Facebook Google+

19.12.2017

Dane osobowe

Działanie administratora danych

Żadne względy natury organizacyjno-finansowej nie powinny być traktowane jako podstawy do sprzecznego z prawem przetwarzania danych osobowych. Opinia ta, chociaż wyrażona przez Prezesa NBP już w 2000 r., została nie tylko zacytowana w wyroku Naczelnego Sądu Administracyjnego z dnia 4 marca 2002 r., sygn. akt: II SA 3144/01, ale pozostaje wciąż aktualna, zwłaszcza w kontekście przyszłorocznych (od 25 maja 2018 r.) zmian, jakie przyniesie Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

W myśl autorów tego aktu prawnego szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę i życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w Unii oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych, równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych. Przemiany te wymagają stabilnych, spójniejszych ram ochrony danych w Unii oraz zdecydowanego ich egzekwowania, gdyż ważna jest budowa zaufania, które pozwoli na rozwój gospodarki cyfrowej na rynku wewnętrznym. Osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Osoby fizyczne, podmioty gospodarcze i organy publiczne powinny zyskać większe poczucie pewności prawa i jego stosowania w praktyce.

Chociaż zdania na temat rzeczywistego wpływu tego rozporządzenia na działalność podmiotów przetwarzających dane są skrajnie podzielone pomiędzy zwolenników twierdzeń o totalnej rewolucji w dziedzinie ochrony danych, a zwolenników twierdzeń jedynie o ewolucji spojrzenia na dane osobowe, trudno nie zgodzić się z tym, że nowe przepisy wymuszą zmianę w ogólnej świadomości postrzegania danych, a czynnikiem pośrednio na to wpływającym będą wyjątkowo wysokie i odstraszające kary pieniężne (najwyższe do 20.000.000 EUR, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa).

Tymczasem trudno wyobrazić sobie działalność jakiegokolwiek podmiotu, chociażby zatrudniającego pracowników, bez kontaktu z danymi osobowymi. Podmiot ten natomiast w niedługim czasie jako administrator danych zobowiązany zostanie, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdrożyć odpowiednie środki techniczne i organizacyjne (w tym odpowiednie polityki ochrony danych), aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Administratorowi danych nie mogą więc być obce takie pojęcia jak: retencja danych, ochrona danych w fazie projektowania oraz domyślna ochrona danych, profilowanie, ocena skutków dla ochrony danych, czy też musi odróżniać dane biometryczne od genetycznych, ograniczenie przetwarzania od prawa „do bycia zapomnianym”, pseudonimizację od anonimizacji danych. Między innymi tymi bowiem pojęciami operuje wielokrotnie unijny ustawodawca w treści rozporządzenia.

Niewątpliwie, aby sprostać wymaganiom, które stawia przed administratorami danych nowe rozporządzenie, zdecydowanie większą uwagę będą oni musieli poświęcić audytowi wewnętrznych procesów przetwarzania, zakończonemu wyodrębnieniem obszarów, które będą wymagały modyfikacji albo wprowadzenia całkowitych zmian. Jednak rozporządzenie to nie tylko zupełnie nowe procedury, jak na przykład zgłaszanie incydentów ochrony danych organowi nadzoru, czy prawo do przenoszenia danych albo ograniczenia przetwarzania danych, ale zwłaszcza wspomagająca je nowa dokumentacja. To również dokumentacja towarzysząca pozyskiwaniu danych, która wymagać będzie znacznego poszerzenia tzw. klauzul informacyjnych, czy sprawdzenia poprawności stosowanych treści zgód na przetwarzanie danych. Ostatecznie rozporządzenie to zdecydowanie rewolucja w światopoglądzie administratorów danych, którzy zamiast skupić się na samym pozyskiwaniu danych i ich wykorzystaniu, będą musieli dołożyć wszelkich starań, aby przetwarzać dane zgodnie z prawem, a więc wyłącznie w celu, dla którego zostały zebrane, umożliwiając podmiotowi danych korzystanie z wszelkich przysługujących mu praw, bez względu na to jak bardzo będzie to wymagające technicznie i bez względu na to, ile te starania pochłoną czasu i środków.

Deklarowana bowiem świadomość potencjalnej osoby fizycznej praw związanych z ochroną jej danych osobowych jest wysoka i jak się wydaje wciąż rośnie. Ponadto w ogólnym odczuciu za największe zagrożenie dla ochrony danych uważa się, na równi z przestępczością internetową, nieprzykładanie się administratorów do ochrony danych swoich klientów, kontrahentów czy pracowników. Z drugiej strony, jak wynika z badań Eurobarometru za 2011 r. zdecydowana większość Polaków uważa swoje adresy zamieszkania za dane wrażliwe, pomimo, że daną wrażliwą nie są. Przy czym ten błąd w pojmowaniu charakteru pewnych danych, paradoksalnie nie musi przeczyć wysokiej świadomości podmiotu danych odnośnie praw związanych z jego danymi osobowymi, wręcz przeciwnie - może być argumentem potwierdzającym przywiązanie osób do identyfikujących je informacji i dążenia do ich ochrony bez względu na ich charakter, a dla administratorów sygnałem, by w każdy proces przetwarzania danych wbudować aspekt ich szczególnej ochrony.

Joanna Ryszkowska
radca prawny