ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (ogólne rozporządzenie o ochronie danych)

abiDo tej pory zasadnicze znaczenie dla ochrony danych osobowych mają przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r., nr 101, poz. 926 z późniejszymi zmianami). Ustawa to implementowała do polskiego porządku prawnego regulacje zawarte w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.).  System ten jednak został stworzony w minionym tysiącleciu i nie uwzględniał wielu zmian, głównie technicznych, które nastąpiły w ostatnich latach.

W związku z tym, podjęto prace nad unowocześnieniem oraz unifikacją rozwiązań prawnych dotyczących systemu ochrony danych osobowych. ich wynikiem jest wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem tych danych. Wejście w życie rozporządzenia odniesie ten skutek, że będzie ono miało bezpośrednie zastosowanie w ramach porządków prawnych państw członkowskich Unii Europejskiej. Rozporządzenie nie będzie wymagało implementacji w postaci ustaw i będzie miało pierwszeństwo przed przepisami ustawy o ochronie danych osobowych.

Bezpośrednim celem wprowadzenia takich zmian jest:

– zapewnienie jednakowego poziomu ochrony danych osobowych we wszystkich państwach członkowskich;

– coraz większe tempo przekazywania danych osobowych ponad granicami państw członkowskich Unii Europejskiej jak również ponad granicami zewnętrznymi samej Unii Europejskiej – wskazuje się przy tym, że Unia Europejska „jest najlepiej predystynowana by zagwarantować skutecznie i konsekwentnie ten sam poziom ochrony osób fizycznych w zakresie danych osobowych przekazywanych do państw trzecich”.

Proponowany tekst rozporządzenia ma na celu zapewnienie ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

Zakresem terytorialnym rozporządzenia objęto działalność prowadzoną w zakładzie administratora lub podmiotu przetwarzającego na terytorium Unii Europejskiej.

Jednocześnie proponowana treść rozporządzenia wprowadza pewien katalog zasad dotyczących przetwarzania danych osobowych. dane osobowe muszą być:

– przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty w odniesieniu do podmiotu danych;

– zbierane w konkretnych, bezpośrednio i zgodnych z prawem celach i nieprzetwarzanie dalej w celach niezgodnych z tymi celami;

– prawidłowe, właściwe i ograniczone do minimum niezbędnego w odniesieniu do celów, do których dane są przetwarzane, dane te są przetwarzane jedynie wtedy, gdy i tylko przez okres w którym tych celów nie można spełnić przetwarzając informacje, które nie stanowią danych osobowych;

– ścisłe i, w razie potrzeby, aktualne,; należy podjąć wszelkie zasadne działania, by zapewnić niezwłoczne usunięcie lub poprawienie nieścisłych danych osobowych, z uwzględnieniem celów ich przetwarzania;

– przechowywane w formie umożliwiającej identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane; dane osobowe mogą być przechowywane przez czas dłuższy pod warunkiem , że będą przetwarzane wyłącznie w celu dokumentacji, statystyki lub badań naukowych pod warunkiem prowadzenia okresowej kontroli dalszego ich przetwarzania;

– przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia i wykazuje zgodność każdej operacji przetwarzania z przepisami niniejszego rozporządzenia.

Co ważne, proponowane przepisy dostrzegają problem danych osobowych, które są niejako pozostawiane w sieci Internet przez podmiot danych, a także wprowadzają grupę przepisów dotyczących możliwości i legalności profilowania osób.  Już sama definicja „podmiotu danych”, czyli każdej osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania wskazuje na takie jej cechy jak oznaczenie lokalizacji lub identyfikator on – line. Samo profilowanie osoby fizycznej jest definiowane w ten sposób, że jest to automatyczne przetwarzanie danych mające służyć ocenie niektórych aspektów osobistych tej osoby fizycznej lub też analizie lub przewidzenia zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania osoby fizycznej. Podstawową kwestią w tym zakresie jest prawo osoby fizycznej do „niebycia profilowanym”. Zasada ta przewiduje jednak wyjątki. Profilowanie osoby fizycznej jest bowiem dopuszczalne jedynie, gdy przetwarzanie:

– odbywa się w takcie zawierania lub wykonywania umowy;

– jest wyraźnie dopuszczone przez prawo Unii lub państwa członkowskiego, które ustanawia również właściwe środki w celu zabezpieczenia słusznych interesów podmiotu danych;

– odbywa się na podstawie zgody podmiotu danych.

Nadto, rozporządzenie wprowadza, do tej pory w polskim porządku prawnym niezdefiniowane, takie jak dane genetyczne oraz dane biometryczne. Dane genetyczne to wszelkie dane dowolnego rodzaju dotyczące charakterystycznych cech osoby fizycznej, odziedziczonych lub nabytych na wczesnego rozwoju prenatalnego. Z kolei dane biometryczne to wszelkie dane dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne. Regulacje te wskazują na faktyczne zmiany w ochronie danych osobowych, które zaszły w ciągu ostatnich lat.

Oczywiście kwestią otwartą pozostaje ostateczny kształt rozporządzania a także praktyczne jego zastosowanie oraz konsekwencje jego stosowania. Nie zmienia to jednak faktu, że prace z nim związane wskazują na wagę ochrony danych osobowych. jednocześnie stanowią krok w dobrym kierunku, gdyż ujednolicenie zasad i środków chroniących dane osobowe pozwoli wyeliminować problemy powstające na stykach różnych porządków prawnych.

 

Tomasz Cygan

2 Comments

  1. Agnieszka

    Rozumiem, że raczej „przechowywane w formie umożliwiającej identyfikację podmiotów danych przez czas nie dłuższy (!) niż jest to konieczne do celów, dla których dane są przetwarzane”, aniżeli „najdłuższy”:-) Łączę pozdrowienia!

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Tak, dokładnie tak jak Pani napisała 🙂 Dziękujemy za podpowiedz.

      Pozdrawiam,
      Michał Geilke

      Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

five × two =