Dane osobowe są przedmiotem ochrony na gruncie prawa polskiego jak i europejskiego już od dłuższego czasu. Ostatnim czasem zmianom uległo polskie ustawodawstwo w tej dziedzinie (lata 2014-17 i uchwalenie nowej ustawy o ochronie danych osobowych w maju 2018 roku[1]).
Najważniejsze zmiany zaszły w prawie europejskim z racji uchwalenia tzw. pakietu ochrony danych. W jego skład weszły Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/79 (RODO) w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz dyrektywa Parlamentu Europejskiego i Rady (UE) nr 2016/680[2]. Rozporządzenie nr 2016/79 weszło w życie 27 kwietnia 2016 roku i zaczęło obowiązywać 25 maja 2018 roku.
Zagrożenie dla ochrony danych osobowych – przekazywanie do państw trzecich
Wraz z postępem technologicznym i procesami globalizacji nastąpiły zmiany w funkcjonowaniu wielu przedsiębiorstw. Wyznacznikiem rozwoju stała się ekspansja na nowe i chłonne rynki w innych państwach. Struktura wielkich firm często zakłada synergię działań pracowników oddziałów pochodzących z różnych państw. Wiąże się to z przekazywaniem między innymi danych osobowych (własnych pracowników i klientów) ponad granicami krajów. Z punktu widzenia Polski czy innych państw UE, problem ze stosowaniem przepisów nie istniał i nie istnieje, gdy dane są transferowane spoza krajów należących do EOG[3]. To samo tyczy się sytuacji, gdy dane osobowe są przekazywane w ramach jednej organizacji do jej oddziału w kraju trzecim, pod warunkiem, że państwo to zapewnia odpowiedni poziom ochrony danych w myśl art. 44 RODO lub ramach wiążących reguł korporacyjnych, o których mowa w art. 47. Przepisami z zakresu przekazywania danych osobowych są objęte zarówno firmy, które mają siedzibę w krajach UE, jak i poza jej granicami, a które mają oddziały w EOG.
W dobie outsourcingu usług biznesowych takich jak consulting lub różnego rodzaju audyty, wzrasta prawdopodobieństwo wejścia w posiadanie lub pracy przy użyciu danych osobowych przez firmy nie podlegające prawodawstwu UE[4]. Dotyczy to zarówno korporacji, jak i małych przedsiębiorstw. Także zwykłe osoby fizyczne korzystają z usług świadczonych najczęściej drogą internetową, przez serwisy, których serwery są lub mogą być ulokowane poza Europą: społecznościowe, hostingi zdjęć i dokumentów w tzw. chmurze obliczeniowej (cloud computing). W wielu przypadkach są to strony umożliwiające administratorom łatwą identyfikację użytkowników na podstawie wprowadzonych przez nich danych. O ile osoby fizyczne mogą dowolnie przekazywać swoje prywatne dane tym podmiotom, o tyle osoby prawne podlegają prawu unijnemu w zakresie przetwarzania, w tym administrowania i przekazywania danych osobowych.
W niniejszym cyklu artykułów podjęte zostaną rozważania nad rozwiązaniami w zakresie ochrony transferowanych danych osobowych do państw trzecich i organizacji międzynarodowych na gruncie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Nasze rozprawy będą próbą oceny usprawnień w dziedzinie bezpieczeństwa transferowanych danych osobowych osób fizycznych. Rozpatrzone zostaną instrumenty proceduralne i administracyjne, które przewiduje RODO w celu zapewnienia przejrzystości transferu danych. Jednocześnie będziemy próbować odpowiedzieć na pytanie, czy przepisy RODO ułatwiają przekazywanie przedsiębiorstwom administrującym i przetwarzającym dane osobowe.
