RODO: Więcej praw dla osób fizycznych i więcej obowiązków po stronie przetwarzających dane osobowe

Od 25 maja 2018 r. osoby fizyczne zyskają więcej praw wobec podmiotów przetwarzających ich dane osobowe. Warto już teraz rozpocząć przygotowania, ponieważ naruszenie praw jednostek przez administratora lub processora jest zagrożone ogromnymi karami.

Nowe unijne Rozporządzenie o ochronie danych osobowych („RODO”) z jednej strony wzmacnia istniejące, z drugiej zaś kreuje zupełnie nowe uprawnienia po stronie osób fizycznych, których dane są gromadzone i przetwarzane. Ich realizacja będzie spoczywała na przedsiębiorcach przetwarzających dane i może generować znaczne koszty.

Transparentność

Już obecnie administrator danych ma obowiązek przekazania podmiotom danych pewnych informacji, takich jak tożsamość administratora, cele przetwarzania, przewidywani odbiorcy danych oraz prawo dostępu i poprawiania. RODO znacznie rozszerza jednak ten katalog wymagając dodatkowo m.in. podania podstawy prawnej przetwarzania, prawnie uzasadnionych interesów, na których administrator opiera przetwarzanie, informacji o wykorzystywaniu danych do zautomatyzowanego podejmowania decyzji istotnych dla jednostki, informacji o prawie do żądania usunięcia danych lub ograniczenia ich przetwarzania, o prawie do przenoszenia danych, o prawie złożenia skargi do organu oraz informacji kontaktowych inspektora ochrony danych. Przed wejściem w życie nowych przepisów konieczna będzie zatem weryfikacja i uzupełnienie (bądź stworzenie – jeśli jeszcze ich nie ma) wszystkich klauzul informacyjnych.

Administrator musi też wskazać „okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu”. Spełnienie tego wymogu może okazać się problematyczne, bowiem okres przechowywania danych często bardzo trudno z góry przewidzieć. Nadmiernie ogólnikowe informacje (np. „tak długo, jak to konieczne”) mogą niestety okazać się niewystarczające.

Stosownych informacji należy udzielić zarówno w przypadku zbierania danych od podmiotów danych, jak i w przypadku pozyskiwania ich z innych źródeł (np. zakup bazy danych telefonicznych), a także na żądanie, przy czym w każdym z tych przypadków katalogi obowiązkowych informacji są nieco inne. Co ważne, wszystkich informacji należy udzielić „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”, choć samym twórcom rozporządzenia nie do końca się to udało.

RODO – podobnie jak obecnie obowiązujące przepisy – przyznaje też podmiotom prawo dostępu do danych. W Polsce rzadko się z niego korzysta, jednak na zachodzie, gdzie zdarza się to znacznie częściej, prawo dostępu do danych stanowi dla administratorów bardzo poważne obciążenie. Oznacza ono, bowiem zwykle konieczność dostarczenia wnioskodawcy kopii wszystkich danych na jego temat znajdujących się w posiadaniu przedsiębiorcy (np. całej korespondencji elektronicznej). Rozgłos jaki towarzyszy nowemu rozporządzeniu może przyczynić się do wzrostu świadomości prawnej i, co za tym idzie, wzrostu liczby żądań dostępu do danych.  

Prawo do bycia zapomnianym

O prawie do bycia zapomnianym zrobiło się głośno, gdy w 2014 r. Trybunał Sprawiedliwości UE nakazał wyszukiwarce Google usunięcie z wyników wyszukiwania informacji o egzekucji długów pewnego obywatela Hiszpanii. Prawo to zostało w RODO skodyfikowane i będzie dotyczyło każdego administratora (nie tylko wyszukiwarek internetowych) niezależnie od jego wielkości.

Usunięcia danych będzie można żądać m.in. gdy dane „nie są już niezbędne do celów, dla których były przetwarzane”, gdy osoba zainteresowana wniosła sprzeciw „i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania” oraz gdy „dane osobowe były przetwarzane niezgodnie z prawem”. Z kolei administrator będzie mógł odmówić usunięcia m.in. gdy przetwarzanie jest konieczne „do korzystania z prawa do wolności wypowiedzi i informacji”.

 Prawo do bycia zapomnianym może być dla administratorów źródłem poważnych wątpliwości. Przypadki obowiązkowego usunięcia danych oraz przesłanki odmowy usunięcia są bardzo nieostre. Przetwarzający mogą np. stanąć przed koniecznością oceny, czy ich uzasadniony interes w przechowywaniu kopii zapasowych bazy danych ma charakter nadrzędny wobec interesów osoby domagającej się usunięcia niektórych rekordów, albo przed koniecznością ustalenia, czy dalsze publikowanie wizerunku określonej osoby w Internecie jest konieczne do korzystania z wolności wypowiedzi. Ewentualny błąd może słono kosztować, naruszenie omawianego przepisu jest bowiem zagrożone karą administracyjną w wysokości do 20 mln euro lub 4 proc. rocznego światowego obrotu z poprzedniego roku obrotowego. Jest prawdopodobne, że wysokie sankcje (a także koszty manualnej weryfikacji zgłoszeń) zmuszą wielu administratorów do realizacji wszystkich, nawet nieuzasadnionych żądań podmiotów danych. 

