RODO. Nowe rodzaje przetwarzania danych osobowych i przekazywanie danych do państw trzecich

Marcin Sarna

Autor: Marcin Sarna

Dodano: 8 marca 2018
131155d4cf1fec343f0049556774d126b12fe023-medium

1 maja 2018 r. wejdą w życie nowe zasady postępowania z danymi osobowymi. Wprowadzanie nowych technik przetwarzania danych zostanie obostrzone pewnymi formalnościami. Na nowo zostaną także zdefiniowane zasady postępowania z danymi w przypadku ich przekazywania do państwa trzeciego. Co to oznacza w praktyce? Sprawdź!

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE będzie stosowane bezpośrednio w krajach członkowskich Unii Europejskiej już 25 maja 2018 roku. To tzw. ogólne rozporządzenie o ochronie danych (RODO, z jęz. ang. GDPR) wprowadzi wiele nowości w zakresie przetwarzania danych osobowych.

W tym artykule odniesiemy się do dwóch z nich: nowych technik i przekazywania danych za granicę.

Nowa technika – jak było a jak ma być

W poprzednim akcie prawa europejskiego odnoszącym się do kwestii ochrony danych osobowych (dyrektywa 95/46/WE) zapisano ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Generowało to niepotrzebne obciążenia administracyjne i finansowe i miało raczej znikomy wpływ na poprawę ochrony danych osobowych.

Te formalistyczne zasady mają zostać zniesione ale w ich miejscu nie pojawi się próżnia. RODO będzie stawiało takie szczególne wymagania jedynie wobec szczególnych operacji przetwarzania. Chodzi tu o takie rodzaje operacji przetwarzania, które:

  • ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych;
  • wiążą się z użyciem nowych technologii;
  • są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych lub stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania.
Kiedy jest potrzebna ocena skutków dla ochrony danych?

Załóżmy więc, że administrator danych po 25 maja 2018 r. będzie chciał wprowadzić u siebie nowy rodzaj przetwarzania danych, w szczególności z użyciem nowych technologii. Jeżeli taki rodzaj przetwarzania– ze względu na swój charakter, zakres, kontekst i cele – będzie mógł z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator nie będzie mógł „od razu” korzystać z takiego rodzaju przetwarzania. Zamiast tego, przed rozpoczęciem przetwarzania, musi najpierw ocenić jakie będą skutki planowanych operacji przetwarzania dla ochrony danych osobowych.

Ocena ta jest wymagana w szczególności w przypadku:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzania na dużą skalę dwóch szczególnych kategorii danych osobowych, tj.: danych wrażliwych oraz wyroków skazujących i naruszeń prawa;
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Informacje o tym jakie konkretnie rodzaje operacji przetwarzania będą podlegały wymogowi dokonania oceny skutków dla ochrony danych będą także musiały być podane do publicznej wiadomości przez organ nadzorczy.

Lista najbardziej „typowych” nowych rodzajów operacji przetwarzania jakie pojawią się w przyszłości będzie dostępna na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych (następca obecnego Generalnego Inspektora Ochrony Danych Osobowych).

Kto dokonuje oceny i co powinna ona zawierać?

Obowiązek dokonania oceny będzie spoczywał naturalnie na samym administratorze danych osobowych.

Ocena powinna zawierać przynajmniej:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Jeżeli administrator danych osobowych wprowadził u siebie do stosowania zatwierdzony kodeks postępowania (inna nowość RODO) to wówczas skutki operacji przetwarzania ocenia się uwzględniając przestrzeganie przez ADO postanowień tego kodeksu. Jeżeli administrator danych osobowych wyznaczył inspektora ochrony danych to wówczas ma obowiązek konsultować się z nim w związku z dokonywaniem oceny. W praktyce będzie to zapewne oznaczało przerzucenie na inspektora większości obowiązków związanych z opracowaniem (przygotowaniem) takiej oceny.

