Sylwia Paszek, Agnieszka Szydlik, Katarzyna Żukowska

Nowa era ochrony danych osobowych

Trwają prace nad rozporządzeniem o ogólnej ochronie danych osobowych. Zmiany, jakie zapowiada nowa legislacja, mogą mieć znaczenie dla przedsiębiorców z branży outsourcingowej. Planowane są m.in. dotkliwe sankcje za naruszenie przepisów o ochronie danych osobowych.

17 grudnia 2015 r. Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych Parlamentu Europejskiego głosowała nad projektem rozporządzenia o ochronie osób fizycznych w związku z przetwarzaniem ich danych osobowych i swobodnym przepływem takich danych. W wyniku głosowania przyjęto tekst będący wynikiem długoletnich prac legislacyjnych, dyskusji interesariuszy i ważenia priorytetów. Stanowi on punkt wyjścia do dalszych prac legislacyjnych, może zatem podlegać kolejnym modyfikacjom. Na pewno jednak w znacznym stopniu obrazuje on regulacje o ochronie danych osobowych, jakie staną się wkrótce nową rzeczywistością prawną.

Tzw. rozporządzenie o ogólnej ochronie danych osobowych będzie mieć skutek bezpośredni w krajach członkowskich UE; zastąpi ono dyrektywę 95/46 i jej krajowe implementacje (w Polsce: ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych).

W niniejszym tekście sygnalizujemy wybrane zmiany, jakie zapowiada nowa legislacja, które mogą mieć znaczenie dla przedsiębiorców z branży outsourcingowej.

Zakres stosowania regulacji

Rozporządzenie ma być stosowane do procesów przetwarzania danych osobowych wówczas, gdy przetwarzanie następuje w kontekście działalności administratora lub przetwarzającego dane z siedzibą w UE, niezależnie od tego, czy przetwarzanie ma miejsce w UE. Oznacza to, że w każdym przypadku konieczna będzie analiza okoliczności faktycznych, w jakich administrator przetwarza dane.

Rozporządzenie ma ponadto znaleźć zastosowanie do przetwarzania danych podmiotów z UE przez administratora lub przetwarzającego dane mających siedzibę poza UE, jeżeli procesy przetwarzania mają związek z oferowaniem towarów i usług (także nieodpłatnych) lub też obserwowaniem (monitorowaniem) zachowania podmiotów danych, jeżeli monitoring ten ma miejsce w UE.

Regulacja zawiera szereg rozwiązań, które mają ułatwić prowadzenie działalności w zgodzie z zasadami przetwarzania danych osobowych. Należą do nich między innymi:

  • zastosowanie jednej regulacji we wszystkich krajach UE (te same rozwiązania prawno-biznesowe mają szansę sprawdzać się w wielu jurysdykcjach),
  • zasada one-stop-shop, zgodnie z którą przedsiębiorca będzie podlegał tylko jednej instytucji państwowej nadzorującej ochronę danych osobowych, nawet jeśli prowadzi działalność w wielu krajach UE,
  • pojęcie „risk-based approach”, które pozwoli na miarkowanie obowiązków administratora w zależności od tego, jakie ryzyko dla ochrony danych niesie prowadzona przez niego działalność.

Administratorzy i przetwarzający dane

Odmiennie niż aktualna ustawa projekt rozporządzenia w znacznym stopniu reguluje wymogi dotyczące podmiotu przetwarzającego dane. Przykładowo zobowiązuje administratora do wyboru takiego podmiotu, który daje wystarczające gwarancje wdrożenia odpowiednich środków oraz procedur technicznych i organizacyjnych, aby przetwarzanie danych odpowiadało wymogom rozporządzenia. Określa także elementy, które powinny zostać ustalone w umowie zawartej pomiędzy administratorem a przetwarzającym dane.

Zgłaszanie zdarzenia skutkującego naruszeniem ochrony danych osobowych

Projekt rozporządzenia nakłada na administratora danych nieznany na gruncie ustawy obowiązek zgłaszania organowi nadzoru (w Polsce – GIODO) zaistnienia zdarzenia skutkującego naruszeniem ochrony danych osobowych. Zgłoszenie winno być dokonane bez nieuzasadnionej zwłoki, ale nie później niż w ciągu 72 godzin od zdarzenia. Jeżeli termin ten nie został zachowany, należy wyjaśnić powody opóźnienia. Zawiadomienie ma zawierać co najmniej: opis zdarzenia z określeniem kategorii danych oraz przybliżonej liczby podmiotów danych potencjalnie dotkniętych skutkami zdarzenia, dane kontaktowe inspektora ochrony danych osobowych lub innego podmiotu władnego udzielić szczegółowych informacji o zdarzeniu, a także opis przewidywanych skutków naruszenia oraz środków zaradczych podjętych lub planowanych w celu zminimalizowania lub zniwelowania negatywnych skutków naruszenia. Jeżeli nie można dostarczyć kompletu informacji, należy je uzupełniać w miarę możliwości, jak też dokumentować podjęte działania zaradcze, tak by GIODO mógł zweryfikować ich prawidłowość i adekwatność. Analogiczny obowiązek zawiadomienia o zdarzeniu nałożono na przetwarzającego dane, z tym że o naruszeniu zawiadamia on administratora danych.

