać numeru PESEL. Jego używanie jest nadmiarowe i niezgodne z zasadą minimalizacji danych wyrażoną w art.5 ust. 1 lit. c RODO. W związku z naruszeniem ochrony danych osobowych klientów sklepu internetowego Morele.net Urząd podjął czynności zmierzające do oceny czy działalność przedsiębiorstwa odbywa się zgodnie z przepisami RODO.
Po doniesieniach w mediach Prezes UODO zwróciła się do Ministerstwa Finansów z prośbą o wyjaśnienie czy pracodawcy są w stanie sprawdzić w usłudze Twój e-PIT swojego pracownika dane przekazane przez innych płatników. Jednocześnie poprosiła o wyjaśnienie czy przed wdrożeniem usługi, dokonano oceny skutków dla ochrony danych, o których mowa w art. 35 RODO. Takie działania podjęte wobec instytucji publicznych mają duże znaczenie, ze względu na masową skalę przetwarzania przez te organy danych osobowych obywateli, co powoduje wysokie ryzyko naruszenia ich praw i wolności.
Ponadto UODO prowadzi dość szeroką kampanię informacyjną na swoich stronach internetowych oraz organizuje różnego rodzaju konferencje, seminaria i prezentacje. W styczniu 2019 r. Urząd opublikował roczny plan kontroli sektorowych na 2019 r. W sektorze publicznym będzie to m.in. miejski monitoring, system monitoringu odpadów, rejestry członków spółdzielni mieszkaniowych. W sektorze prywatnym przede wszystkim telemarketing oraz profilowanie w sektorze bankowym i ubezpieczeniowym. W sektorze organów ścigania i sądów m.in. Policja – środki techniczne zapobiegające nieuprawnionemu przetwarzaniu danych na nośnikach, Straż Graniczna oraz Areszty Śledcze. W szkołach i placówkach oświatowych, przetwarzanie danych osobowych rejestrowanych monitoringiem wizyjnym.
Wprowadzenie nowych regulacji nie poprawia automatycznie bezpieczeństwa informacji, o czym możemy się przekonać analizując raport Najwyższej Izby Kontroli o zarządzaniu bezpieczeństwem informacji w jednostkach samorządu terytorialnego z dnia 10 maja 2019 r174. W części odnoszącej się do RODO kontrolerzy NIK stwierdzili w ¼ urzędów niedostosowanie uregulowań wewnętrznych do przepisów rozporządzenia. Natomiast w co piątym urzędzie osoby pełniące funkcję Inspektora Ochrony Danych miały przydzielone również inne obowiązki i zadania, które mogły powodować konflikt interesów. Informacja o wynikach kontroli została przekazana m.in. Prezesowi Urzędu Ochrony Danych Osobowych.
5.4. Ocena RODO w opinii internautów
Pomiędzy 1 a 21 sierpnia 2018 r. Związek Pracodawców Branży Internetowej IAB Polska przeprowadził badanie mające zebrać opinie internautów na temat skutków stosowania RODO175. Wielkość próby wyniosła 1278 osób, maksymalny błąd oszacowania stanowił 2,6%, badana grupa objęła osoby powyżej 15-go roku życia. Dane z tego raportu posłużą do analizy tego co internauci myślą o RODO oraz wpływie rozporządzenia na bezpieczeństwo w internecie.
Zdecydowana większość (94%) internautów zadeklarowała, że słyszała o nowych unijnych regulacjach chroniących ich dane osobowe. Aż 41% z ankietowanych zadeklarowało, iż zna szczegóły rozporządzenia, taki sam odsetek był zdania, że mniej więcej wie o co w nim chodzi, a tylko 13% przyznało, że nie ma wiedzy o szczegółach regulacji. Na schemacie nr 4 możemy zobaczyć jak ankietowani odpowiadali na pytanie czy słyszeli o rozporządzeniu.
Ponad połowa internautów (51%) słyszała o RODO jeszcze przed rozpoczęciem jego obowiązywania 25 maja 2018 r., 23% uczestników badania odpowiedziało, że takiej wiedzy nie posiadało, a 26% nie potrafiło jednoznacznie określić, kiedy pierwszy raz usłyszało o rozporządzeniu. Kolejnym istotnym elementem badania była ocena świadomości praw jakie daje internautom unijna regulacja. Blisko połowa (49%) stwierdziła, że wie jakie prawa daje im rozporządzenie, przeciwnego zdania było 22% z nich, a pozostali nie mieli wyrobionej opinii.
