Poniżej prezentujemy Państwu drugą część analizy Rozporządzenia Parlamentu i Rady UE 2016/679 ujednolicającego zasady ochrony danych osobowych w Unii Europejskiej (General Data Protection Resolution; GDPR). Niniejszy artykuł poruszy problematykę związaną z zasadami przetwarzania danych osobowych.
Rozdział II GDPR zawiera omówienie problematyki związanej z zasadami przetwarzania danych osobowych. Rozdział ten jest jednym z kluczowych rozdziałów Rozporządzenia, gdyż porusza on problematykę zasad dotyczących przetwarzania danych osobowych, zapewnienia zgodności przetwarzania z prawem, warunków wyrażenia zgody na przetwarzanie danych, w tym również warunków wyrażenia tej zgody przez dziecko w przypadku usług oferowanych mu bezpośrednio. Rozdział II opisuje również zasady, które powinny towarzyszyć przetwarzaniu szczególnych kategorii danych osobowych oraz zasad przetwarzania niewymagającego identyfikacji.
Już z powyższego opisu widać, że aby w pełni zrozumieć cel Rozporządzenia niezbędne jest prawidłowe ustalenie terminu „przetwarzania” danych osobowych. Na potrzeby niniejszego artykułu właściwym będzie posłużenie się pewnym uproszczeniem i wskazanie, że przetwarzaniem jest każda operacja wykonywana na danych osobowych. Konsekwentnie, zasady wyrażone w Rozdziale II znajdą zastosowanie do wszystkich czynności wykonywanych z wykorzystaniem danych osobowych.
W artykule 5 Rozporządzenia omówione są zasady, które powinny być przestrzegane przy przetwarzaniu danych osobowych. Zasady te znane są w każdemu, kto miał już styczność z Ustawą o ochronie danych osobowych, gdyż GDPR nie wprowadza w tym zakresie w zasadzie żadnych zmian. W dalszym ciągu przetwarzanie powinno się odbywać w sposób zgodny z prawem, dane powinny być zbierane w określonym celu, a zebrane dane powinny być adekwatne do potrzeb Administratora Danych. Administrator Danych w dalszym ciągu będzie ponosić odpowiedzialność za przestrzeganie w tym zakresie przepisów, w tym także za zapewnienie prawidłowości przetwarzania danych osobowych oraz ograniczonego w czasie przechowywania danych.
Powtórzeniem zasad wyrażonych w Ustawie o ochronie danych osobowych jest także artykuł 6 GDPR, który określa przesłanki zgodności przetwarzania danych. Administratorzy Danych niezmiennie będą musieli zapewnić, by przetwarzanie danych odbywało się dopiero po spełnieniu jednej z wymaganych przesłanek, czyli m.in. po uzyskaniu zgody osoby, której dane dotyczą.
Właśnie zgody na przetwarzanie danych dotyczy natomiast regulacja zawarta w artykule 7 GDPR. Przepis ten określa warunki wyrażenia zgody na przetwarzanie danych osobowych. Zagadnienie to było dotychczas problemowe. Uregulowanie zawarte w Rozporządzeniu powinno rozwiać zdecydowaną większość wątpliwości Administratorów Danych w przedmiocie zgody na przetwarzanie danych osobowych.
Zgodnie z regulacją wskazanego przepisu, Administratorzy Danych będą musieli być w stanie wykazać, że zgoda na przetwarzanie danych przez nich wykorzystywanych rzeczywiście została wyrażona. Pisemna zgoda składana np. przy podpisywaniu dokumentu, który nie dotyczy bezpośrednio kwestii przetwarzania danych osobowych, będzie musiała zostać w sposób wyraźny odseparowana od pozostałej części dokumentu. Istotne będzie również jej sformułowanie, które powinno nastąpić w prostym i przejrzystym języku. Dochowanie tych wymogów będzie o tyle istotne, że naruszenie regulacji art. 7 GDPR ma skutkować przyjęciem, że zgoda nie została wyrażona, co w konsekwencji spowodować może, że przetwarzanie odbywać się będzie w sposób niezgodny z prawem (o ile nie zachodzą jednocześnie inne przesłanki legitymizujące przetwarzanie danych osobowych).