Administrator powinien też zasięgać opinii osób, których dane dotyczą. Kiedy? „W stosownych przypadkach” ale tylko gdy zasięgnięcie takiej opinii odbędzie się bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

Rozporządzenie nakazuje aby w sytuacji gdy zmieni się ryzyko wynikające z operacji przetwarzania, administrator danych osobowych dokonał przeglądu stwierdzając, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych. Taka sytuacja może mieć miejsce np. w razie zmiany rodzaju przetwarzanych danych.

Kiedy nie trzeba dokonywać oceny

Administrator nie ma obowiązku dokonywać oceny gdy przetwarzanie:

  • jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze albo do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator;
  • jest uregulowane prawnie w odniesieniu do już konkretnej operacji przetwarzania i na etapie przyjmowania tej regulacji dokonano oceny skutków dla ochrony danych.

Cel tego postanowienia jest jasny: nie ma sensu zmuszać administratora danych do dokonywania oceny skutków takiej operacji przetwarzania, dla której ocena ta została dokonana przy tworzeniu regulacji prawnych jej dotyczących. Warto jednak zaznaczyć, że państwa członkowskie zawsze mogą uznać za niezbędne aby mimo to administrator dokonał takiej oceny we własnym zakresie.

Uprzednie konsultacje

Jeżeli ocena skutków dla ochrony danych wypadnie pomyślnie to administrator danych może stosować nową „technikę” (tj. nowy rodzaj przetwarzania danych). Jeżeli jednak w wyniku oceny okaże się, że przetwarzanie danych nowym sposobem powodowałoby wysokie ryzyko i konieczne jest zastosowanie środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator ma obowiązek skonsultować się z organem nadzorczym.

Wydaje się właściwym (zwłaszcza dla szybkości postępowania) aby już w piśmie inicjującym owe konsultacje administrator przedłożył wszystkie niezbędne informacje, w tym poinformował organ nadzorczy (np. w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych) o ocenie skutków i proponowanych środkach. Organ stwierdzając iż zamierzone przetwarzanie stanowiłoby naruszenie RODO – w szczególności gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko – udzieli administratorowi pisemnego zalecenia.

Urząd ma na te działania 8 tygodni od dnia wpłynięcia wniosku o konsultacje. Termin może zostać przedłużony do nawet 14 tygodni w przypadku złożonego charakteru zamierzonego przetwarzania. O przedłużeniu organ powinien poinformować, wskazując na przyczyny przedłużenia, w terminie miesiąca od dnia wypłynięcia wniosku. Co więcej bieg terminów w ogóle organ może zawiesić jeżeli nie uzyskał wszystkich informacji, których zażądał do celów konsultacji. A informacji tych administrator musi dostarczyć całkiem sporo, stąd nasze zalecenie aby przedłożyć je już w pierwszym piśmie do Prezesa Urzędu Ochrony Danych Osobowych.

Należy więc wskazać:

  • gdy ma to zastosowanie – odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;
  • cele i sposoby zamierzonego przetwarzania;
  • środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z niniejszym rozporządzeniem;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • ocenę skutków dla ochrony danych, o której mowa w art. 35;
  • wszelkie inne informacje, których żąda organ nadzorczy.
Przekazywanie danych do państw trzecich

Swoboda przepływu danych osobowych w ramach Unii Europejskiej jest jednym z dwóch podstawowych celów (obok ochrony danych osób fizycznych), z powodu których tematyką danych osobowych interesuje się prawodawstwo unijne. Prawodawca europejski uznał, że w przypadku przekazywania danych osobowych do państw trzecich (tj. poza teren Unii Europejskiej a dokładniej Europejskiego Obszaru Gospodarczego) swoboda przepływu danych jest mniej istotna od potrzeby ich ochrony. Z tego też powodu przekazywanie danych osobowych „na zewnątrz” Wspólnoty zostało obwarowane pewnymi rygorami.

Szczególne restrykcje w przekazywaniu danych osobowych będą dotyczyły tylko tych państw trzecich, które nie zapewniają na swoim terytorium odpowiedniego stopnia ochrony danych osobowych. Do państw zapewniających ten odpowiedni stopień ochrony dane można będzie przekazywać bez żadnego specjalnego zezwolenia.