W przeprowadzonym badaniu podjęto również kwestię oceny wpływu unijnych regulacji na ochronę danych. Zapytano internautów czy sądzą, że RODO przełożyło się na podniesienie bezpieczeństwa ich danych osobowych. Odpowiedzi rozłożyły się równomiernie pośród badanych. I tak 33% uczestników badania oceniło, że ich dane są lepiej chronione, 34% nie odczuło zmiany, a 34% nie miało wyrobionego zdania na ten temat.
Badanych pytano również o to, z którego prawa unijnego rozporządzenia skorzystali od momentu jego obowiązywania. Ponad dwie trzecie z ankietowanych odpowiedziało, że nie skorzystało dotychczas z żadnego przysługującego im uprawnienia. Wśród pozostałych najwięcej osób wyraziło sprzeciw przeciw profilowaniu. Szczegóły rozkładu odpowiedzi możemy prześledzić na schemacie nr 5.
Analizując wyniki raportu należy podkreślić, że świadomość rozpoczęcia stosowania RODO jest wśród internautów bardzo wysoka, co jest zrozumiałe, ponieważ osoby fizyczne doświadczają jego skutków praktycznie w każdej dziedzinie swojego życia. Otrzymaliśmy wiele wiadomości e-mail wypełniających obowiązek informacyjny, we wszystkich mediach pojawiły się informacje o „absurdach RODO”176 oraz ostrzeżenia przed wysokimi karami. Na każdym kroku podpisujemy zgody na przetwarzanie danych, w większości miejsc pracy rozmawia się i komentuje nowe prawo. Wprowadzenie RODO upowszechniło wiedzę na temat danych osobowych oraz konieczności ich ochrony, co jest niewątpliwie sukcesem edukacyjnym rozporządzenia.
Pozytywnie należy ocenić odsetek użytkowników, którzy są świadomi swoich praw wynikających z rozporządzenia, pomimo krótkiego okresu jaki upłynął pomiędzy rozpoczęciem funkcjonowania RODO i datą badania. W tym czasie już co trzeci użytkownik internetu skorzystał z przysługujących mu praw.
Wyniki raportu pokazują, że dwa miesiące od rozpoczęcia obowiązywania RODO użytkownicy byli dość sceptyczni co do wpływu nowych regulacji na bezpieczeństwo ich danych, ale doniesienia o zasadnych i skutecznych działaniach urzędu nadzorującego z pewnością poprawią tę opinię. Należy dać czas nowym regulacjom na pełne zadomowienie się w naszym życiu.
Zakończenie
W epoce cyfrowej dane to surowiec i podstawa do kreowania nowych wartości i zaspokajania ludzkich potrzeb
177. Dane osobowe obywateli mogą być wykorzystywane w słusznym celu, ale bywają również przedmiotem nadużyć ze strony przetwarzających je organizacji. Unia Europejska podjęła się trudnego i ważnego zadania jakim jest ochrona danych osobowych swoich obywateli. Sprawa Facebook/Cambridge Analytica oraz inne naruszenia ochrony danych pokazały, że to podejście było prawidłowe. W wyniku prac rozpoczętych w 2009 r. Parlament Europejski uchwalił ogólne rozporządzenie o ochronie danych 2016/679 (RODO), które obowiązuje od 25 maja 2018 r.
W świecie wszechobecnego internetu, nowoczesnych technologii, oraz globalnie działających korporacji technologicznych jedyna możliwość ochrony prywatności obywateli to dobre prawo i jego skuteczna egzekucja. Wprowadzenie przez UE ogólnego rozporządzenia o ochronie danych 2016/679 (RODO) wychodzi naprzeciw celowi jakim jest ochrona danych obywateli Unii. Organy powołane do kontroli przestrzegania nowych regulacji otrzymały niezależność oraz narzędzia do egzekwowania prawa. Kluczowe w powodzeniu reformy jest skuteczne, lecz rozważne postępowanie organów nadzoru. Od ich działań zależy czy nowe prawo będzie efektywnie chronić prywatność osób fizycznych, a przez organizacje nie będzie postrzegane jako uciążliwe i represyjne.
