Prawo do bycia zapomnianym
W styczniu 2012 roku Komisja Europejska podjęła pracę nad sporządzeniem i wdrożeniem rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływie takich danych (ogólne rozporządzenie o ochronie danych osobowych).
Prace nad powyższym projektem zostały zwieńczone w dniu 27 kwietnia 2016 roku uchwaleniem ogólnego rozporządzenia o ochronie danych osobowych.
Zgodnie z art. 99 ust. 1 rozporządzenia wejdzie ono w życie 25 maja 2018 roku, zatem do wdrożenia postanowień w nim ujętych, setkom tysięcy firm i instytucji pozostało niecałe półtora roku.
Unijny ustawodawca w zakresie nowych przepisów postawił sobie trzy główne cele: zwiększenie wymiaru ochrony danych, zwiększenie skuteczności prawa do ochrony danych osobowych wraz z umożliwieniem osobom fizycznym posiadania faktycznej kontroli dotyczących ich danych oraz ujednolicenie unijnych ram prawnych w zakresie ochrony danych osobowych.
Przedkładając powyższe na język polski można powiedzieć, iż zamysłem unijnego prawodawcy jest zwiększenie obowiązków dla administratorów danych, umocnienie pozycji osoby, której dane są przetwarzane oraz spotęgowanie sankcji za niezgodne z prawem przetwarzanie danych osobowych.
Należy też nadmienić, iż nowe przepisy o ochronie danych osobowych zostały ujęte w rozporządzeniu, a zatem będą stosowane bezpośrednio, bez konieczności ich implementacji w postaci ustaw krajowych.
Prawo do bycia zapomnianym
Jedną z nowości mają być regulacje konstytuujące prawo do bycia zapomnianym. Jak wskazano w preambule rozporządzenia „Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia zapomnianym”, jeżeli zatrzymywanie takich danych narusza niniejsze rozporządzenie, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator.
Osoba, której dane dotyczą, powinna w szczególności mieć prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z niniejszym rozporządzeniem.
Prawo to ma znaczenie w przypadkach, gdy osoba, której dane dotyczą, wyraziła zgodę jako dziecko, gdy nie była w pełni świadoma ryzyka związanego z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, w szczególności z Internetu.”
Rozporządzenie określa warunki do skorzystania z tego prawa oraz szczególne obowiązki z tym związane ciążące na administratorze danych. Dla przykładu można wskazać, iż administrator, który podał dane osobowe do wiadomości publicznej ma obowiązek (w razie skorzystania z prawa do bycia zapomnianym przez osobę, której dane dotyczą) – biorąc pod uwagę dostępną technologię i koszt realizacji – podjęcia rozsądnych działań by poinformować administratorów przetwarzających te dane, że osoba której dane dotyczą wystąpiła o to, aby administratorzy ci usunęli wszelkie łącza do wskazanych danych, kopię lub ich replikację.
A zatem administrator, który podał dane do publicznej wiadomości ma obowiązek zwrócenia się także do innych podmiotów, które przetwarzają dane osobowe z informacją, iż osoba, której te dane dotyczą wnioskuje o usunięcie jej danych. Unormowanie to nabiera szczególnego znaczenia w kontekście danych osobowych upublicznionych w Internecie, np. poprzez operatora serwisu społecznościowego.
Wydaje się jednak, iż w praktyce bardzo trudno będzie wyegzekwować prawo do bycia zapomnianym zwłaszcza, iż dane osobowe danego użytkownika często są umieszczane przez innych użytkowników w różnych lokalizacjach w Internecie, a ponadto dosyć łatwo będzie administratorom powołać się wysoki koszt realizacji prawa do bycia zapominanym.
Prawo do bycia zapomnianym ujęte w rozporządzeniu jest potwierdzeniem i rozwinięciem zarazem kierunku, jaki pojawił się w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej.
Krokiem milowym w tym zakresie było orzeczenie ETS z dnia 13 maja 2014 roku (sygn. akt C- 131/12), w którym Trybunał uznał, iż operator wyszukiwarki internetowej ma obowiązek do usunięcia na wniosek zainteresowanej osoby z wyszukiwarki internetowej, z wyświetlanej listy, wyników wyszukiwania mającego za punkt wyjścia imię i nazwisko danej osoby.
Zgoda na przetwarzanie danych
Zgodnie z rozporządzeniem nadal podstawowym warunkiem przetwarzania danych osobowych będzie zgoda osoby, której dane dotyczą. Rozporządzenie idzie jednak krok dalej i dookreśla, jakie są warunki skutecznego i ważnego udzielenia takiej zgody.
Przede wszystkim wskazano, iż jeśli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba której dane dotyczą udzieliła zgody na przetwarzanie jej danych osobowych.
Jeśli zgoda ma być udzielona w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od tych pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Ponadto dodano także wymóg, aby wycofanie zgody było równie łatwe jak jej udzielenie. Powyższe wymogi mają duże znaczenie w kontekście zgody udzielanej elektronicznie np. w związku z rejestracją w serwisie społecznościowym lub sklepie internetowym.
Jeśli zatem udzielenie zgody nastąpiło poprzez kliknięcie w toku procedury rejestracji w stosowną ikonę to wydaje się, iż, co do zasady, w podobny sposób powinno nastąpić cofnięcie zgody – hosting provider nie powinien wymagać w takim wypadku np. pisemnego oświadczenia osoby o cofnięciu zgody na przetwarzanie danych osobowych. Rozporządzenie wprowadza ponadto nowe uregulowania dotyczące zgody na przetwarzanie danych osobowych udzielanej w Internecie przez dziecko.
Na gruncie analizowanego aktu normatywnego zgoda dziecka, które nie ukończyło 16 roku życia na przetwarzanie danych sama w sobie nie jest skuteczna i nie wystarcza do legalnego przetwarzania danych osobowych przez hosting providera.