Prawo do ograniczenia przetwarzania

Niezależnie od prawa do bycia zapomnianym podmiot danych może także zażądać ograniczenia przetwarzania danych. W takim przypadku administrator powinien zaprzestać ich przetwarzania i ograniczyć się do przechowywania. Ograniczenie przetwarzania powinno nastąpić, gdy podmiot danych kwestionuje ich prawidłowość (do czasu weryfikacji), gdy przetwarzanie jest bezprawne, a podmiot danych nie chce usunięcia danych lecz ograniczenia przetwarzania, gdy administrator nie potrzebuje już danych osobowych, ale są one potrzebne podmiotowi danych dla celów dochodzenia roszczeń i gdy podmiot danych wniósł sprzeciw wobec przetwarzania ze względu na swoją szczególną sytuację (do czasu rozstrzygnięcia jego żądania). Oznacza to konieczność odpowiedniego zaprojektowania lub modyfikacji systemów przetwarzania (aby umożliwiały zgłoszenie i realizację nie tylko żądania usunięcia, ale także żądania ograniczenia przetwarzania) oraz procedur wewnętrznych.

Prawo do przenoszenia danych

Całkowitą nowością będzie prawo do przenoszenia danych przetwarzanych automatycznie. Osoba, której dane dotyczą, będzie miała prawo otrzymać dane, które dostarczyła administratorowi, w „ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”, a także żądać od administratora przesłania tych danych bezpośrednio innemu administratorowi „o ile jest to technicznie możliwe”. Celem przepisu jest ograniczenie tzw. efektu lock-in – użytkownicy korzystający z określonych usług z czasem mogą być coraz mniej skłonni do korzystania z usług konkurencyjnych – choćby uważali je za lepsze – ze względu na trudności z przeniesieniem informacji zgromadzonych w ramach dotychczasowej usługi (np. przeniesieniem opublikowanych zdjęć na inny portal społecznościowy).

Nie wiadomo, w jaki sposób prawo do przenoszenia danych będzie działało w praktyce. Rozporządzenie wskazuje z jednej strony, że prawo to „nie powinno nakładać na administratorów obowiązku prowadzenia lub wprowadzenia kompatybilnych technicznie systemów przetwarzania”, z drugiej jednak „administratorów danych należy zachęcać do opracowywania interoperacyjnych formatów, które umożliwiają przenoszenie danych”. Dodatkowo prawo do przenoszenia danych „nie powinno powodować uszczerbku dla praw i wolności innych osób”, co może mieć miejsce, gdy te same dane dotyczą większej liczby osób (np. kilka osób na tym samym zdjęciu).

Prawo do przeniesienia danych przysługuje tylko wtedy, gdy przetwarzanie odbywa się na podstawie zgody podmiotu danych lub na podstawie umowy. Chcąc uniknąć obowiązku przenoszenia danych - warto więc rozważyć, czy w danym przypadku opierać się na zgodzie podmiotu danych. Dość częstą praktyką jest bowiem zbieranie (np. „na wszelki wypadek”) zgód także tam, gdzie wystarczająca byłaby inna podstawa przetwarzania, zwłaszcza tzw. uzasadniony interes administratora (może to dotyczyć np. wykorzystywania danych klientów na potrzeby marketingu bezpośredniego i danych użytkowników w celu zapewnienia bezpieczeństwa sieci). Jeśli okaże się, że uzasadniony interes administratora jest wystarczającą podstawą przetwarzania, administrator nie będzie musiał zbierać zgód i nie będzie zobowiązany realizować żądań przeniesienia danych. Znalezienie alternatywnej podstawy przetwarzania oczywiście nie zawsze będzie możliwe. 

Prawo do sprzeciwu i niepodlegania automatycznym decyzjom

Zgodnie z przepisami RODO każda osoba będzie mogła sprzeciwić się przetwarzaniu jej danych „z przyczyn związanych z jej szczególną sytuacją”, a także przetwarzaniu jej danych na potrzeby marketingu bezpośredniego. Każda osoba będzie też miała prawo, aby nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i która istotnie na tę osobę wpływa (chodzi np. o automatyczną decyzę kredytową, automatyczną decyzję o zawarciu umowy ubezpieczenia albo automatyczną decyzję o przyjęciu do pracy bądź przejściu określonego etapu rekrutacji). Realizacja powyższych uprawnień może wymagać implementacji odpowiednich mechanizmów w systemach przetwarzania danych osobowych oraz wdrożenia stosownych procedur (i aktualizacji dokumentacji).

Artykuł ukazał się w Dzienniku Gazecie Prawnej w ramach cyklu: Europejska Reforma Ochrony Danych osobowych (RODO) - Jak się do niej przygotować?

Autorzy: Jakub Łabuz, Maciej Marek