Prezentujemy Państwu pierwszą część analizy Rozporządzenia Parlamentu i Rady UE 2016/679 ujednolicającego zasady ochrony danych osobowych w Unii Europejskiej (General Data Protection Resolution; GDPR). W niniejszym cyklu chcielibyśmy zaprezentować kluczowe regulacje objęte tym aktem prawnym, gdyż już od maja 2018 roku każdy administrator danych osobowych będzie zobowiązany stosować je bezpośrednio, niezależnie od postanowień aktów prawa krajowego.
Rozdział I GDPR obejmuje cztery artykuły, w których omawiane są przedmiot i cel Rozporządzenia, jego zakres zastosowania oraz zasięg terytorialny. W rozdziale tym pojawia się również słownik pojęć używanych w treści aktu.
W artykule 1 wskazuje się, że obok wprowadzenia ujednoliconych regulacji gwarantujących prawa osób fizycznych do ochrony ich danych osobowych na terenie UE, równie ważnym celem przyświecającym Rozporządzeniu jest zapewnienie nienaruszania zasady swobodnego przepływu danych osobowych w Unii.
Rozwinięcie takiego podejścia do prawa ochrony danych osobowych znajdziemy szczególnie w punkcie 4 Preambuły, gdzie wyraźnie podkreśla się, że „prawo do ochrony danych osobowych nie jest prawem bezwzględnym”, co oznacza, że istnieją inne wartości, które ustawodawca europejski chroni tak samo lub nawet bardziej niż dane osobowe osób fizycznych. Sformułowana w ten sposób została ważna zasada proporcjonalności, a więc odpowiedniego uwzględniania przy stosowaniu GDPR także takich wartości jak wolność myśli, wolność wypowiedzi i informacji, wolność prowadzenia działalności gospodarczej, prawo dostępu do sądu czy prawo do różnorodności kulturowej, językowej i religijnej. W praktyce oznacza to konieczność uwzględniania funkcji społecznej prawa do ochrony danych osobowych w kontekście jego stosowania.
Artykuł 2 wskazuje, do jakiego rodzaju działań na danych osobowych GDPR znajdzie zastosowanie. Część postanowień dotyczących zakresu zastosowania wynika ze specyfiki prawa ochrony danych osobowych i jest w zasadzie identyczna, jak rozwiązania przyjęte w polskiej ustawie (ograniczenie jedynie do przetwarzania w sposób zautomatyzowany oraz w sposób niezautomatyzowany, gdy dane są ujęte w usystematyzowany zbiór, czy też wyłączenie przetwarzania danych przez osoby fizyczne w celach osobistych). Pozostałe regulacje wiążą się ze szczególnym charakterem norm prawa unijnego. GDPR nie znajdzie więc oczywiście zastosowania do działalności, która nie jest objęta zakresem prawa Unii. Nie wchodząc w szczegóły, oznacza to, że jeśli w jakimś zakresie Unia nie otrzymała kompetencji od państw członkowskich, to rozporządzenie unijne nie może w ten zakres ingerować, gdyż pozostaje on w wyłącznej gestii każdego z państw członkowskich. Dla administratora danych osobowych te ograniczenia w praktyce nie będą jednak miały większego znaczenia, a w konsekwencji będzie on zobowiązany do stosowania GDPR.
Z praktycznego punktu widzenia, dużo ważniejszy dla administratora danych osobowych, ale także dla osób, których dane dotyczą, będzie zakres terytorialny zastosowania Rozporządzenia, objęty artykułem 3. Na tym polu Rozporządzenie wprowadza sporą rewolucję. W ustępie 1 formułuje się naturalną i znaną ze wcześniejszych aktów zasadę, iż podmiot przetwarzający dane podlega GDPR niezależnie od tego, czy faktyczne przetwarzanie odbywa się na terytorium UE, czy poza nim (np. outsourcing funkcji przetwarzania poza UE). Zasada ta traci jednak swoją wagę ze względu na regułę sformułowaną w ustępie 2, który wskazuje, że Rozporządzeniu podlega każdy podmiot (niezależnie od swojej siedziby, czy miejsca dokonywania czynności przetwarzania danych), który przetwarza dane osobowe osób przebywających na terytorium Unii, jeśli oferuje on takim osobom towary lub usługi albo też monitoruje ich zachowania (w tym np. w ramach profilowania). Istota tego przepisu polega na tym, że rozszerza on znacznie zakres stosowania Rozporządzenia, wiążąc je nie tyle z przetwarzającym, ale z osobą której dane dotyczą. Tak też zobowiązane do stosowania GDPR będą, na równi z podmiotami z UE, także podmioty chińskie, wysyłające przesyłki do konsumentów przebywających na terenie UE, czy też firmy z USA, które monitorują zachowanie osób korzystających z wyszukiwarek internetowych w Europie. Warto dodać dla porównania, że dziś obowiązujące przepisy polskie ograniczają zakres stosowania ustawy jedynie do podmiotów, które mają siedzibę lub przetwarzają dane osobowe za pomocą środków technicznych zlokalizowanych na terenie RP.
