Terminy wprowadzenia nowych obowiązków dotyczących ochrony danych osobowych
Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE(zwane dalej ,,rozporządzeniem”) wejdzie w życie 25 maja 2018r. Z tym dniem omawiane przepisy zaczną obowiązywać bezpośrednio w każdym państwie członkowskim Unii Europejskiej bez względu na to, czy dane państwo dostosuje ustawodawstwo krajowe do niniejszego rozporządzenia. Każda osoba fizyczna będzie uprawniona do wyegzekwowania przysługujących na podstawie rozporządzenia roszczeń. Istotne jest więc, by przedsiębiorcy dokładnie się zapoznali i przygotowali na wejście w życie rozporządzenia.
Przyjęta definicja danych osobowych jest prosta. Są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osoba fizyczna możliwa do zidentyfikowania to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny (np. pesel), dane o lokalizacji, itp.
Istotą sprawy jest, aby pobieranie i przetwarzanie danych osobowych było zgodne z wszystkimi zasadami określonymi w art. 5 rozporządzenia (rozwiniętymi w dalszych przepisach). Przede wszystkim dane osobowe muszą być przetwarzane zgodnie z prawem, tak by osoba której dane dotyczą, w przejrzysty i prosty sposób orientowała się co, jak i dlaczego jest przetwarzane. Jednoznacznie zdefiniowane zostało pojęcie zgodności z prawem, tak że należy spełnić jedną z sześciu przesłanek: osoba której dane dotyczą w sposób nie budzący wątpliwości wyraziła na to zgodę, przetwarzanie jest niezbędne do wykonania umowy lub podjęcia działań przed zawarciem umowy, przetwarzanie jest niezbędne do wypełnienia prawnego obowiązku ciążącego na administratorze, przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, przetwarzanie jest niezbędne do realizacji zadania w interesie publicznym wykonywanego przez administratora, przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów wykonywanych przez administratora). Poza zgodnością z prawem dane osobowe muszą być zbierane wyłącznie w konkretnych i uzasadnionych przez prawo celach. Sposób i ilość pobieranych danych musi odpowiadać temu, co jest niezbędne do celu w jakim dane są przetwarzane. Ponadto konieczne jest, aby przetwarzane dane były aktualne i prawidłowe. Na przetwarzających spoczywa obowiązek aktualności danych. Dane mogą być przechowywane wyłącznie w okresie, jaki jest niezbędny do wskazanego celu (także należy określić termin, w jakim dane będą przechowywane, po upłynięciu – poza nieliczne wyjątkami – wszelkie dane należy bezwzględnie zniszczyć). Zgodnie z ostatnim wymogiem dane muszą być przetwarzane w sposób zapewniające odpowiednie bezpieczeństwo. Administrator ponosi odpowiedzialność za spełnienie wymagań.
Administratorem wg rozporządzenia jest każdy podmiot (osoba fizyczna, prawna, jednostka, organ, itd.), która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych – w praktyce każdy przedsiębiorca, bądź jego przedstawiciel. Rozporządzenie nie wymienia wszelkich obowiązków administratora, ani nie wskazuje też procedury, w jakiej administrator ma przetwarzać dane osobowe. Podstawowe zadanie administratora jest jedno – przetwarzanie danych osobowych musi odbywać się w oparciu o takie wdrożone środki techniczne i organizacyjne, że administrator w każdym czasie będzie w stanie wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z przepisami rozporządzenia (nie ponosi winy za ewentualne naruszenia). Inaczej naraża się na odpowiedzialność określoną w rozporządzeniu. Co każdy administrator musi zrobić? W określonych przypadkach ( w praktyce – w większości) musi prowadzić rejestr czynności przetwarzania. Musi również przeprowadzić wstępną analizę ryzyka naruszenia ochrony danych osobowych, niekiedy przeprowadzić konsultacje z krajowym organem nadzoru – obecnie GIODO (Główny Inspektor Ochrony Danych Osobowych). Ma także ustanowić (spełniającego wymóg kwalifikacji zawodowych) inspektora ochrony danych osobowych. Co istotne, w przypadku naruszenia ochrony danych osobowych (poza nielicznym wyjątkami) administrator musi niezwłocznie poinformować GIODO, a jeśli zachodzi wysokie ryzyko naruszenia praw osoby fizycznej, to również należy zawiadomić osobę, której danych dotyczy naruszenie. Niezastosowanie się do przepisu ma wpływ na wysokość ewentualnej kary.
Rozporządzenie przyznaje osobie fizycznej, której dotyczy przetwarzanie danych określone uprawnienia. Oczywiście ma ona dostęp do przetwarzanych danych, stałe prawo żądania sprostowania danych, a także usunięcia danych w określonych przypadkach, np. gdy uzna, że dane osobowe nie są już niezbędne do celów w jakich są przetwarzane (rozporządzenie określa to jako ,,prawo do bycia zapomnianym”). Nowym rozwiązaniem jest prawo do ograniczenia przetwarzania. W sytuacjach, w których osoba fizyczna uzna, że usunięcie danych nie będzie dla niej korzystne – np. ze względu na dochodzenie roszczeń – przetwarzanie danych może odbywać się tylko za zgodą zainteresowanej osoby. Kolejnym nowym środkiem jest prawo do przenoszenia danych. Osoba fizyczna uprawniona jest do otrzymania zebranych wszystkich przetworzonych danych osobowych (np. na pen – drivie) i przekazania ich innemu administratorowi.
W przypadku naruszenia ochrony danych osobowych środki prawne są dwojakiego rodzaju. Osobie fizycznej po pierwsze przysługuje skarga do GIODO (i ewentualne zażalenie do sądu powszechnego na decyzję organu). GIODO zaś w przypadku stwierdzenia działania niezgodnego z rozporządzeniem nałoży na administratora karę pieniężną. Przy określaniu wysokości bada się szereg przesłanek, takich jak np. umyślność bądź nieumyślność, stopień współpracy administratora z GIODO, działanie administratora po naruszeniu, okoliczność czy administrator zgodnie z rozporządzeniem zgłosił do GIODO naruszenie czy nie. Nie jest określona minimalna wysokość kary, zaś maksymalna jest mocno odstraszająca. Mianowicie, w przypadkach podstawowych jest to 10 mln euro, bądź dla przedsiębiorstwa 2% światowego obrotu z ostatniego roku obrotowego (brana pod uwagę jest wyższa wartość). W przypadkach kwalifikowanych (najpoważniejszych naruszeń) górna granica kary zwiększana jest dwukrotnie.
Ponadto osobie fizycznej przysługuje dochodzenie bezpośrednio przed sądem powszechnym ochrony prawnej w stosunku do administratora, który naruszył ochronę danych osobowych. Sąd powszechny uprawniony jest do przyznania osobie fizycznej odszkodowania od administratora w celu naprawienia szkody, jaką osoba poniosła z uwagi na naruszenie praw związanych z ochroną danych osobowych. Nałożenia kary pieniężnej przez GIODO nie wyklucza równoczesnego obowiązku naprawienia szkody przez sąd powszechny.