Zgodę taką musi dodatkowo wyrazić osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem i to na administratorze zasadniczo ciąży obowiązek, aby zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem taką zgodę wyraziła.
Obowiązek informacyjny. Profilowanie
Rozporządzenie poszerza zakres informacji, jakie administrator zobowiązany jest przekazać osobie, której dane przetwarza. Novum w zakresie obowiązku informacyjnego jest wskazywanie informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania danych.
W tym zakresie unijny ustawodawca wprowadza między innymi wymóg przekazywania osobie, której dane dotyczą okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwie, kryteriów ustalania tego okresu, jak też wskazywanie prawa do złożenia skargi organowi ochrony danych osobowych, czy też wymóg przekazywania informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem przystąpienia do umowy oraz czy osoba, której dane dotyczą jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych. Obowiązek informacyjny obejmuje także wymóg wskazywania czy administrator prowadzi profilowanie.
To ostatnie pojęcie jest nowym elementem przepisów o ochronie danych osobowych. Rozporządzenie definiuje je jako każdą formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Zgodnie z projektem rozporządzenia osoba, której dane dotyczą, za określonymi wyjątkami, ma prawo do tego, aby nie podlegać decyzji, która opiera się wyłącznie na profilowaniu i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
Jak wyjaśniono w preambule rozporządzenia, aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania.
Dalsze obowiązki administratorów danych osobowych
Rozporządzenie wprowadza dwie nowe zasady związane z przetwarzaniem danych osobowych. Pierwsza z nich sprowadza się do obowiązku uwzględnienia ochrony danych osobowych w fazie projektowania, czyli obowiązku zapewnienia stosownej ochrony danych osobowych już w początkowym etapie działań biznesowych, z którymi wiąże się (lub wiązać się będzie) przetwarzanie danych. Druga zasada obejmuje domyślną ochronę danych osobowych.
Wszelkie zatem działania administratorów danych osobowych oraz tworzona przez nich dokumentacja związana z ochroną danych osobowych determinowane są przez te dwie nowe zasady.
Na gruncie analizowanego rozporządzenia administratorzy będą musieli prowadzić rejestr czynności przetwarzania danych, który będą mieli obowiązek udostępniać organom nadzorczym (GIODO).
Novum jest też obowiązek administratora do zgłaszania bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – organowi nadzorczemu przypadku naruszenia ochrony danych osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Aby zwiększyć pewność, iż dane osobowe przetwarzane będą zgodnie z rozporządzeniem administratorzy będą mogli wdrożyć stosowne rozwiązania ujęte w omawianym akcie prawnym, to jest z jednej strony implementować kodeksy postępowania (kodeksy dobrych praktyk), z drugiej uzyskać certyfikat/znak jakości mający świadczyć o zgodności operacji przetwarzania danych z rozporządzeniem.
Certyfikaty takie wydawać ma właściwym organ nadzorczy (np. GIODO) lub stosowny podmiot certyfikujący akredytowany przy organie nadzorczym.
Sankcje
Rozporządzenie wprowadza obszerne zapisy dotyczące sankcji za naruszenie postanowień w nim zwartych. Przede wszystkim pojawia się grzywna administracyjna.
W zależności od rodzaju naruszenia oraz przepisów, które zostały naruszone grzywna ta wynosi odpowiednio do 10.000.000 EUR, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego albo – w przypadku naruszeń o większym ciężarze gatunkowym do 20.000.000 EUR, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Jak zatem widać grzywna administracyjna może być bardzo wysoka i same zapisy o niej mają w założeniu spełniać funkcję odstraszającą. Rozporządzenie ponadto zawiera zapisy, które wprost wskazują, iż każda osoba, która poniosła szkodę materialna lub niematerialną w wyniku naruszenia jego postanowień, ma prawo otrzymać od administratora danych osobowych odszkodowanie za poniesioną szkodę.
Podsumowanie
Bez wątpienia ogólne rozporządzenie o ochronie danych osobowych zwiększa ochronę danych osób fizycznych, ze szczególnym naciskiem na ochronę tych danych w Internecie i bardziej odpowiada nowym wyzwaniom, jakie postawiły w zakresie ochrony danych osobowych zdigitalizowana rzeczywistość i społeczeństwo. Tym samym do lamusa odchodzi przestarzała dyrektywa 95/46/WE, która już jakiś czas temu przestała odpowiadać tym wyzwaniom.
Zarazem rozporządzenie nakłada nowe obowiązki na administratorów danych osobowych i zasadniczo zaostrza wymogi, jakie będą oni musieli spełniać przy operacjach na danych osobowych. Wprowadza również nowe sankcje, w tym dotkliwe kary o charakterze finansowym.
W założeniu rozporządzenie skrojone zostało w ten sposób, aby wymusić na administratorach z państw spoza UE jego respektowanie w sytuacji, w której czynności przetwarzania wiążą się z oferowaniem towarów lub usług wobec osób przebywających w UE lub monitorowaniem zachowań osób z UE, jeżeli zachowania te mają miejsce na terenie UE.
Zapisy powyższe wymierzone są z myślą, o takich „kolekcjonerach” danych osobowych jak Facebook czy Google. Wydaje się jednak, iż dopóki nie uda się stworzyć międzynarodowej umowy, która jednolicie normowałaby kwestię ochrony danych osobowych, w szczególności w Internecie, i która zostałaby ratyfikowana przez wszystkie lub przynajmniej przez kapitalną większość państw na świecie, w tym przez takie kraje jak USA, czy Rosja, wszelkie rozwiązania i akty prawne, nawet te na szczeblu unijnym, będą stanowiły rozwiązania jedynie połowiczne.