Tylko teraz możesz BEZPŁATNIE przetestować PortalFK.pl przez 24h! GWARANTUJEMY:
1 maja 2018 r. wejdą w życie nowe zasady postępowania z danymi osobowymi. Wprowadzanie nowych technik przetwarzania danych zostanie obostrzone pewnymi formalnościami. Na nowo zostaną także zdefiniowane zasady postępowania z danymi w przypadku ich przekazywania do państwa trzeciego. Co to oznacza w praktyce? Sprawdź!
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE będzie stosowane bezpośrednio w krajach członkowskich Unii Europejskiej już 25 maja 2018 roku. To tzw. ogólne rozporządzenie o ochronie danych (RODO, z jęz. ang. GDPR) wprowadzi wiele nowości w zakresie przetwarzania danych osobowych.
W tym artykule odniesiemy się do dwóch z nich: nowych technik i przekazywania danych za granicę.
W poprzednim akcie prawa europejskiego odnoszącym się do kwestii ochrony danych osobowych (dyrektywa 95/46/WE) zapisano ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Generowało to niepotrzebne obciążenia administracyjne i finansowe i miało raczej znikomy wpływ na poprawę ochrony danych osobowych.
Załóżmy więc, że administrator danych po 25 maja 2018 r. będzie chciał wprowadzić u siebie nowy rodzaj przetwarzania danych, w szczególności z użyciem nowych technologii. Jeżeli taki rodzaj przetwarzania– ze względu na swój charakter, zakres, kontekst i cele – będzie mógł z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator nie będzie mógł „od razu” korzystać z takiego rodzaju przetwarzania. Zamiast tego, przed rozpoczęciem przetwarzania, musi najpierw ocenić jakie będą skutki planowanych operacji przetwarzania dla ochrony danych osobowych.
Ocena ta jest wymagana w szczególności w przypadku:
Informacje o tym jakie konkretnie rodzaje operacji przetwarzania będą podlegały wymogowi dokonania oceny skutków dla ochrony danych będą także musiały być podane do publicznej wiadomości przez organ nadzorczy.
Obowiązek dokonania oceny będzie spoczywał naturalnie na samym administratorze danych osobowych.
Ocena powinna zawierać przynajmniej:
Administrator powinien też zasięgać opinii osób, których dane dotyczą. Kiedy? „W stosownych przypadkach” ale tylko gdy zasięgnięcie takiej opinii odbędzie się bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.
Administrator nie ma obowiązku dokonywać oceny gdy przetwarzanie:
Cel tego postanowienia jest jasny: nie ma sensu zmuszać administratora danych do dokonywania oceny skutków takiej operacji przetwarzania, dla której ocena ta została dokonana przy tworzeniu regulacji prawnych jej dotyczących. Warto jednak zaznaczyć, że państwa członkowskie zawsze mogą uznać za niezbędne aby mimo to administrator dokonał takiej oceny we własnym zakresie.
Jeżeli ocena skutków dla ochrony danych wypadnie pomyślnie to administrator danych może stosować nową „technikę” (tj. nowy rodzaj przetwarzania danych). Jeżeli jednak w wyniku oceny okaże się, że przetwarzanie danych nowym sposobem powodowałoby wysokie ryzyko i konieczne jest zastosowanie środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator ma obowiązek skonsultować się z organem nadzorczym.
Wydaje się właściwym (zwłaszcza dla szybkości postępowania) aby już w piśmie inicjującym owe konsultacje administrator przedłożył wszystkie niezbędne informacje, w tym poinformował organ nadzorczy (np. w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych) o ocenie skutków i proponowanych środkach. Organ stwierdzając iż zamierzone przetwarzanie stanowiłoby naruszenie RODO – w szczególności gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko – udzieli administratorowi pisemnego zalecenia.