Oceny czy dane państwo trzecie spełnia odpowiedni stopień ochrony podejmować będzie Komisja Europejska. Wykaz państw trzecich, terytoriów i określonych sektorów w państwie trzecim oraz organizacji międzynarodowych, co do których Komisja przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak, będzie opublikowany w Dzienniku Urzędowym Unii Europejskiej i na stronie internetowej Komisji.

Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń

W przypadku nieuznania danego państwa trzeciego za „zaufane”, administrator może do tego państwa przekazać dane osobowe wyłącznie gdy zapewni odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Te odpowiednie zabezpieczenia mogą być dwojakiego rodzaju:

  • administrator zastosuje zabezpieczenia określone w art. 46 ust. 2 RODO; albo
  • administrator zastosuje zabezpieczenia określone w art. 46 ust. 3 RODO ale tu konieczne będzie osobne zezwolenie Prezesa Urzędu Ochrony Danych Osobowych.
Przekazywanie bez zezwolenia Prezesa Urzędu Ochrony Danych Osobowych - BCR

Zgoda organu nadzorczego w konkretnych przypadkach nie będzie wymagana jeżeli administrator zastosuje prawnie wiążące reguły korporacyjne (binding corporate rules - BCR), zatwierdzone uprzednio przez Prezesa Urzędu Ochrony Danych Osobowych.

Jest to przejaw tzw. europejskiej procedury wzajemnego uznawania (tzw. mutual recognition). Chodzi tu o ujednolicenie standardów ochrony danych osobowych przekazywanych przez podmioty mające siedzibę na terenie państw członkowskich Unii Europejskiej nie tylko w obrębie Wspólnoty ale także do państw trzecich.

Wiążące reguły korporacyjne są przyjmowane w ramach określonej grupy przedsiębiorców specjalnie na potrzeby przekazywania danych osobowych przez administratora danych osobowych lub podmiot, któremu powierzono przetwarzanie danych osobowych, do należącego do tej samej grupy (ale w państwie trzecim) innego administratora danych osobowych lub podmiotu, któremu powierzono przetwarzanie danych osobowych. Można więc powiedzieć, że są to jakby zasady przetwarzania danych osobowych w ramach tej samej grupy kapitałowej. Chodzi bowiem o ujednolicenie ochrony przekazywania danych osobowych w obrębie dużej, międzynarodowej korporacji, niezależnie od tego czy jej poszczególne oddziały znajdują się w krajach Unii Europejskiej czy państwach trzecich.

PRZYKŁAD

Przekazywanie danych w grupie kapitałowej

GlobBeton to grupa kapitałowa mająca oddziały w wielu państwach na terenie Europy i Azji. Dzięki przyjętym wiążącym regułom korporacyjnym przekazywanie danych osobowych pomiędzy oddziałem w Polsce a oddziałem na Filipinach nie będzie wymagało każdorazowej zgody Prezesa Urzędu Ochrony Danych Osobowych.

Organ nadzorczy zatwierdza reguły w drodze decyzji administracyjnej. Przed jej wydaniem organ może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw trzecich (czyli w naszym przykładzie powyżej – ze swoim odpowiednikiem na Filipinach). Wyniki konsultacji Prezes Urzędu Ochrony Danych Osobowych powinien uwzględnić w wydanej przez siebie decyzji.

Ostatnia deska ratunku

Jeżeli administrator nie może skorzystać z żadnej z powyższych możliwości a nadal chce przekazać dane osobowe do państwa trzeciego to może to zrobić w sytuacjach wskazanych w art. 49 ust. 1, na przykład gdy:

  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem;
  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.
Podstawa prawna: 
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Marcin Sarna

Autor: Marcin Sarna

radca prawny, ekspert z zakresu ochrony danych osobowych
Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz
Dołącz do Portalu FK i odbieraj nagrody
KLUB <
wiper-pixel