Z jednej strony opisane rozwiązanie stanowi duży krok naprzód w zapewnieniu gwarancji ochrony osobom przebywającym na terenie UE, z drugiej jednak strony, takie rozwiązanie spotyka się z pewną krytyką, związaną z iluzoryczną możliwością wyegzekwowania stosowania zasad ochrony danych osobowych od małych i średnich podmiotów przetwarzających dane osobowe na drugim końcu świata, nie wspominając nawet o wątpliwej możliwości ich skontrolowania. Niezależnie jednak od tego, przedefiniowanie zakresu terytorialnego przepisów o ochronie danych osobowych jest pierwszym krokiem w kierunku zapewnienia obywatelom UE bezpieczeństwa przetwarzania ich danych nie tylko lokalnie – gdzie świadomość potrzeby ochrona jest już relatywnie duża, ale także na terenie innych jurysdykcji.
Rozdział I Rozporządzenia zamyka słownik zawierający 26 definicji, których nie ma potrzeby tu szczegółowo analizować. Niemniej jednak, lekturę Rozporządzenia warto zacząć właśnie do tego przepisu, by móc swobodnie poruszać się w terminologii tam stosowanej. Na potrzeby naszego opracowania warto zwrócić uwagę szczególnie na definicję samej „danej osobowej”, która jest swego rodzaju obrazem kierunku zmian, w którym zmierza ochrona danych osobowych. Rozporządzenie rozszerza bowiem definicję znaną z ustawy polskiej o dane o lokalizacji (np. położenie GPS), identyfikator internetowy (np. IP) oraz dane genetyczne (np. kod DNA). Są to więc dane mniej oczywiste, niż klasycznie rozumiane dane osobowe, związane bezpośrednio z osobą fizyczną i namacalne, takie jak imię, nazwisko, adres czy numer identyfikacyjny. Oczywiście ze względu na otwarty charakter definicji „danych osobowych”, zarówno w ustawie polskiej jak i w GDPR, wskazane dane – o ile były jednoznacznie identyfikujące – mieściły się w niej i bez szczegółowego wylistowania. Niemniej jednak wymienienie ich wprost wskazuje na wagę, jaką tego rodzaju dane odgrywają w społeczeństwie informacyjnym, szczególnie w kontekście nowych technologii i coraz bardziej zaawansowanych narzędzi, jakimi dysponują podmioty przetwarzające nasze dane.
W tym miejscu warto również wspomnieć o ujętej w artykule 4 definicji „profilowania”, której obecność w Rozporządzeniu oznacza, że ustawodawca unijny dopuścił profilowanie za jeden z dozwolonych rodzajów przetwarzania danych osobowych. Szerszemu wywodowi na ten temat poświęcimy jednak jeden z kolejnych odcinków cyklu.
W następnej odsłonie omówimy Rozdział II Rozporządzenia, dotyczący zasad przetwarzania danych, zgody na ich przetwarzanie oraz danych osobowych szczególnych kategorii. W razie jakichkolwiek pytań lub gdyby byli Państwo zainteresowani uzyskaniem bardziej szczegółowych informacji o problematyce ochrony danych osobowych w przedsiębiorstwach, zapraszamy do kontaktu z prawnikami Putz | Skrobich Kancelarii Prawnej.
Putz | Skrobich Kancelaria Prawna
ul. Ofiar Oświęcimskich 17, p. II, 50-069 Wrocław, Poland
Phone: + 48 71 780 01 75 | Mobile: +48 516 822 671 | Fax: +48 71 722 05 74
e-mail: Grzegorz.Rutkowski@ps-legal.pl | website: www.ps-legal.pl | Linked in