Urząd ma na te działania 8 tygodni od dnia wpłynięcia wniosku o konsultacje. Termin może zostać przedłużony do nawet 14 tygodni w przypadku złożonego charakteru zamierzonego przetwarzania. O przedłużeniu organ powinien poinformować, wskazując na przyczyny przedłużenia, w terminie miesiąca od dnia wypłynięcia wniosku. Co więcej bieg terminów w ogóle organ może zawiesić jeżeli nie uzyskał wszystkich informacji, których zażądał do celów konsultacji. A informacji tych administrator musi dostarczyć całkiem sporo, stąd nasze zalecenie aby przedłożyć je już w pierwszym piśmie do Prezesa Urzędu Ochrony Danych Osobowych.
Należy więc wskazać:
Swoboda przepływu danych osobowych w ramach Unii Europejskiej jest jednym z dwóch podstawowych celów (obok ochrony danych osób fizycznych), z powodu których tematyką danych osobowych interesuje się prawodawstwo unijne. Prawodawca europejski uznał, że w przypadku przekazywania danych osobowych do państw trzecich (tj. poza teren Unii Europejskiej a dokładniej Europejskiego Obszaru Gospodarczego) swoboda przepływu danych jest mniej istotna od potrzeby ich ochrony. Z tego też powodu przekazywanie danych osobowych „na zewnątrz” Wspólnoty zostało obwarowane pewnymi rygorami.
Oceny czy dane państwo trzecie spełnia odpowiedni stopień ochrony podejmować będzie Komisja Europejska. Wykaz państw trzecich, terytoriów i określonych sektorów w państwie trzecim oraz organizacji międzynarodowych, co do których Komisja przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak, będzie opublikowany w Dzienniku Urzędowym Unii Europejskiej i na stronie internetowej Komisji.
W przypadku nieuznania danego państwa trzeciego za „zaufane”, administrator może do tego państwa przekazać dane osobowe wyłącznie gdy zapewni odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Te odpowiednie zabezpieczenia mogą być dwojakiego rodzaju:
Zgoda organu nadzorczego w konkretnych przypadkach nie będzie wymagana jeżeli administrator zastosuje prawnie wiążące reguły korporacyjne (binding corporate rules - BCR), zatwierdzone uprzednio przez Prezesa Urzędu Ochrony Danych Osobowych.
Jest to przejaw tzw. europejskiej procedury wzajemnego uznawania (tzw. mutual recognition). Chodzi tu o ujednolicenie standardów ochrony danych osobowych przekazywanych przez podmioty mające siedzibę na terenie państw członkowskich Unii Europejskiej nie tylko w obrębie Wspólnoty ale także do państw trzecich.
Wiążące reguły korporacyjne są przyjmowane w ramach określonej grupy przedsiębiorców specjalnie na potrzeby przekazywania danych osobowych przez administratora danych osobowych lub podmiot, któremu powierzono przetwarzanie danych osobowych, do należącego do tej samej grupy (ale w państwie trzecim) innego administratora danych osobowych lub podmiotu, któremu powierzono przetwarzanie danych osobowych. Można więc powiedzieć, że są to jakby zasady przetwarzania danych osobowych w ramach tej samej grupy kapitałowej. Chodzi bowiem o ujednolicenie ochrony przekazywania danych osobowych w obrębie dużej, międzynarodowej korporacji, niezależnie od tego czy jej poszczególne oddziały znajdują się w krajach Unii Europejskiej czy państwach trzecich.
Organ nadzorczy zatwierdza reguły w drodze decyzji administracyjnej. Przed jej wydaniem organ może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw trzecich (czyli w naszym przykładzie powyżej – ze swoim odpowiednikiem na Filipinach). Wyniki konsultacji Prezes Urzędu Ochrony Danych Osobowych powinien uwzględnić w wydanej przez siebie decyzji.
Jeżeli administrator nie może skorzystać z żadnej z powyższych możliwości a nadal chce przekazać dane osobowe do państwa trzeciego to może to zrobić w sytuacjach wskazanych w art. 49 ust. 1, na przykład gdy:
Tylko teraz możesz BEZPŁATNIE przetestować PortalFK.pl przez 24h! GWARANTUJEMY:
Jeśli masz jakiekolwiek pytania skorzystaj z indywidualnej porady grona naszych wybitnych Ekspertów.
@ Wiedza i Praktyka Sp. z o.o. \\ Wszystkie prawa zastrzeżone.