Proste ma być również wycofanie zgody przez osobę, której dane dotyczą. Istotne jest, że będzie mogło to nastąpić w dowolnym momencie. Nie wpłynie to oczywiście na legalność przetwarzania w okresie, w którym zgoda obowiązywała, należy jednak pamiętać, że wycofanie zgody powoduje, że Administrator Danych utraci podstawę umożliwiającą mu przetwarzanie danych osobowych.
Rozporządzenie kładzie jednocześnie nacisk na to, by wyrażenie zgody było dobrowolne. Dla ustawodawcy unijnego istotne pozostaje, by zgoda nie była warunkiem zawarcia umowy w sytuacji, w której przetwarzanie danych nie jest niezbędne do wykonania usługi.
Nowościami wprowadzonymi w GDPR są również warunki wyrażenia zgody na przetwarzanie danych osobowych przez dziecko (osoby niepełnoletnie). GDPR stanowi, że przetwarzać można dane osobowe dziecka, które wyraziło zgodę na te przetwarzanie i ma ukończone 16 lat (przy czym granica ta może być dookreślona przez państwa członkowskie, nie może być jednak niższa niż 13 lat). Przetwarzanie danych dzieci poniżej tej granicy dozwolone jest wyłącznie po uzyskaniu zgody prawnego opiekuna dziecka. Obowiązkiem Administratora będzie zweryfikowanie czy zgoda ta została wyrażona.
GDPR określa również szczegółowo warunki przetwarzania szczególnych kategorii danych osobowych, tj. danych określanych dotychczas jako danych wrażliwych, ale także danych genetycznych czy biometrycznych. Wymagania stawianym w tym zakresie Administratorom, podobnie jak na gruncie Ustawy o ochronie danych osobowych, są spore, gdyż celem GDPR jest zapewnienie bezpieczeństwa przetwarzania tych danych. Jednocześnie Rozporządzenie nie wyklucza ustanowienia jeszcze surowszych warunków przetwarzania danych genetycznych i biometrycznych przez Państwa Członkowskie. W artykule 10 stanowi się ponadto, że przetwarzanie danych dotyczących wyroków skazujących może odbywać się wyłącznie pod nadzorem władz publicznych, chyba, że wprowadzone zostaną stosowne regulacje określające warunki tego przetwarzania w Państwie Członkowskim. Brak takich regulacji będzie jednoznaczny z brakiem możliwości przetwarzania tych danych osobowych, nawet jeżeli osoba, której dane dotyczą wyrazi na to zgodę.
Podsumowując wskazać należy, że adresatami Rozdziału II są bezpośrednio Administratorzy Danych. To oni są zobowiązani zapewnić, że wyrażone w GDPR zasady przetwarzania danych są respektowane. Z tego względu, mając na uwadze jednocześnie sankcje związane z naruszeniem zapisów Rozporządzenia, powinni oni w sposób szczególnie uważny zapoznać się z regulacją w nim zawartą.
W następnej odsłonie omówimy Rozdział III Rozporządzenia, dotyczący praw osób, których dane są przetwarzane. W razie jakichkolwiek pytań, lub też gdyby byli Państwo zainteresowani uzyskaniem bardziej szczegółowych informacji o problematyce ochrony danych osobowych w przedsiębiorstwach, zapraszamy do kontaktu z prawnikami Putz | Skrobich Kancelarii Prawnej.
Putz | Skrobich Kancelaria Prawna
ul. Ofiar Oświęcimskich 17, p. II, 50-069 Wrocław, Poland
Phone: + 48 71 780 01 75 | Mobile: +48 516 822 671 | Fax: +48 71 722 05 74
e-mail: Jakub.Kubiesa@ps-legal.pl | website: www.ps-legal.pl | Linked in