Zmiany oraz nieracjonalne działania organizacji szczególnie w początkowym okresie obowiązywania rozporządzenia spowodowały u wielu osób efekt „zmęczenia RODO”. Nie jesteśmy w stanie dostrzec korzyści, ponieważ są one nienamacalne i odległe, za to na co dzień spotykamy się z utrudnionym dostępem do informacji, dodatkowymi formularzami do wypełnienia, wydłużonymi zapowiedziami na centralach telefonicznych czy uporczywymi komunikatami na stronach internetowych178.
RODO jest jak ustawa o prawach konsumenta, dzisiaj nie wyobrażamy sobie zakupów bez przywilejów przez nią gwarantowanych. Wszyscy chcemy, aby informacje o treści „po odejściu od kasy reklamacji nie uwzględnia się”, które były wywieszone w punktach sprzedaży pozostały tylko na pamiątkowych zdjęciach. Należy dać czas nowym regulacjom, aby swoim oddziaływaniem dały obywatelom Unii Europejskiej uzasadnione oczekiwanie respektowania ich prywatności przez organizacje przetwarzające dane osobowe.
Europejskie przepisy o ochronie danych są najbardziej rygorystyczne, najnowocześniejsze na świecie i stają się międzynarodowym standardem179 oraz stanowią inspirację dla procesów legislacyjnych w wielu krajach na całym świecie. Ze względu na ogólnikowość, trudności interpretacyjne oraz wysokie wymagania, za nieprzestrzeganie których grożą ogromne kary, ich wdrożenie stanowi dla organizacji duże wyzwanie oraz poniesienie kosztów z tym związanych. Jednakże stawką jest nie tylko ochrona prywatności, ale również ochrona europejskich demokracji i zapewnienie trwałości gospodarek opartych na danych180.
Według autora niniejszej pracy ogólne rozporządzenie o ochronie danych 2016/679 jest ambitną, oczekiwaną i właściwą odpowiedzią na wyzwania w obszarze przetwarzania danych, przed którymi stanęły społeczeństwa w XXI wieku. Jest to sukces legislacyjny, jednak co istotne, sukces implementacji ogólnego rozporządzenia o ochronie danych 2016/679 będzie zależny od organów nadzoru, które są odpowiedzialne za egzekwowanie nowych przepisów. Ich skuteczne, rzetelne i zdroworozsądkowe działanie przesądzi o ostatecznym sukcesie nowego prawa dla obywateli i organizacji.
Bibliografia
Wykaz źródeł prawa:
- Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r.,
- Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23 listopada 1995, s. 31).,
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).,
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, (Dz.U. 2018 poz. 1000).,
- Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, (Dz.U. 2019 poz. 125).,
- Ustawa z dnia 9 maja 2018 r. o przetwarzaniu danych dotyczących przelotu pasażera, (Dz.U. 2018 poz. 894).,
- Ustawa z dnia 30 maja 2014 r. o prawach konsumenta, (Dz.U. 2014 poz. 827).,
- Karta Praw Podstawowych Unii Europejskiej (2010/C 83/02), Dziennik Urzędowy Unii Europejskiej.,
- Traktat o funkcjonowaniu Unii Europejskiej, Dziennik Urzędowy Unii Europejskiej, C 83, 30 marzec 2010 r.,
- Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. 2019 poz. 730.,
- Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, M.P. 2018 poz. 827.