Ochrona danych osobowych – podstawowe definicje
Poprzednia ustawa o ochronie danych osobowych dzieliła dane osobowe na dane zwykłe i dane wrażliwe[5]. RODO natomiast pozostawia dane zwykłe i wprowadza dwie kategorie danych wrażliwych:
Sama definicja danych osobowych umieszczona została w art. 4 rozporządzenia, który stanowi zbiór definicji na użytek aktu. Wyjaśnione zostaje w niej, że dane osobowe oznaczają „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”[8]. W stanie prawnym przed RODO definicja była w gruncie rzeczy ta sama. U.o.d.o. posiadało w art. 6 zaimplementowaną definicję z art. 2 lit. a dyrektywy 95/46/WE. Polski przepis stanowił jednak, że wskazana w definicji informacja nie umożliwia określenia tożsamości osoby, „jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań”[9].
Przekazywanie danych osobowych poza granice kraju jest niczym innym, jak formą ich przetwarzania. Dlatego konieczne jest poznać jego definicję w RODO. Przetwarzaniem, czyli inaczej procesowaniem są wszystkie czynności związane z wykorzystywaniem danych. Oznacza to według RODO każdą „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”[10].
Administrator danych i podmioty przetwarzające
Żeby lepiej zrozumieć idee kryjące się za ochroną danych, należy poznać podstawowe definicje. Należą do nich między innymi – administrator danych osobowych i podmiot przetwarzający. Ten ostatni przetwarza dane w imieniu administratora na podstawie umowy powierzenia przetwarzania danych[11]. Administrator zaś jest „osobą fizyczną, prawną, organem publicznym lub inną jednostką lub podmiotem, które samodzielnie lub we współpracy z innymi ustalają cele i sposoby przetwarzania danych osobowych”[12].
Do zadań administratora danych należy przede wszystkim sprawdzanie czy zbieranie danych i ich przetwarzanie jest zgodne z zasadami rozporządzenia. Ma to znaczenie w kontekście transferu danych do państw trzecich. Ocena dopuszczalności przetwarzania danych jest kluczowa i wymagana dla ich transferu. Jest to związane z zasadą privacy by design. Wprowadzona została ona przez RODO i stanowi, że wszelkie działania, które administrator zamierza podejmować w odniesieniu i przy użyciu danych osobowych powinny być odpowiednio zabezpieczone już na etapie projektowania systemu ochrony danych osobowych[13]. W zależności od środków i celów przetwarzania administrator dokonuje analizy ryzyka planowanych zabezpieczeń procesowanych danych osobowych. To samo ma miejsce, gdy w swoim założeniu działalność administratora ma obejmować transfer danych poza granice EOG.
Przypisy
[1] Ustawa o ochronie danych osobowych z dnia 10. maja 2018 roku
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) nr 2016/680 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych
[3] Kępa Leszek, Ochrona danych osobowych w praktyce, Wydawnictwo Difin, Warszawa 2014, str. 201
[4] Ibidem, str. 201
[5] https://www.pwc.pl/pl/wydarzenia/webinaria/wdrozenie-rodo-krok-po-kroku.html – Kobylańska Anna, Pusz Sylwia, Żużewicz-Masny Liliana, Webinarium: Wdrożenie RODO krok po kroku, PWC 2017
[6] Zob. art. 9 rozporządzenia 2016/79
[7] Zob. art. 10 rozporządzenia 2016/79
[8] Zob. art. 4 pkt. 1 rozporządzenia 2016/79
[9] Zob. art. 6 ust. 3 u.o.d.o.
[10] Zob. art. 4 pkt. 2 rozporządzenia 2016/79
[11] Zob. art. 2 lit. e rozporządzenia 2016/79
[12] Zob. art. 4 pkt. 7 rozporządzenia 2016/79
[13] Stępień Agnieszka, Rozdział 2. Zasady przetwarzania danych osobowych, [w:] Szczygielska Wioleta (red.), RODO. Przewodnik po kluczowych zmianach, Wiedza i Praktyka, Warszawa 2018, str. 13