RODO. Nowe rodzaje przetwarzania danych osobowych i przekazywanie danych do państw trzecich

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE będzie stosowane bezpośrednio w krajach członkowskich Unii Europejskiej już 25 maja 2018 roku. To tzw. ogólne rozporządzenie o ochronie danych (RODO, z jęz. ang. GDPR) wprowadzi wiele nowości w zakresie przetwarzania danych osobowych.

W tym artykule odniesiemy się do dwóch z nich: nowych technik i przekazywania danych za granicę.

W poprzednim akcie prawa europejskiego odnoszącym się do kwestii ochrony danych osobowych (dyrektywa 95/46/WE) zapisano ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Generowało to niepotrzebne obciążenia administracyjne i finansowe i miało raczej znikomy wpływ na poprawę ochrony danych osobowych.

Załóżmy więc, że administrator danych po 25 maja 2018 r. będzie chciał wprowadzić u siebie nowy rodzaj przetwarzania danych, w szczególności z użyciem nowych technologii. Jeżeli taki rodzaj przetwarzania– ze względu na swój charakter, zakres, kontekst i cele – będzie mógł z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator nie będzie mógł „od razu” korzystać z takiego rodzaju przetwarzania. Zamiast tego, przed rozpoczęciem przetwarzania, musi najpierw ocenić jakie będą skutki planowanych operacji przetwarzania dla ochrony danych osobowych.

Ocena ta jest wymagana w szczególności w przypadku:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
• przetwarzania na dużą skalę dwóch szczególnych kategorii danych osobowych, tj.: danych wrażliwych oraz wyroków skazujących i naruszeń prawa;
• systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Informacje o tym jakie konkretnie rodzaje operacji przetwarzania będą podlegały wymogowi dokonania oceny skutków dla ochrony danych będą także musiały być podane do publicznej wiadomości przez organ nadzorczy.

Obowiązek dokonania oceny będzie spoczywał naturalnie na samym administratorze danych osobowych.

Ocena powinna zawierać przynajmniej:

• systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
• ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
• ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz
• środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Administrator powinien też zasięgać opinii osób, których dane dotyczą. Kiedy? „W stosownych przypadkach” ale tylko gdy zasięgnięcie takiej opinii odbędzie się bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

Administrator nie ma obowiązku dokonywać oceny gdy przetwarzanie:

• jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze albo do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator;
• jest uregulowane prawnie w odniesieniu do już konkretnej operacji przetwarzania i na etapie przyjmowania tej regulacji dokonano oceny skutków dla ochrony danych.

Cel tego postanowienia jest jasny: nie ma sensu zmuszać administratora danych do dokonywania oceny skutków takiej operacji przetwarzania, dla której ocena ta została dokonana przy tworzeniu regulacji prawnych jej dotyczących. Warto jednak zaznaczyć, że państwa członkowskie zawsze mogą uznać za niezbędne aby mimo to administrator dokonał takiej oceny we własnym zakresie.

Jeżeli ocena skutków dla ochrony danych wypadnie pomyślnie to administrator danych może stosować nową „technikę” (tj. nowy rodzaj przetwarzania danych). Jeżeli jednak w wyniku oceny okaże się, że przetwarzanie danych nowym sposobem powodowałoby wysokie ryzyko i konieczne jest zastosowanie środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator ma obowiązek skonsultować się z organem nadzorczym.

Wydaje się właściwym (zwłaszcza dla szybkości postępowania) aby już w piśmie inicjującym owe konsultacje administrator przedłożył wszystkie niezbędne informacje, w tym poinformował organ nadzorczy (np. w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych) o ocenie skutków i proponowanych środkach. Organ stwierdzając iż zamierzone przetwarzanie stanowiłoby naruszenie RODO – w szczególności gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko – udzieli administratorowi pisemnego zalecenia.

Urząd ma na te działania 8 tygodni od dnia wpłynięcia wniosku o konsultacje. Termin może zostać przedłużony do nawet 14 tygodni w przypadku złożonego charakteru zamierzonego przetwarzania. O przedłużeniu organ powinien poinformować, wskazując na przyczyny przedłużenia, w terminie miesiąca od dnia wypłynięcia wniosku. Co więcej bieg terminów w ogóle organ może zawiesić jeżeli nie uzyskał wszystkich informacji, których zażądał do celów konsultacji. A informacji tych administrator musi dostarczyć całkiem sporo, stąd nasze zalecenie aby przedłożyć je już w pierwszym piśmie do Prezesa Urzędu Ochrony Danych Osobowych.

Należy więc wskazać:

• gdy ma to zastosowanie – odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;
• cele i sposoby zamierzonego przetwarzania;
• środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z niniejszym rozporządzeniem;
• gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
• ocenę skutków dla ochrony danych, o której mowa w art. 35;
• wszelkie inne informacje, których żąda organ nadzorczy.

Swoboda przepływu danych osobowych w ramach Unii Europejskiej jest jednym z dwóch podstawowych celów (obok ochrony danych osób fizycznych), z powodu których tematyką danych osobowych interesuje się prawodawstwo unijne. Prawodawca europejski uznał, że w przypadku przekazywania danych osobowych do państw trzecich (tj. poza teren Unii Europejskiej a dokładniej Europejskiego Obszaru Gospodarczego) swoboda przepływu danych jest mniej istotna od potrzeby ich ochrony. Z tego też powodu przekazywanie danych osobowych „na zewnątrz” Wspólnoty zostało obwarowane pewnymi rygorami.

Oceny czy dane państwo trzecie spełnia odpowiedni stopień ochrony podejmować będzie Komisja Europejska. Wykaz państw trzecich, terytoriów i określonych sektorów w państwie trzecim oraz organizacji międzynarodowych, co do których Komisja przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak, będzie opublikowany w Dzienniku Urzędowym Unii Europejskiej i na stronie internetowej Komisji.

W przypadku nieuznania danego państwa trzeciego za „zaufane”, administrator może do tego państwa przekazać dane osobowe wyłącznie gdy zapewni odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Te odpowiednie zabezpieczenia mogą być dwojakiego rodzaju:

• administrator zastosuje zabezpieczenia określone w art. 46 ust. 2 RODO; albo
• administrator zastosuje zabezpieczenia określone w art. 46 ust. 3 RODO ale tu konieczne będzie osobne zezwolenie Prezesa Urzędu Ochrony Danych Osobowych.

Zgoda organu nadzorczego w konkretnych przypadkach nie będzie wymagana jeżeli administrator zastosuje prawnie wiążące reguły korporacyjne (binding corporate rules - BCR), zatwierdzone uprzednio przez Prezesa Urzędu Ochrony Danych Osobowych.

Jest to przejaw tzw. europejskiej procedury wzajemnego uznawania (tzw. mutual recognition). Chodzi tu o ujednolicenie standardów ochrony danych osobowych przekazywanych przez podmioty mające siedzibę na terenie państw członkowskich Unii Europejskiej nie tylko w obrębie Wspólnoty ale także do państw trzecich.

Wiążące reguły korporacyjne są przyjmowane w ramach określonej grupy przedsiębiorców specjalnie na potrzeby przekazywania danych osobowych przez administratora danych osobowych lub podmiot, któremu powierzono przetwarzanie danych osobowych, do należącego do tej samej grupy (ale w państwie trzecim) innego administratora danych osobowych lub podmiotu, któremu powierzono przetwarzanie danych osobowych. Można więc powiedzieć, że są to jakby zasady przetwarzania danych osobowych w ramach tej samej grupy kapitałowej. Chodzi bowiem o ujednolicenie ochrony przekazywania danych osobowych w obrębie dużej, międzynarodowej korporacji, niezależnie od tego czy jej poszczególne oddziały znajdują się w krajach Unii Europejskiej czy państwach trzecich.

Organ nadzorczy zatwierdza reguły w drodze decyzji administracyjnej. Przed jej wydaniem organ może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw trzecich (czyli w naszym przykładzie powyżej – ze swoim odpowiednikiem na Filipinach). Wyniki konsultacji Prezes Urzędu Ochrony Danych Osobowych powinien uwzględnić w wydanej przez siebie decyzji.

Jeżeli administrator nie może skorzystać z żadnej z powyższych możliwości a nadal chce przekazać dane osobowe do państwa trzeciego to może to zrobić w sytuacjach wskazanych w art. 49 ust. 1, na przykład gdy:

• osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
• przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem;
• przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
• przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
• przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
• przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.