Wykaz orzecznictwa:
- Bundeskartellamt, Facebook; Konditionenmissbrauch gemäß § 19 Abs. 1 GWB wegen unangemessener, B6-22/16, Bonn, 6. Februar 2019.,
- Wyrok TSUE w sprawie C-131/12, Luksemburg, 13 maja 2014 r.,
- Wyrok TSUE w sprawie Maximilian Schrems vs Data Protection Commissioner (C-362-14), Luksemburg, 6 października 2015 r.,
- Wyrok Trybunału Konstytucyjnego Sygn. U. 5/97, Dz.U. 1998 Nr 67 poz. 444, 19 maja 1998 r.,
- Wyrok TSUE w sprawie C-155/79 AM & S Europe Limited przeciwko Komisji Wspólnot Europejskich, EU:C:1982:157,18 maja 1982 r.,
- Wyrok Sądu Najwyższego w sprawie III ARN 18/94, 8 kwietnia 1994 r.,
- Wyrok WSA w Warszawie w sprawie VII SA/Wa 1069/16 13 kwietnia 2017 r.,
- Wyrok WSA w Krakowie w sprawie II SA/Kr 1339/16 14 grudnia 2016 r.,
- Wyrok NSA w sprawie I OSK 1264/10, 28 czerwca 2011 r.,
- Wyrok WSA w Warszawie w sprawie SA/Wa 1612/06, 15 listopada 2006 r.,
- Wyrok NSA w sprawie I OSK 2170/15, 11 kwietnia 2017 r.,
- Wyrok NSA w sprawie II SA 3144/01, 4 marca 2002 r.
Wykaz literatury:
- A. Dziekan‑Łanucha, Od personalizacji do profilowania. Opis konsekwencji korzystania z wyszukiwarki internetowej Google, Studia Socialia Cracoviensia 8, Uniwersytet Papieski Jana Pawła II w Krakowie, 2016 r.,
- A. Kaczmarek, M. Młotkiewicz, A. Łapińska, A. Miłocha, M. Mazur, konsultacja J. Zawiła-Niedźwiedzki, Poradnik RODO. Podejście oparte na ryzyku, część 2, Jak stosować podejście oparte na ryzyku?, GIODO 2017 r.
- A. Kopff, Koncepcja prawa do intymności i do prywatności życia osobistego (zagadnienia konstrukcyjne), „Studia Cywilistyczne”, t. XX, Warszawa 1972 r.,
- A. Mizerski, Zgodne z RODO zarządzanie bezpieczeństwem oparte na ryzyku., Zeszyty Naukowe Uniwersytetu Ekonomicznego w Katowicach nr 355, 2018 r., s. 47.
- Andress, J. (2014). The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice. Syngress.
- B. Wysocki, Prawo do bycia zapomnianym - prawem cyfrowej rzeczywistości. Ars Educandi, (13), 2016 r.,
- Boston Consulting Group, The value of our digital identity, listopad 2012 r.,
- Different approaches to new privacy challenges, in particular in the light of technological developments, European Commission, 20 January 2010.,
- Dokument roboczy służb Komisji, SEC(2012) 73 final, Bruksela, 27 stycznia 2012 r.,
- E. Bielak-Jomaa, D. Lubasz, RODO Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, 2018 r.,
- Hidden Privacy Risks in Sharing Pictures on Social Media, Procedia Computer Science, ELSEVIER, 2017.,
- Grupa Robocza ds. ochrony danych powołana na mocy Art. 29, Guidelines on transparency under Regulation 2016/679, WP260, 29 listopada 2017 r.,
- Grupa Robocza ds. ochrony danych powołana na mocy Art. 29, Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679, 28 listopada 2017 r.,
- Grupa Robocza ds. ochrony danych powołana na mocy Art. 29, Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, 3 października 2017 r.,
- Grupa Robocza ds. ochrony danych powołana na mocy Art. 29, Wytyczne dotyczące inspektorów ochrony danych (DPO), ostatnio zmienione i przyjęte 5 kwietnia 2017 r.
