Ekspertka Lewiatana ocenia rozporządzenie o ochronie danych osobowych
2016-04-18
Parlament Europejski przyjął na sesji plenarnej zaakceptowany wcześniej przez Radę Unii Europejskiej tekst rozporządzenia w sprawie ochrony danych osobowych.
Komentarz Magdaleny Piech, ekspertki Konfederacji LewiatanTekst przyjęty przez unijnych prawodawców nie spełnia wszystkich pokładanych w nim nadziei. Należy jednak przyznać, że udało się uniknąć wielu pojawiających się w trakcie negocjacji rozwiązań, które utrudniłyby rozwój innowacyjnych produktów i usług i zwiększyłyby koszty przetwarzania danych.
Ważne dla przedsiębiorców
Z perspektywy przedsiębiorców główną zaletą rozporządzenia jest zastąpienie 28 porządków prawnych dotyczących ochrony danych jednym, obowiązującym w całej Unii aktem prawnym. Jednolitość interpretacji i stosowania przepisów ma zapewnić powołana rozporządzeniem Europejska Rada ds. Ochrony Danych, złożona z krajowych organów nadzorczych.
Rozporządzenie wprowadzi także wiele nowych praw dla pomiotów danych. Wśród nich warto wymienić „prawo do przenoszenia danych" i tzw. „prawo do bycia Zapomnianym". Ochronie danych osobowych będzie służyć wymóg uwzględnienia prywatności na etapie projektowania („privacy by design") i stosowania rozwiązań chroniących prywatność jako opcji domyślnej („privacy by default").
Nowością dla większości przedsiębiorców będzie obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, a w pewnych sytuacjach również podmiotowi danych. Istotną zmianą będzie prawo krajowych organów nadzorczych (w Polsce- Generalnego Inspektora Ochrony Danych Osobowych) do nakładania sankcji finansowych, w wysokości porównywalnej do kar znanych z prawa konkurencji.
Niekorzystny w stosunku do założeń reformy jest kształt mechanizmu one stop shop. To z pewnością stracona szansa tego rozporządzenia. Tekst wprowadza szerokie kryteria zaangażowania organów z innych państw członkowskich, przez co procedura wydawania decyzji w sprawach transgranicznego przetwarzania danych może się wydłużyć. Rozporządzenie przewiduje też odstępstwa od zasady właściwości organu głównej siedziby w tzw. „przypadkach wewnętrznych".
Rozporządzenie nie wymaga implementacji do przepisów krajowych. Zgodnie z postanowieniami końcowymi będzie ono stosowane dwa lata po jego publikacji. Biorąc pod uwagę istotne zmiany w dotychczasowych przepisach i szereg nowych rozwiązań, przedsiębiorcy powinni jak najszybciej rozpocząć przegląd i dostosowanie sposobu przetwarzania danych osobowych do nowych wymogów. Duże wyzwanie stoi także przed państwami członkowskimi, które muszą wprowadzić szereg zmian w krajowych przepisach, dotyczących lub związanych z przetwarzaniem danych osobowych. Ważne, żeby dobrze wykorzystać ten czas.
Zmiany oceniane pozytywnie
Pozytywnie należy ocenić rezygnację z wymogu zgody wyraźnej w odniesieniu do przetwarzania wszelkich danych osobowych. Zgoda wyraźna wymagana będzie- jak obecnie- tylko w odniesieniu do danych wrażliwych. W przypadku przetwarzania danych zwykłych zgoda musi być „dobrowolna, szczególna, świadoma" i powinna jednoznacznie wskazywać „wolę podmiotu danych". Zgodnie z postulatami Konfederacji Lewiatan usunięto zaproponowany przez KE przepis, który wykluczał zgodę, jako podstawę przetwarzania, w warunkach „szczególnej nierówności" stron. Zrezygnowano też z przepisu wprowadzonego w wersji Parlamentu, który zakazywał świadczenia usług w zamian za zgodę na przetwarzanie danych. Taki przepis podważyłby byt większości darmowych, bo finansowanych przez reklamodawców, usług w Internecie i negatywnie wpłynąłby na możliwość promowania usług przez przedsiębiorców.
Zaskakującym rozwiązaniem jest możliwość obniżenia przez państwa członkowskie wieku (z 16 do 13 lat), w którym dziecko może wyrazić wiążącą zgodę na przetwarzanie danych osobowych, w związku ze świadczeniem usług społeczeństwa informacyjnego (art. 8 ust 2). Taki wymóg wydaje się nieadekwatny do dojrzałości tych osób. Rozszerzy on też krąg podmiotów danych, co do których konieczne będzie podjęcie trudnych z technicznego i praktycznego punktu widzenia działań, koniecznych do zawarcia umowy. Co gorsza, podejście państw członkowskich w tej istotnej z perspektywy usługodawców kwestii pozostanie niejednolite.
Pozytywnie należy ocenić rezygnację z proponowanego przez PE bezwarunkowego prawa do sprzeciwu, w przypadku przetwarzania danych w oparciu o słuszny interes administratora. Jeśli interes administratora przeważa nad interesem podmiotu danych, przetwarzanie danych będzie możliwe, choć na administratorze spoczywać będzie ciężar dowodu w tej kwestii.
Korzystne dla administratorów jest także wydłużenie z 24 do 72 godzin czasu, w którym konieczne będzie zgłoszenie naruszenia bezpieczeństwa danych organom nadzorczym. Da to więcej czasu na analizę problemu i na podjęcie działań minimalizujących ewentualne szkody.
Prawodawcy zrezygnowali też z przyjętej w wersji Rady, szerokiej definicji wysokiego ryzyka. Przetwarzanie danych, które wiązałoby się z tak zdefiniowanym, szerokim ryzykiem wymagałoby dodatkowych działań i formalności, m.in. konsultacji z organem nadzorczym.
Jeśli chodzi o profilowanie - brzmienie ostatecznie uzgodnionego tekstu jest lepsze niż propozycja Komisji, bo ograniczenia co do przetwarzania danych do celów profilowania stosuje się tylko, jeśli wywierają one wobec podmiotu danych skutki prawne lub „porównywalnie wpływa na podmiot danych". Niestety, nie ograniczono konieczności zastosowania wymogów dotyczących profilowania do sytuacji, kiedy automatyczne decyzje mogą negatywnie wpłynąć na podmiot danych.
Niekorzystne rozwiązania
Niekorzystny w stosunku do założeń reformy jest kształt mechanizmu one stop shop. Tekst wprowadza szerokie kryteria zaangażowania organów z innych państw członkowskich, przez co procedura wydawania decyzji w sprawach transgranicznego przetwarzania danych znacznie się wydłuży. Rozporządzenie przewiduje też odstępstwa od zasady właściwości organu głównej siedziby, w tzw. „przypadkach wewnętrznych".
W tekście rozporządzenia utrzymano przepis (art. 17 ust 2a), wymagający od administratora danych, realizującego żądanie podmiotu w sprawie tzw. prawa do bycia zapomnianym, poinformowania innych administratorów, przetwarzających dane tego podmiotu, że żąda on usunięcia wszelkich kopii lub linków do dotyczących go danych. Nadal nie wiadomo jak administrator miałby zidentyfikować ten przepis. Nie ma on też w praktyce zazwyczaj narzędzi pozwalających na wyegzekwowanie takiego działania. Wiele trudności może się też wiązać z realizacją prawa do przenoszenia danych, tzn. możliwością otrzymania od administratora danych kopii tych danych i przeniesienia ich do innego administratora, np. z jednej sieci społecznościowej do drugiej.
Konfederacja Lewiatan