Od 25 maja 2018 r. zaczniemy stosować przepisy ogólnego rozporządzenia o ochronie danych. W systemie ochrony danych osobowych prowadzają one wiele nowych rozwiązań, a na administratorów danych nakładają wiele nowych obowiązków. Pomocne w ich wdrażaniu są tzw. wytyczne dotyczące konkretnych rozwiązań i instrumentów ogólnego rozporządzenia , które GIODO opracowuje wspólnie z innymi europejskimi rzecznikami skupionymi w Grupie Roboczej Art. 29.

Niektóre z tych dokumentów – dotyczące takich zagadnień, jak prawo do przenoszenia danych, wyznaczanie inspektora ochrony danych, ustalanie wiodącego organu nadzorczego czy ocena skutków dla ochrony danych – zostały już zaprezentowane i poddane konsultacjom w poszczególnych państwach członkowskich, w tym w Polsce. Zgłoszone wówczas uwagi przekazane zostały do Grupy Roboczej Art. 29 i posłużyły do opracowania nowych ich wersji (których tłumaczenia na język polski GIODO wkrótce udostępni na stronie internetowej).

Obecnie Grupa pracuje nad kolejnymi wytycznymi dotyczącymi trzech ważnych zagadnień: zgody na przetwarzania danych, profilowana i zgłaszaniem naruszeń danych (DBN) . Żeby tworzone w tym zakresie dokumenty były wyczerpujące i uwzględniały wiedzę oraz – gdy to możliwe – oczekiwania administratorów danych, już teraz GIODO zaprasza do udziału w dyskusji, której wyniki będą niezwykle pomocne w opracowaniu wytycznych. Doceniając wkład wielu podmiotów, które wzięły udział w dotychczasowych konsultacjach, GIODO zaprasza do przesyłania komentarzy i wniosków w tych trzech istotnych kwestiach. Państwa głos jest niezwykle ważny!

Zgoda

Zgoda osoby, której dane dotyczą, w rozumieniu art. 4(11), oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Zgoda, będąc jedną z podstawowych przesłanek przetwarzania danych przez przedsiębiorców, została uregulowana przepisami rozporządzenia w sposób szczegółowy. Istotna jest przy tym świadomość różnic między zgodą na przetwarzanie szczególnej kategorii danych osobowych a zgodą wyrażaną przez dziecko albo osobę sprawującą władzę rodzicielską. Zgoda pozyskana w sposób nieprawidłowy skutkować może przetwarzaniem danych bez właściwej podstawy prawnej. W związku z tym kluczowe jest prawidłowe rozumienie warunków i sposobu pozyskiwania zgody oraz konsekwencji wynikających z przetwarzania danych na podstawie tej przesłanki.

Profilowanie

Z artykułu 22 rozporządzenia o ochronie danych wynika prawo osoby, której dane dotyczą, do niepodlegania decyzjom, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Z tego uprawnienia pośrednio wynika zakaz podejmowania decyzji wyłącznie na podstawie zautomatyzowanego przetwarzania i profilowania. Natomiast w dobie dynamicznego rozwoju rynku elektronicznego i usług oferowanych konsumentom profilowanie zyskuje coraz większe znaczenie, w związku z czym fundamentalne jest prawidłowe rozumienie przepisów regulujących ten rodzaj przetwarzania, m.in. tego, w jakich sytuacjach profilowanie jest dopuszczalne, na jakiej podstawie można wydać decyzję wynikającą ze zautomatyzowanego przetwarzania.

Zgłoszenie naruszenia ochrony danych osobowych

Motyw 85 rozporządzenia stanowi, że natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać, zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Motyw ten, w związku z artykułem 33 rozporządzenia, znacząco rozszerza katalog podmiotów zobowiązanych do informowania o naruszeniach ochrony danych osobowych na wszystkich administratorów, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Organizowane przez GIODO prekonsultacje mają na celu, z jednej strony, zrozumienie stanowiska odbiorców przepisów, a z drugiej – ułatwienie doprecyzowania funkcji organu ochrony danych w tej procedurze.

Zestaw pomocnych pytań

Dla podmiotów, które zechcą włączyć się w proces tworzenia wytycznych, GIODO przygotował 3 zestawy pytań dotyczące każdego z powyższych zagadnień. Mają one charakter pomocniczy i zostały stworzone na podstawie prac spotkania warsztatowego Fablab (interaktywnego warsztatu z interesariuszami – biznesem, NGO i instytucjami unijnymi), zorganizowanego przez Grupę Roboczą Art. 29 5 i 6 kwietnia 2017 r. w Brukseli. Biorących udział w konsultacjach zachęcamy do korzystania z tych pytań, jednocześnie informując, iż pomocne mogą okazać się również wszelkie inne wnioski i obserwacje dotyczące wspomnianych zagadnień, a niewynikające bezpośrednio z pytań.

Komentarze prosimy nadsyłać w języku polskim na adres korespondencyjny Biura GIODO albo adres email: [email protected] w terminie do 12 maja 2017 r.