Regulacje wynikające z OchrOsFizR dotyczą także danych osobowych osób fizycznych prowadzących działalność gospodarczą oraz przetwarzania danych przez przedsiębiorców.

Zakres terytorialny obowiązywania rozporządzenia

Zakres terytorialny obowiązywania OchrOsFizR obejmuje UE. W OchrOsFizR wskazano m.in., że przetwarzanie danych osobowych w kontekście działalności prowadzonej przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w UE powinno odbywać się zgodnie z OchrOsFizR, niezależnie od tego, czy samo przetwarzanie ma miejsce w UE. Co więcej – przetwarzanie danych osobowych osób, których dane dotyczą, znajdujących się w UE, przez administratora lub podmiot przetwarzający, który nie posiada jednostki organizacyjnej w UE, powinno podlegać OchrOsFizR, jeżeli czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług, niezależnie od tego, czy pociąga to za sobą płatność.

Powyższe wymusza na podmiotach spoza UE obowiązek stosowania przepisów OchrOsFizR. Jeśli przedsiębiorstwa spoza UE nie będą się stosować do postanowień OchrOsFizR, to może się okazać, że nie będą mogły świadczyć usług lub sprzedawać towarów na terenie UE.

Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Oznacza to, że reguluje ono przetwarzanie danych zarówno w systemie informatycznym, jak i poza nim. Nie ma ono zastosowania do przetwarzania danych osobowych:

1) w ramach działalności nieobjętej zakresem prawa UE,

2) przez instytucje, organy i jednostki organizacyjne UE,

3) przez państwa członkowskie w ramach wykonywania działań zewnętrznych UE i dotyczących wspólnej polityki zagranicznej i bezpieczeństwa,

4) przez osobę fizyczną w ramach działalności osobistej lub domowej,

5) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Pojęcie osoby, której dane dotyczą

W OchrOsFizR ostatecznie nie zastąpiono dotychczasowego pojęcia „osoby, której dane dotyczą” na „podmiot danych”. Osobą, której dane dotyczą, jest zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Treściowo pojęcie to jest analogiczne do pojęcia zastosowanego przez obecne przepisy. Do katalogu informacji, na podstawie których można zidentyfikować daną osobę, OchrOsFizR dodało jedynie dane o lokalizacji oraz identyfikator internetowy.

Nowe pojęcie danych pseudonimicznych

W OchrOsFizR dodano nowe pojęcie danych pseudonimicznych. Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można było ich już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie. Od pseudonimizacji powstało pojęcie danych pseudonimicznych, czyli niezawierających informacji umożliwiających zidentyfikowanie określonej osoby.

Wprowadzenie nowego pojęcia, jakim jest pseudonimizacja, należy uznać za pozytywną zmianę, wcześ­niej bowiem prawo nie zauważało takich danych. Więcej na ten temat w arty­kule dr. Pawła Litwińskiego na stronie 61.

Przykład
Przykładem danych pseudonimicznych może być stosowanie np. wewnętrznego numeru klienta/pracownika zamiast jego danych osobowych. Skutkiem stosowania pseudonimizacji może być ograniczenie wystąpienia naruszeń bezpieczeństwa informacji.

Nowe pojęcie zgody

Zgodnie z OchrOsFizR zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którą osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych.

Z definicji tej wynika, że zgoda może być udzielona w dwóch formach:

1) przez oświadczenie,

2) wyraźne działanie.

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeżeli osoba, której dane dotyczą, wyrazi zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, to zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie OchrOsFizR nie jest wiążąca. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe, jak jej wyrażenie.

Warunki przetwarzania danych osobowych

W odniesieniu do obowiązujących przepisów podstawy uprawniające do przetwarzania danych osobowych nie uległy znaczącej zmianie.

Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w sytuacji, gdy zachodzi co najmniej jeden z poniższych warunków:

1) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym określonym celu lub większej ich liczbie,

2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na wniosek osoby, której dane dotyczą, przed zawarciem umowy,

3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,

4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby,

5) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

6) przetwarzanie jest niezbędne do celów wynikających z uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osobą, której dane dotyczą, jest dziecko (nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich ­zadań).

Przetwarzanie danych osobowych niezbędne do celów archiwalnych, w interesie publicznym lub do celów historycznych, statystycznych lub naukowych jest zgodne z prawem, z zastrzeżeniem warunków i gwarancji określonych w OchrOsFizR.

Podstawa przetwarzania danych musi być ustalona zgodnie z:

1) prawem UE lub

2) krajowym prawem państwa członkowskiego, któremu podlega administrator.

W podstawie prawnej określony został cel przetwarzania lub wskazanie, że jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące zastosowanie przepisów OchrOsFizR, m.in.:

1) ogólne warunki zgodności z prawem przetwarzania danych przez administratora,

2) rodzaj danych podlegających przetwarzaniu,

3) zainteresowane osoby, których da­ne dotyczą,

4) podmioty, którym można ujawnić dane,

5) cele, w których można je ujawnić,

6) celowość,

7) okresy przechowywania,

8) operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania.

Te szczegółowe regulacje dotyczące zgody osoby, której dane dotyczą, będą wymuszały spełnienie przez przedsiębiorców nowych warunków przetwarzania danych.