Nowe Rozporządzenie UE o ochronie danych osobowych – Rozdział III (odc. 4/10)

Komentarzy (0) Biznes, porady ekspertów

Poniżej prezentujemy Państwu trzecią część analizy Rozporządzenia Parlamentu i Rady UE 2016/679 ujednolicającego zasady ochrony danych osobowych w Unii Europejskiej (General Data Protection Resolution; GDPR). Niniejszy artykuł poruszy problematykę związaną z prawami osoby, której dane dotyczą.

Rozdział III GDPR zawiera omówienie problematyki związanej z prawami podmiotu, którego dane dotyczą oraz prezentuje nowy katalog obowiązków po stronie Administratora Danych. Rozdział ten zwraca uwagę na szczególne kwestie dotyczące przejrzystości oraz trybu korzystania z praw, tj. prawa do informacji i dostępu do danych osobowych, prawa do sprostowania danych, ich usuwania, czy też ograniczenia przetwarzania. Rozdział III opisuje również tematykę prawa do sprzeciwu, trybu zautomatyzowanego podejmowania decyzji w sprawach indywidualnych, kończąc na możliwości wprowadzenia ograniczeń przez prawo Unii, czy też państwa członkowskiego.

Należy zauważyć, że już w artykule 12 Rozporządzenia wskazano ogólny postulat o przejrzystej i łatwo dostępnej formie udzielania wszelkich informacji, czy też komunikowania się z osobą, której dane dotyczą. Język Administratora Danych ma być jasny, prosty oraz zrozumiały – szczególnie, gdy adresatem komunikatów jest dziecko. Takie rozwiązanie było znane w Polsce już w pierwotnej treści art. 33 Ustawy o ochronie danych osobowych, gdzie udzielenie informacji miało następować „w formie zrozumiałej”, wykazując istotne podobieństwo do obowiązków związanych z przekazami kierowanymi do konsumentów, ludzi z określonym doświadczeniem życiowym. Co więcej, Administrator Danych ma ułatwiać wykonanie praw, o których będzie mowa w dalszej części artykułu.

Rozporządzenie wymaga aktualnie przekazania podmiotowi znacznie większej ilości informacji o przetwarzaniu jego danych i przysługujących mu uprawnieniach. W art. 13 Rozporządzenia zostały one ściśle określone. Niektóre z obowiązkowych informacji zostały rozszerzone, inne dodane po raz pierwszy. Znajdziemy tam m.in. obowiązek podania informacji o:

  • tożsamości, ale także danych kontaktowych Administratora oraz inspektora ochrony danych (rozumianego dziś na gruncie prawa polskiego jako ABI);

  • celach przetwarzania danych osobowych wraz z ich podstawą prawną;

  • prawie wniesienia skargi do organu nadzorczego.

Dodatkowo, zarówno profilowanie podmiotu danych, jak i sprecyzowanie zakładanego okresu przechowywanie danych lub co najmniej wskazania kryteriów ustalania tego okresu stały się obligatoryjną informacją. Rozporządzenie nakłada również obowiązek informowania o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej wraz z zapewnieniem ze strony Komisji o odpowiednim stopniu ochrony danych oraz właściwym zabezpieczeniu.

Należy pamiętać, że wspomniane wyżej wymagania nie znajdują zastosowania, gdy osoba, której dane dotyczą posiada już te informacje.

W Rozporządzeniu została przewidziana także sytuacja, w której Administrator uzyska dane osobowe w inny sposób niż od podmiotu danych. W tym przypadku zarządzający danymi ma obowiązek tej osobie udzielić informacji wyszczególnionych w art. 14, gdzie obok podstawowych oświadczeń powinny znaleźć się także te, które są niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania.

Wprowadzono również termin na udzielenie owych informacji w związku z żądaniem realizacji jednego z praw. Administrator Danych powinien podjąć działania bez zbędnej zwłoki, maksymalnie w ciągu miesiąca od otrzymania żądania. W szczególnych przypadkach nawet do dwóch miesięcy. Przewidziano formę pisemną lub każdą inną, zgodną z żądaniem osoby uprawnionej. Takie rozwiązanie nie powinno być nowością, gdyż zauważyć je możemy również w Ustawie o ochronie danych osobowych. Dodatkowo, z zastrzeżeniem pewnych wyjątków, podawane informacje, komunikacja czy też podjęcie określonych działań są wolne od opłat.

Nie można pominąć szeregu uprawnień po stronie Administratora Danych określonych w kolejnym przepisie. Rozporządzenie reguluje możliwość żądania dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, wprowadzenie poboru opłaty za określone działania, a nawet odmowę ich podjęcia.

