Po 4 latach oczekiwania i prac Parlament Europejski uchwalił 14.4.2016 r. nowe przepisy. Administratorzy danych będą musieli przeprowadzić analizy wpływu zmian na instytucję oraz opracować harmonogramy wdrożenia nowych rozwiązań.
Uchwalenie reformy
Nowe przepisy wejdą więc w życie w Polsce i pozostałych państwach członkowskich UE po upływie dwuletniego vacatio legis, bez konieczności implementacji. Rozporządzenie spowoduje ujednolicenie prawa ochrony danych osobowych w ramach UE w miejsce dotychczasowej harmonizacji. Zmiany są liczne i dotyczą wielu aspektów. Poniżej przedstawiam te o największym znaczeniu praktycznym dla organów administracji publicznej.
Obowiązek powołania administratora bezpieczeństwa informacji
Ustawa z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2015 poz. 2135 ze zm.; dalej: OchrDanychU) wprowadziła od 1.1.2015 r. znaczne zmiany dotyczące statusu i zadań oraz sposobu powoływania administratora bezpieczeństwa informacji (ABI, data protection officer). Jego powołanie było wcześniej obligatoryjne, a stało się fakultatywne, choć w pewnych sektorach GIODO słusznie je rekomenduje.
Ogólne rozporządzenie o ochronie danych w art. 37 nie przywraca wprawdzie obowiązku powoływania ABI przez wszystkie instytucje, ale znosi również pełną fakultatywność. Rozporządzenie nie wymaga powoływania ABI przez instytucje, w których skala przetwarzania tego nie uzasadnia, ale nakłada ten obowiązek na pozostałe.
Wyznaczenie ABI będzie zgodnie z RODO obowiązkiem organów i podmiotów publicznych, z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości (polskie sądy wyznaczają ABI). Wyznaczenie ABI będzie obligatoryjne również w przypadku administratorów danych i procesorów, których głównym przedmiotem działalności jest przetwarzanie danych na dużą skalę, a także których główna działalność obejmuje przetwarzanie danych wrażliwych w takim rozmiarze, np. o stanie zdrowia oraz danych o przestępstwach i wyrokach skazujących za nie.
Ponadto RODO potwierdza istniejące już w polskiej OchrDanychU wymogi takie, jak odpowiedni poziom wiedzy fachowej ABI na temat ochrony danych osobowych, gwarancje niezależnego wykonywania obowiązków przez ABI, a także możliwość outsourcingu funkcji ABI.
Zgłoszenie naruszenia ochrony danych osobowych
Nowym obowiązkiem z RODO, na który należy zwrócić szczególną uwagę, jest zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu i podmiotowi danych (art. 33 i 34 RODO). Naruszenie będzie podlegało zgłoszeniu do GIODO w terminie do 72 godzin po jego stwierdzeniu, a jeżeli nastąpi ono później, konieczne będzie umotywowane wyjaśnienie tego opóźnienia. Przepis zwalnia wprawdzie z obowiązku raportowania, gdy zagrożenie dla praw i wolności osób fizycznych jest mało prawdopodobne, ale wymaga, aby administrator prowadził dokumentację wszelkich naruszeń ochrony danych osobowych, która umożliwi organowi nadzorczemu weryfikację, czy są one prawidłowo odnotowywane i raportowane.
Potrzebna więc będzie również wewnętrzna procedura, która zapewni, że w ramach struktury administratora danych incydenty będą zgłaszane ABI lub innej wyznaczonej osobie. Taka procedura powinna dotyczyć naruszeń zgłoszonych przez osoby, których dane dotyczą, i przez instytucje zewnętrzne oraz wykrytych przez administratora danych, a także zgłoszonych przez procesora, bo RODO wymaga, aby bez zbędnej zwłoki po stwierdzeniu naruszenia procesor zgłosił je administratorowi. Ogólne rozporządzenie o ochronie danych wymaga też, aby administrator danych zawiadomił podmiot danych o naruszeniu, którego skutkiem może być duże zagrożenie dla praw i wolności tej osoby.
Analiza ryzyka przed rozpoczęciem przetwarzania danych
Ogólne rozporządzenie o ochronie danych w art. 35 wymaga przeprowadzenia przez administratora analizy ryzyka i potencjalnego wpływu zamierzonego przetwarzania danych na prawa i wolności podmiotów danych (data protection impact assessment). Obowiązek dokonania tej oceny przed rozpoczęciem przetwarzania danych powstaje, gdy z charakteru, zakresu, kontekstu i celów danego rodzaju przetwarzania, a szczególnie z wykorzystania nowych technologii, może wynikać duże zagrożenie dla praw i wolności osób fizycznych. Aspektami oceny muszą być m.in. konieczność i proporcjonalność operacji przetwarzania w stosunku do zakładanych celów oraz środki bezpieczeństwa gwarantujące ochronę danych osobowych. Wymagane będzie również prowadzenie dokumentacji, która umożliwi weryfikację zgodności procesów przetwarzania danych z prawem.