- Grupa Robocza ds. ochrony danych powołana na mocy Art. 29, Wytyczne dotyczące prawa do przenoszenia danych, WP242, 13 grudnia 2016 r.,
- Grupa Robocza ds. ochrony danych powołana na mocy Art. 29, Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, Ostatnio zmienione i przyjęte w dniu 4 października 2017 r.,
- Informacja Generalnego Inspektora Ochrony Danych Osobowych o przetwarzaniu i dostępie do danych geolokalizacyjnych, Warszawa, czerwiec 2017 r.,
- Informacja Generalnego Inspektora Ochrony Danych Osobowych o zagrożeniach płynących z upowszechnienia danych biometrycznych, Warszawa, czerwiec 2017 r.,
- J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004 r.,
- J. Braciak, Prawo do prywatności, Wydawnictwo Sejmowe, Warszawa 2004 r.,
- J. Gruber, I. J. Jóźwiak, K. Merks, Zeszyty Naukowe Politechniki Śląśkiej, Zagrożenia dla informacji udostępnianych na portalach społecznościowych, Politechnika Wrocławska, 2012 r.,
- J. Haucap, U Heimeshoff, Google, Facebook, Amazon, eBay: Is the Internet driving competition or market monopolization?, Springer-Verlag Berlin Heidelberg 2013.,
- Jak rozumieć podejście oparte na ryzyku? Poradnik RODO Podejście oparte na ryzyku Część 1., UODO, maj 2018 r.,
- K. Liderman, Oszacowania jakościowe ryzyka dla potrzeb bezpieczeństwa teleinformatycznego, Biuletyn Instytutu Automatyki i Robotyki nr 19/2003, Instytut Teleinformatyki i Automatyki WAT, 2003 r.
- Komunikat z badań CBOS nr 90/2015, Internauci 2015, Warszawa czerwiec 2015 r.,
- Komunikat z badań CBOS nr 109/2015, Bezpieczeństwo w internecie, Warszawa sierpień 2015 r.,
- M. Chrabonszczewski, Prywatność. Teoria i praktyka, Warszawa 2012 r.,
- M. B. Małeccy, Analiza rozwoju portali społecznościowych w Internecie, PARP, Warszawa 2008.,
- M. Gawroński, Ochrona danych osobowych Przewodnik po ustawie i RODO z wzorami., Wolters Kluwer 2018 r.,
- M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, Warszawa 2016 r.
- M. Odlanicka-Poczobutt, A. Szyszka-Schuppik, Bezpieczeństwo danych osobowych w świetle nowych przepisów (RODO) - przegląd historyczny, Wydawnictwo Politechniki Śląskiej, Zeszyty Naukowe. Organizacja i Zarządzanie / Politechnika Śląska, Gliwice, 2018 r., z. 118
- Opinia 3/2012 Grupy roboczej art. 29 w sprawie zmian w dziedzinie technologii biometrycznych, 27 kwietnia 2012 r.,
- Opinia Europejskiego Inspektora Ochrony Danych dotycząca komunikatu Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów - Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej, Dziennik Urzędowy Unii Europejskiej, 14 stycznia 2011 r.,
- P. Litwiński, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H.Beck Sp. z o.o., Warszawa 2017 r.
- Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2016, GIODO, Warszawa 2017 r.,
- Robertson, Privacy and Human Rights, Manchester University Press 1973.,
- S.D. Warren, L.D. Brandeis, The Right to Privacy, Harvard Law Review 4 (1890): 193-220.,
- S. Vaidhyanathan, The Googlization of everything…,University of California Press, 2011.,
- S. Zuboff, The Age of Surveillance Capitalism The Fight for a Human Future at the New Frontier of Power, PublicAffairs January 2019.,
- W. Orliński, Internet. Czas się bać, Agora SA, Warszawa 2013 r.,
- W. R. Wiewiórowski, Nowe europejskie regulacje w zakresie prywatności w fazie projektowania i prywatności w domyślnych ustawieniach, GIODO / WPiA Uniwersytet Gdański 2012 r.