Administrator danych ma też powiadomić o naruszeniu podmiot, którego dane dotyczą, podając zrozumiały opis zdarzenia i jego potencjalnych skutków oraz wskazując działania zaradcze. Zawiadomienie takie będzie konieczne tylko wtedy, gdy naruszeniu towarzyszy wysokie ryzyko naruszenia praw i wolności podmiotu danych. Administrator będzie zwolniony z dokonania zawiadomienia, jeżeli wdrożył techniczne i organizacyjne środki w celu ochrony danych objętych zdarzeniem, w szczególności mające na celu uczynienie danych nieczytelnymi dla osób trzecich (np. za pomocą szyfrowania), jak też w przypadku, gdy dzięki podjętym przez administratora środkom wyeliminowano ryzyka dla praw i wolności podmiotu danych, oraz w przypadku, gdy zawiadomienie wiązałoby się z nieproporcjonalnym obciążeniem dla administratora (w tym przypadku zawiadomienie należy zastąpić komunikatami podawanymi do publicznej wiadomości lub innymi o podobnym efekcie).

Obowiązki zgłaszania zdarzeń skutkujących naruszeniem ochrony danych są istotną nowością w stosunku do istniejących ram prawnych. Obecnie administratorzy i przetwarzający dane nie muszą ujawniać tego rodzaju zdarzeń. Środki zaradcze, bez rozgłosu, wybierają i implementują samodzielnie, według własnych możliwości. Ewentualna nieadekwatność lub niekompletność przyjętych rozwiązań może być zidentyfikowana wyłącznie w przypadku kontroli prowadzonej przez GIODO. Planowany model zapewni, że administrator, który dopuścił do zdarzenia skutkującego naruszeniem, będzie realizował działania naprawcze w ścisłym dialogu i pod nadzorem GIODO. Obniżone zostanie zatem ryzyko stosowania środków nieadekwatnych do zdarzenia.

Sankcje za naruszenia przepisów o ochronie danych osobowych

Obowiązująca ustawa przewiduje sankcje z tytułu naruszenia zasad ochrony danych osobowych (odpowiedzialność wykroczeniowa i karna), jednak ich stosowanie sprowadza się najczęściej do odpowiedzialności za wykroczenie (niezbyt dotkliwej), a niezwykle rzadko odpowiedzialności karnej (ze względu na niską szkodliwość społeczną czynu). Brak zatem proporcjonalnie dotkliwego instrumentu sankcyjnego, który byłby stosowany nawet w przypadku naruszenia o niewielkiej skali.

Tę lukę wypełnią administracyjne kary pieniężne nakładane przez GIODO. Wysokość kar ma uwzględniać m.in. stopień naruszenia, rodzaj naruszonej regulacji, czas trwania i efekty naruszenia, stopień zawinienia naruszyciela, zakres odpowiedzialności naruszyciela za zapewnienie właściwych środków organizacyjnych i technicznych, podjęcie działań zaradczych mających ograniczyć lub wyeliminować negatywne skutki naruszenia i współpracę z GIODO w tym zakresie, poprzednie naruszenia oraz sposób, w jaki GIODO powziął wiadomość o naruszeniu.

Maksymalna wysokość kary pieniężnej, w zależności od rodzaju naruszenia, ma wynosić 10 albo 20 milionów euro, a w przypadku przedsiębiorstwa – 2% albo 4% całkowitego rocznego przychodu w poprzednim roku obrotowym. Państwa członkowskie mają przyjąć przepisy wykonawcze dotyczące postępowań kontrolnych oraz procedur nakładania i egzekwowania kar, które mają być proporcjonalne, ale również dolegliwe.

Administratorzy i przetwarzający dane mają też ponosić odpowiedzialność odszkodowawczą (na zasadzie winy) za szkodę wynikłą z przetwarzania danych osobowych niezgodnie z prawem. Każda osoba, która poniosła szkodę materialną lub niematerialną w wyniku przetwarzania danych osobowych z naruszeniem przepisów rozporządzenia, będzie mogła żądać naprawienia tej szkody. Odpowiedzialność administratora ograniczy się do odpowiedzialności za naruszenie przepisów rozporządzenia, natomiast przetwarzającego – do odpowiedzialności za naruszenie przepisów rozporządzenia adresowanych wyraźnie do przetwarzających dane oraz za działanie niezgodne z instrukcjami administratora. Odpowiedzialność administratora i przetwarzającego z tytułu tego samego zdarzenia będzie solidarna względem poszkodowanego, jednak między sobą będą oni mogli się rozliczyć, korzystając z prawa regresu.

Sylwia Paszek, Agnieszka Szydlik, Katarzyna Żukowska, praktyka ochrony danych osobowych kancelarii Wardyński i Wspólnicy