„Prywatności od samego początku” i „prywatność jako opcja domyślna”
Ogólne rozporządzenie o ochronie danych wprowadza zasady (art. 25) „prywatności od samego początku” (privacy by design) – uwzględniania gwarancji dla prywatności już na etapie projektowania usług, systemów i aplikacji, oraz „prywatności jako opcji domyślnej” (privacy by default) – systemowego podejścia do konstruowania usług, systemów i aplikacji, uwzględniającego możliwość konfiguracji opcji prywatności przez osobę, której dane dotyczą, jednak z zastrzeżeniem, że prywatność jest w nich stanem wyjściowym (default). Zastosowane środki techniczne i organizacyjne, takie jak pseudonimizacja, mają zapewnić m.in. minimalizację zakresu danych, bez konieczności ingerencji przez użytkownika. Jak wskazuje praktyka, ustawienia domyślne wprowadzone przez administratora determinują późniejsze ustawienia prywatności większości użytkowników. Privacy by default jest więc aspektem szerszej koncepcji privacy by design.
Grzywny pieniężne nakładane na administratorów danych
Naruszenia RODO będą podlegały dotkliwym grzywnom pieniężnym. To istotna różnica w stosunku do dyrektywy 95/46/WE, która nie określa sankcji i w art. 24 wymaga tylko, aby były „odpowiednie”. W OchrDanychU naruszeniom ochrony danych nadano rangę przestępstw (występków) ściganych z urzędu (art. 49–54a OchrDanychU). Kara za naruszenie ochrony danych osobowych może obecnie sięgnąć na podstawie tych przepisów aż pozbawienia wolności do lat 2. Jednak te kary są wymierzone w sprawców tych naruszeń, np. pracowników administratora danych, a nie w samą instytucję. Natomiast RODO przynosi grzywny administracyjne, które organy ochrony danych osobowych będą nakładać wprost na administratorów danych.
Ogólne rozporządzenie o ochronie danych przewiduje zakresy kwotowe i procentowe grzywien administracyjnych, które przypisuje określonym kategoriom naruszeń (art. 83). Kara może wynieść nawet 20 000 000 EUR, a w przypadku przedsiębiorstwa – 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Co więcej – stosuje się wyższą z tych kwot.
Inne zmiany, które wprowadzi reforma
Jednym ze sztandarowych elementów RODO jest „prawo do bycia zapomnianym” (right to be forgotten) (art. 17). Jego istotnym elementem jest prawo żądania usunięcia z obiegu w internecie danych osobowych umieszczonych w sieci przez osobę, której dotyczą, lub przez osoby trzecie. Co ważne, usunięcie danych na wniosek osoby, której dotyczą, może być obowiązkiem administratora również, gdy ich przetwarzanie było pierwotnie legalne, np. gdy publikacja danych wynikała z umowy lub z przepisu prawa. „Prawo do bycia zapomnianym” będzie mimo to przysługiwało np. gdy wskutek upływu czasu dalsze przetwarzanie danych przestało służyć jakiemukolwiek celowi, a rzuca na podmiot danych złe światło i narusza jego dobre osobiste.
Istnienie „prawa do bycia zapomnianym” w internecie jeszcze przed uchwaleniem GDPR potwierdził Trybunał Sprawiedliwości UE w wyroku z dnia 13 maja 2014 r. w sprawie C-131/12. Uznał, że obowiązuje operatorów wyszukiwarek internetowych już na podstawie dyrektywy 95/46/WE (prawo do żądania usunięcia lub zablokowania danych oraz sprzeciwu wobec przetwarzania danych – art. 12 lit. b i art. 14 lit. a) oraz na podstawie art. 7 i 8 Karty Praw Podstawowych.
Do nowych praw podmiotu danych należy też prawo do przenoszenia danych (art. 20 RODO). Podmiot danych będzie uprawniony do otrzymania swoich danych w ustrukturyzowanym, powszechnie używanym formacie oraz do ich transferu lub wystąpienia o transfer do innego administratora bez przeszkód ze strony administratora, któremu te dane przekazał. Prawo do przenoszenia danych nie ma jednak zastosowania do przetwarzania wykonywanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, a więc nie nakłada obowiązków na organy administracji publicznej.
Reforma ochrony danych przynosi również zasadę „one stop shop” (lead supervisory authority – art. 56). Usprawnia ona prowadzenie postępowania wobec administratorów danych, którzy działają w wielu państwach członkowskich. Organem właściwym może być organ ochrony danych w wybranym państwie, który będzie współpracował z organami z innych państw członkowskich. Mechanizm „one stop shop” nie obejmuje jednak przetwarzania prowadzonego przez organy publiczne oraz prywatne, gdy odbywa się w interesie publicznym.
Wielkim przełomem będzie ochrona danych osobowych niezależnie od miejsca ich przetwarzania (protection regardless of data location). Ogólne rozporządzenie o ochronie danych wprowadza jednolity poziom ochrony prywatności obywateli UE, który będzie musiał być respektowany również przez firmy spoza UE, jeżeli oferują usługi lub produkty w państwach członkowskich. Oznacza to, że tacy potentaci jak Google czy Facebook, choć mają siedziby w Stanach Zjednoczonych, a więc państwie o innym modelu ochrony danych, będą musieli w odniesieniu do klientów europejskich podporządkować swoje standardy ochrony danych zasadom określonym w RODO.
Ogromnym wzmocnieniem pozycji klientów będzie prawo kierowania skarg na firmy z innych państw do organu ochrony danych w państwie zamieszkania klienta, a więc również do GIODO.
Ogólne rozporządzenie o ochronie danych modyfikuje zasady transferów danych osobowych poza UE i EOG, m.in. przez zwiększenie znaczenia wiążących reguł korporacyjnych (BCR – Binding Corporate Rules). Są one narzędziem transferów w międzynarodowych korporacjach, zapewniającym ochronę danych na odpowiednim i jednolitym poziomie, niezależnym od standardów ochrony danych obowiązujących w państwie trzecim.