Mimo więc, że formalnie te nowe przepisy mają obowiązywać za dwa lata, to już teraz należałoby zacząć się do nich przygotowywać i uwzględnić odpowiednie zmiany w działaniach biznesowych, zwłaszcza planowanych w dłuższej perspektywie czasowej. Poniżej zwracam uwagę na ważne aspekty, które należy uwzględnić, zwłaszcza że rozporządzenie dotyczy praktycznie każdego podmiotu przetwarzającego dane osobowe, który oferuje na terenie Unii jakiekolwiek swoje towary i usługi, nie koniecznie pociągające za sobą płatność.

Rozporządzeniu podlegać będzie także przetwarzanie danych osobowych osób znajdujących się w Unii polegające na „profilowaniu”. „Profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Przestrzeganie przepisów Rozporządzenia będzie w tym przypadku dotyczyć również administratorów lub podmioty przetwarzające, którzy nie mają swojej jednostki organizacyjnej w Unii. Osoba, której dane dotyczą, ma mieć prawo do tego, by nie podlegać profilowaniu. Administrator będzie zobowiązany wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, aby móc wyrazić własne stanowisko i zakwestionować profilowanie. Ma nas więc obsłużyć człowiek, a nie algorytm czy automat, a administrator ma mieć techniczną możliwość do zaprzestania profilowania. O ile nie zachodzą inne przesłanki i uwzględniając stan wiedzy technicznej, koszt wdrażania takich środków oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych i prawdopodobieństwo wystąpienia różnej wagi zagrożeń wynikających z takiego przetwarzania.

Podmioty, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, będą zobowiązane do wyznaczenia inspektora ochrony danych i zgłoszenia go do GIODO. Inspektor ochrony danych to obecnie w naszym prawie administrator bezpieczeństwa informacji (ABI), którego powołanie jest fakultatywne. Zgodnie z ogólnym rozporządzeniem wspomniane wyżej podmioty, czyli na przykład banki, towarzystwa ubezpieczeniowe, portale społecznościowe, będą musiały wyznaczyć inspektora ochrony danych. Padają już też jednak pytania i sugestie, czy pracodawca zatrudniający kilka tysięcy osób nie monitoruje danych na dużą skalę i nawet jeśli nie przetwarza danych jakichkolwiek klientów, jako osób fizycznych, to czy nie powinien wyznaczyć inspektora. Do wyznaczenia inspektora ochrony danych będą na pewno zobligowane organy lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Będą musiały też to zrobić jednostki, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, czyli danych wrażliwych, czyli między innymi dotyczących stanu zdrowia. Katalog danych wrażliwych w art. 9 ust. 1 rozporządzenia jest nieco inny i szerszy niż w art. 27 ustawy o ochronie danych osobowych. Szczęśliwie czy to przedszkola publiczne, biblioteki, szkoły czy ośrodki zdrowia będą mogły wyznaczyć jednego inspektora dla kilku jednostek. Również grupa przedsiębiorstw, na przykład spółki grupy kapitałowej, może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Zapewne popyt na takich inspektorów wzrośnie. Pamiętajmy jednak, że tak jak obecny ABI, tak inspektor ochrony danych ma mieć odpowiednią, na wysokim poziomie wiedzę z zakresu ochrony danych osobowych, bezpieczeństwa informacji, zwłaszcza dotyczącą danej branży oraz co najmniej wystarczającą wiedzę informatyczną. Dodatkowo dane kontaktowe do inspektora administrator lub podmiot przetwarzający będzie musiał opublikować, tak aby każda osoba, której dane dotyczą mogła bezpośrednio do inspektora zgłosić się z ewentualnymi zastrzeżeniami czy sprzeciwami co do przetwarzania jej danych osobowych.

Prawa osób, których dane dotyczą poszerzają się. Przykłada się jeszcze większą wagę do wyrażania zgody, jako przesłanki legalizującej przetwarzanie danych. Zapytanie o zgodę będzie musiało zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Zgoda ma być dobrowolna. Od zgody na przetwarzanie danych nie może być uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania takiej umowy. Dochodzą jeszcze warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego. Jeżeli dziecko nie ukończyło 16 lat, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.

Administrator ma podjąć odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji dotyczących jej praw oraz prowadzić z nią wszelką komunikację w tym zakresie. Jednym z dodatkowych praw osoby, której dane dotyczą jest „prawo do bycia zapomnianym”, czyli nie tylko możliwość żądania usunięcia danych u administratora, który je przetwarzał, ale także nakazanie temu administratorowi usunięcie tych danych u innych administratorów, którym mógł te dane przekazać. Na szczęście pojawia się zwrot w tych zapisach o możliwościach technicznych i rozsądnych działaniach i art. 17 ust. 2 ogólnego rozporządzenia  brzmi: Jeżeli administrator upublicznił dane osobowe, a ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Ponad to osoba, której dane dotyczą, będzie miała prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz będzie miała prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Będzie można żądać, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Co na to powiedzą na przykład banki, operatorzy telekomunikacyjni czy chociażby ubezpieczyciele pojazdów.? Te i inne nowe wymagania, zasady i przepisy opisane w 173 punktach preambuły i w 95 artykułach ogólnego rozporządzenia UE o ochronie danych osobowych należałoby uważnie przeczytać i powoli, rozsądnie, acz skutecznie przygotować się do ich zastosowania. Dwa lata to wcale nie wiele na przeglądnięcie i zaktualizowanie wszelkich regulaminów, polityk prywatności, umów powierzenia przetwarzania danych, na dostosowanie systemów informatycznych służących do przetwarzania danych osobowych, na znalezienie czy przyuczenie wykwalifikowanego ABI, a w przyszłości inspektora ochrony danych. Nie należy tego wszystkiego lekceważyć ponieważ kary finansowe, do których nakładania zyska prawo GIODO, za naruszenia przepisów czy wycieki danych są przewidziane na horrendalnym poziomie.

Piotr Glen

Administrator bezpieczeństwa informacji

Audytor systemów zarządzania bezpieczeństwem informacji