Strony internetowe:
- https://www.gartner.com/en/newsroom/press-releases/2016-09-08-gartner-says-organizations-must-update-their-network-access-policy-to-address-attack-of-iot-devices,
- https://s21.q4cdn.com/399680738/files/doc_financials/annual_reports/FB_2012_10K.pdf,
- https://motherboard.vice.com/en_us/article/nepxbz/i-gave-a-bounty-hunter-300-dollars-located-phone-microbilt-zumigo-tmobile,
- http://gs.statcounter.com/search-engine-market-share/all/europe,
- http://gs.statcounter.com/social-media-stats/all/europe,
- Spotkanie z dziennikarzami dr Edyty Bielak-Jomaa, Generalnego Inspektora Danych Osobowych, Ochrona danych osobowych w dobie Big Data, 28.01.2016 r. https://www.giodo.gov.pl/pl/1520249/9020,
- The World’s Largest Public Companies 2018, https://www.forbes.com/global2000,
- http://europa.eu/rapid/press-release_MEMO-17-1785_en.htm,
- http://europa.eu/rapid/press-release_IP-18-4581_pl.htm,
- https://www.theguardian.com/technology/2017/may/07/the-great-british-brexit-robbery-hijacked-democracy,
- Komisja Europejska, Special Eurobarometer 431 data protection, czerwiec 2015 r. http://ec.europa.eu/commfrontoffice/publicopinion/archives/ebs/ebs_431_en.pdf.,
- https://www.theguardian.com/technology/2017/may/07/the-great-british-brexit-robbery-hijacked-democracy,
- Komisja Europejska, Special Eurobarometer 431 data protection, czerwiec 2015 r. http://ec.europa.eu/commfrontoffice/publicopinion/archives/ebs/ebs_431_en.pdf.,
- http://www.sejm.gov.pl/sejm8.nsf/PrzebiegProc.xsp?nr=3050,
- https://alpin.io/blog/gdpr-fines-list/,
- http://www.giodo.gov.pl/pl/file/1939,
- Załącznik do rekomendacji belgijskiego organu nadzoru z dn. 14.06.2017 r., https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_06_2017_0.pdf,
- https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf,
- https://www.giodo.gov.pl/pl/file/6336,
- https://youtu.be/mW_Y6qSR3eA?t=1375,
- https://www.iia.org.pl/o-nas/definicja-aw,
- https://youtu.be/l3vCXAGGJHk?t=2377,
- https://www.thesslstore.com/blog/what-is-256-bit-encryption/,
- https://www.ibm.com/support/knowledgecenter/en/SSFKSJ_8.0.0/com.ibm.mq.sec.doc/q009940.htm,
- https://www.giodo.gov.pl/pl/1520084/3830,
- https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf,
- https://uodo.gov.pl/pl/138/257,
- https://www.youtube.com/watch?v=Es-spDV8JNU,
- https://bezprawnik.pl/absurdy-rodo-10-najwiekszych/,
- https://prawo.gazetaprawna.pl/artykuly/1314951,zgoda-na-przetwarzanie-danych.html,
- https://uodo.gov.pl/pl/138/465,
- https://uodo.gov.pl/pl/138/672,
- https://piszcz.pl/wp‑content/uploads/2019/01/przetwarzanie_danych_w_rekrutacji_spor-urzędów_31_01_2019.pdf,
- https://www.crn.pl/aktualnosci/ostra-krytyka-rodo,
- https://www.sklepmartes.pl/content/6-karty-rabatowe,
- https://uodo.gov.pl/pl/138/576,
- https://uodo.gov.pl/pl/138/577,
- https://www.bitsight.com/hubfs/Insights/BitSight Insights: Are the New European Cybersecurity Regulations Working%3F Nov 2018.pdf,
- https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en,
- https://www.gao.gov/assets/700/696437.pdf,
- https://iapp.org/news/a/first-gdpr-fine-in-portugal-issued-against-hospital-for-three-violations/,
- https://iapp.org/news/a/denmark-dpa-recommends-gdpr-fine-for-taxi-company/,
- https://www.prawo.pl/biznes/jak-wykonac-obowiazek-informacyjny-z-rodo-po-nalozeniu-kary,391308.html,
- https://www.prawo.pl/biznes/pierwsza-kara-finansowa-prezesa-uodo,390754.html,
- https://www.nik.gov.pl/najnowsze-informacje-o-wynikach-kontroli/zeby-elektronicznie-znaczylo-bezpiecznie.html,
- https://youtu.be/pfXm2S-XGdE?t=1675,
- http://europa.eu/rapid/press-release_STATEMENT-19-662_pl.htm.
Spis schematów
- Schemat 1 Kalendarium najważniejszych wydarzeń w zakresie prawnej ochrony danych i prywatności
- Schemat 2 Obliczanie poziomu ryzyka dla czynności przetwarzania
- Schemat 3 Nakłady na wdrożenie systemu zabezpieczeń a poziom bezpieczeństwa
- Schemat 4 Znajomość RODO wśród internautów
- Schemat 5 Jak internauci korzystali z przysługujących im praw gwarantowanych przez rozporządzenie