Sekcja 3 Rozporządzenia określa prawo żądania od zarządzającego danymi sprostowania danych, które są nieprawidłowe oraz niezmiernie istotne z punktu widzenia osoby, której dane dotyczą prawo do „bycia zapomnianym”.

O ile pierwsza instytucja jest klasycznym i często stosowanym w ustawodawstwie państw członkowskich rozwiązaniem, to druga już swoje źródło ma w art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej z 30.03.2010 r. Zgodnie z Rozporządzeniem, każda osoba fizyczna może żądać usunięcia i zaprzestania przetwarzania danych osobowych, gdy nie są one już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane. Ma to zastosowanie w dwóch przypadkach: gdy osoba, której dane dotyczą cofnęła zgodę lub wniosła sprzeciw, a także gdy przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z Rozporządzeniem.

Co więcej, podmiot danych będzie miał teraz prawo do żądania od administratora ograniczenia przetwarzania tych danych. Rozporządzenie, w treści art. 18, wskazuje jednak sytuacje, kiedy dane można dalej przetwarzać, z wyjątkiem ich przechowywania. Znajduje to zastosowanie w następujących przypadkach: za zgodą osoby, której te dane dotyczą; w związku z roszczeniami podmiotu danych; a także z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Administrator Danych ma obowiązek informować o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych osobowych każdego odbiorcę, któremu ujawniono dane osobowe. Jedynie w przypadku, gdy okaże się to niemożliwe lub będzie wymagało niewspółmiernie dużego wysiłku może on uchylić się od tego obowiązku.

Do nowych praw osoby fizycznej należy możliwość przenoszenia danych, ujęta w art. 20 Rozporządzenia. Podmiot będzie miał prawo otrzymać od administratora swoje dane w ustrukturyzowanej, powszechnej formie, a także, o ile jest to technicznie możliwe, nakazać przesłanie tych danych innemu administratorowi. Rozporządzenie przewiduje jednak przypadki, gdy prawo to nie ma zastosowania. Będą to sytuacje, w których przetwarzanie jest niezbędne do wykonania zadania realizowanego np. w interesie publicznym. Prawo to jednak nie może niekorzystnie wpływać na prawa i wolności innych.

Sekcja 4 Rozporządzenia, a szczególnie jej art. 22 odnosi się do kontrowersyjnego zagadnienia przetwarzania zautomatyzowanego, w tym tzw. „profilowania”. Ujęcie tego zagadnienia w normach prawnych jest w stosunku do ustawy polskiej istotną nowością i pozwala stwierdzić, że profilowanie jest jednym z dopuszczalnych sposobów przetwarzania danych osobowych.

Prawodawca unijny wprowadza jednak istotne ograniczenia, co do przetwarzania danych w sposób zautomatyzowany. Osoba, której dane dotyczą ma przede wszystkim prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu. Mowa tu także o profilowaniu, jeżeli wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Rozporządzenie przewiduje również sytuacje, gdy to prawo nie może być realizowane, w tym m.in. sytuację, gdy decyzja zautomatyzowana służy zawarciu umowy z Administratorem. Należy pamiętać, iż profilowanie będzie legalne jedynie wtedy, gdy Administrator Danych wykaże, że ma podstawę prawną do takiego działania.

Powyższe można podsumować stwierdzeniem, że rozporządzenie znacznie rozszerza obowiązki Administratora Danych, jednak nie wywraca świata ochrony danych osobowych do góry nogami. W większości przypadków zastosowanie znajdą instytucje znane już w polskim ustawodawstwie. Przyjęta konstrukcja stanowi ewolucję rozwiązań zawartych w jeszcze obowiązującej dyrektywie oraz unormowaniach państw członkowskich. Jest to także wyraźny sygnał dla przedsiębiorców, zajmujących się przetwarzaniem danych osobowych, do podjęcia odpowiednich działań przygotowujących ich firmy do stawienia czoła nowym regulacjom.

W następnej odsłonie omówimy Rozdział IV Rozporządzenia, regulujący w sposób szczegółowy m.in. obowiązki Administratora i podmiotu przetwarzającego dane. W razie jakichkolwiek pytań, lub też gdyby byli Państwo zainteresowani uzyskaniem bardziej szczegółowych informacji o problematyce ochrony danych osobowych w przedsiębiorstwach, zapraszamy do kontaktu z prawnikami Putz | Skrobich Kancelarii Prawnej.

Roksana Lejpamer

Putz | Skrobich Kancelaria Prawna

ul. Ofiar Oświęcimskich 17, p. II, 50-069 Wrocław, Poland

Phone: + 48 71 780 01 75 |Fax: +48 71 722 05 74

e-mail: kancelaria@ps-legal.pl | website: www.ps-legal.pl | Linked in

Udostępnij...Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *