W dniu kwietniu 2016 r. Unia Europejska zdecydowała o przeprowadzeniu ważnej reformy swoich ram ochrony danych, polegającej na przyjęciu pakietu regulacji, w którego skład wchodzi rozporządzenie o ochronie danych (RODO) (czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane ogólnym rozporządzeniem o ochronie danych), zastępujące obowiązującą od dwudziestu lat dyrektywę 95/46/WE i dyrektywę (UE) 2016/680 w sprawie policji.
Dnia 25 maja 2018 r., czyli 2 lata po przyjęciu i wejściu w życie, rozpocznie się bezpośrednie stosowanie nowego, obejmującego swoim zasięgiem całą UE instrumentu ochrony danych – ogólnego rozporządzenia o ochronie danych, czyli rozporządzenia 2016/679.
W związku z tym, że do dnia 25 maja 2018 r. pozostało mało czasu, Komisja zdecydowała, że dokona oceny przeprowadzonych do tej pory prac i podejmie wszelkie kolejne działania, aby nowe ramy prawne mogły skutecznie wejść w życie. Temu celowi ma służyć Komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 24 stycznia 2018 roku - Wzmocniona ochrona, nowe możliwości – wytyczne Komisji dotyczące bezpośredniego stosowania ogólnego rozporządzenia o ochronie danych od dnia 25 maja 2018 r.
Rozporządzenie 2016/679 wprawdzie nadal bazuje na podejściu przyjętym w dyrektywie 95/46/WE, jednak wyjaśniono w nim i zaktualizowano przepisy o ochronie danych w oparciu o 20 lat doświadczeń w zakresie stosowania przepisów UE w dziedzinie ochrony danych i odpowiednie orzecznictwo z tego samego okresu. Wprowadzono w nim szereg nowych elementów, które mają na celu wzmocnienie ochrony prawa osób fizycznych i stworzenie nowych możliwości dla firm i przedsiębiorstw.
Dalsze prace Komisji Europejskiej
Komisja obecnie pracuje nad dwoma kolejnymi aktami prawnymi, łączącymi się z rozporządzeniem 2016/679. Dokumentami tymi są:
1) Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady dotyczącego ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez unijne instytucje, organy i jednostki organizacyjne oraz swobodnego przepływu takich danych i uchylający rozporządzenie (WE) nr 45/2001 i decyzję nr 1247/2002/WE
oraz
2) Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej).
Komisja ściśle współpracuje z państwami członkowskimi, aby wesprzeć ich działania w tzw. okresie przejściowym tj. do dnia 25 maja 2018 r. W tym celu Komisja utworzyła grupę ekspertów, która ma pomagać państwom członkowskim w przygotowaniach do wejścia w życie rozporządzenia 2016/679. Grupa ma charakter forum, na którym państwa członkowskie mogą dzielić się swoimi doświadczeniami i wiedzą fachową. Komisja zorganizowała również dwustronne spotkania z organami państw członkowskich, aby omawiać kwestie pojawiające się na szczeblu krajowym.
Rozporządzenie 2016/679 ma na celu ułatwienie transgranicznego przepływu danych. Stąd też Komisja prowadzi także działania na arenie międzynarodowej aktywnie angażując się we współpracę z kluczowymi partnerami, zwłaszcza w Azji Wschodniej i Południowo-Wschodniej oraz w Ameryce Łacińskiej, dążąc do przyjęcia decyzji stwierdzających odpowiedni stopień ochrony danych osobowych.
Komisja współpracuje również z Japonią w tym celu, aby obie strony nie później niż do początku 2018 r. równocześnie uznały za konieczne stosowanie odpowiedniego stopnia ochrony danych osobowych przesyłanych z UE do tego kraju. Rozpoczęto również rozmowy z Republiką Korei.
Komisja kontynuuje także współpracę z państwami EFTA (Islandią, Liechtensteinem i Norwegią) w ramach Europejskiego Obszaru Gospodarczego (EOG) w celu włączenia rozporządzenia do Porozumienia EOG.
Ponadto, Komisja Europejska, za pośrednictwem swojego programu ramowego w zakresie badań naukowych i innowacji „Horyzont 2020”, finansuje działania na rzecz opracowywania narzędzi wspierających skuteczne stosowanie przepisów dotyczących wyrażania zgody, które przewidziano w rozporządzeniu 2016/679, oraz działania zapewniające ochronę danych z wykorzystaniem metod analizy danych, takich jak obliczanie wielostronne i szyfrowanie homomorficzne.
Grupa Robocza Art.29
Grupa Robocza Art. 29 – w skład której wchodzą wszystkie krajowe organy ochrony danych, w tym Europejski Inspektor Ochrony Danych – odgrywa istotną rolę w przygotowaniu do stosowania rozporządzenia 2016/679 poprzez przygotowywanie wytycznych dla przedsiębiorstw i zainteresowanych stron. Natomiast krajowe organy ochrony danych egzekwują stosowanie rozporządzenia i stanowią główny punkt kontaktu dla zainteresowanych stron m.in. w kwestiach interpretacji rozporządzenia.
Grupa Art. 29 wydaje wytyczne/ dokumenty robocze na potrzeby stosowania rozporządzenia 2016/679 (wszystkie przyjęte wytyczne dostępne są pod adresem: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083). Grupa wydała do tej pory wytyczne m.in. dotyczące prawa do przenoszenia danych, oceny skutków dla ochrony danych, administracyjnych kar pieniężnych. Natomiast obecnie pracuje nad wytycznymi dotyczącymi m.in.: profilowania, zgód, certyfikacji i akredytacji, wiążących reguł korporacyjnych dla administratorów danych, przesyłania danych do państw trzecich.
Na tej Grupie i przyszłej Europejskiej Radzie Ochrony Danych spoczywa ostateczna odpowiedzialność za wytyczne i to do nich organy ochrony danych będą zwracać się podczas egzekwowania rozporządzenia 2016/679.
Z punktu widzenia zapisów rozporządzenia 2016/679 niezbędne jest, aby podmioty gospodarcze miały dostęp do spójnego i jednolitego zestawu wytycznych. Dlatego też obecne wytyczne na szczeblu krajowym muszą zostać albo uchylone, albo dostosowane do przyjętych przez Grupę Roboczą Art. 29 / Europejską Radę Ochrony Danych wytycznych dotyczących tych samych zagadnień.
Rozporządzenie 2016/679 ma bezpośrednie zastosowanie we wszystkich państwach członkowskich. Oznacza to, że wchodzi w życie i jest stosowane bez względu na istniejące środki prawodawstwa krajowego: bezpośrednio do przepisów rozporządzenia mogą odwoływać się obywatele, przedsiębiorstwa, administracje publiczne i inne organizacje zajmujące się przetwarzaniem danych osobowych. Państwa członkowskie muszą jednak – zgodnie z rozporządzeniem 2016/679 – podjąć działania niezbędne do dostosowania swojego ustawodawstwa, a mianowicie: uchylić i zmienić obowiązujące przepisy, utworzyć krajowe organy ochrony danych, wybrać jednostkę akredytującą oraz ustanowić przepisy mające na celu pogodzenie wolności wypowiedzi z ochroną danych. Zgodnie z art. 43 ust. 1 rozporządzenia 2016/679 państwa członkowskie umożliwiają podmiotom certyfikującym skorzystanie z dwóch sposobów akredytacji, tj.
1) przez krajowy organ nadzorujący ochronę danych utworzony na mocy przepisów w dziedzinie ochrony danych lub
2) przez krajową jednostkę akredytującą utworzoną na mocy rozporządzenia (WE) nr 765/2008 dotyczącego akredytacji i nadzoru rynku.
Rozporządzenie 2016/679 umożliwia państwom członkowskim doprecyzowywanie przepisów o ochronie danych w określonych dziedzinach: sektora publicznego, prawa pracy i zabezpieczenia społecznego, profilaktyki zdrowotnej lub medycyny pracy, zdrowia publicznego, przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, krajowego numeru identyfikacyjnego, publicznego dostępu do dokumentów urzędowych i obowiązku zachowania tajemnicy. Ponadto, rozporządzenie uprawnia państwa członkowskie do zachowania lub wprowadzania dalszych warunków, w tym ograniczeń, przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.
Rozporządzenie 2016/679 daje możliwość uproszczenia otoczenia prawnego, czyli zmniejszenia liczby przepisów krajowych i zapewnienia podmiotom większej przejrzystości. Dostosowując swoje przepisy krajowe, państwa członkowskie muszą wziąć pod uwagę fakt, że wszelkie działania na szczeblu krajowym, które mogłyby stworzyć przeszkody dla bezpośredniego stosowania rozporządzenia i które mogłyby zagrozić jego jednoczesnemu i jednolitemu stosowaniu w całej UE, są sprzeczne z Traktatami.
Zakaz powtarzania treści rozporządzenia w prawie krajowym i wykładnia
KE w Komunikacie wprowadziła zasadę, iż zakazane jest powtarzanie treści rozporządzenia w prawie krajowym (np. powtarzanie definicji lub praw osób fizycznych), chyba że takie powtórzenia są absolutnie niezbędne, aby spójność była zachowana oraz aby przepisy krajowe były zrozumiałe dla osób, do których mają zastosowanie. Dosłowne powielenie treści rozporządzenia 2016/679 w prawie krajowym powinno stanowić wyjątek i być uzasadnione, przy czym nie można go stosować w celu wprowadzenia dodatkowych warunków lub interpretacji do treści tego rozporządzenia. Ustawodawcy krajowi nie mogą zatem kopiować treści rozporządzenia 2016/679, jeżeli nie jest to konieczne w świetle kryteriów określonych w orzecznictwie, ani interpretować czy wprowadzać dodatkowych warunków do przepisów mających bezpośrednie zastosowanie na mocy tego rozporządzenia.
Z kolei Wykładnię rozporządzenia 2016/679 pozostawia się sądom europejskim (sądom krajowym i ostatecznie Trybunałowi Sprawiedliwości).
Na tym etapie jedynie 2 państwa członkowskie (tj. Niemcy i Austria) przyjęły odpowiednie ustawodawstwo krajowe; w pozostałych państwach członkowskich procedura ustawodawcza znajduje się na różnych etapach zaawansowania, państwa te przewidziały przyjęcie odpowiedniego ustawodawstwa do dnia 25 maja 2018 r. Istotne jest, aby podmioty gospodarcze miały wystarczająco dużo czasu na przygotowanie się do wprowadzenia wszystkich przepisów, których będą musiały przestrzegać.
Jeżeli państwa członkowskie nie podejmą działań wymaganych na podstawie rozporządzenia 2016/679, opóźnią się w ich podjęciu lub wykorzystają określone w tym rozporządzeniu klauzule precyzujące w sposób sprzeczny z jego postanowieniami, Komisja skorzysta ze wszystkich dostępnych narzędzi, w tym z możliwości wszczęcia postępowania w sprawie naruszenia.
Europejska Rada Ochrony Danych
Zasadnicze znaczenie ma nowy organ utworzony na mocy rozporządzenia 2016/679, tj. Europejska Rada Ochrony Danych, następca Grupy Roboczej Art. 29. Europejska Rada będzie organem UE posiadającym osobowość prawną, odpowiedzialnym za jednolite stosowanie rozporządzenia 2016/679. W skład tego organu wchodzić będą przewodniczący wszystkich organów ochrony danych oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele. Rada będzie nie tylko wydawać wytyczne w sprawie interpretacji kluczowych pojęć rozporządzenia, ale będzie również wydawać wiążące decyzje w sporach dotyczących transgranicznego przetwarzania.
Utworzenie w pełni niezależnych organów nadzorczych w każdym państwie członkowskim ma kluczowe znaczenie dla zapewnienia ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych w UE. W rozporządzeniu 2016/679 skodyfikowano wymóg, zgodnie z którym wszystkie organy ochrony danych mają działać w sposób całkowicie niezależny; tak aby posiadały one odpowiednie kompetencje do skutecznego rozpatrywania skarg, uprawnienia do przeprowadzania skutecznych dochodzeń, podejmowania wiążących decyzji i nakładania skutecznych i odstraszających sankcji. Organom tym nadano ponadto uprawnienia do nakładania administracyjnych kar pieniężnych na administratorów i podmioty przetwarzające w wysokości do 20 mln EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma mieć kwota wyższa.
Rolą organów ochrony danych ma być informowanie administratorów i podmiotów przetwarzających o ich zobowiązaniach, a także upowszechnianie wiedzy m.in. o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem. Nie oznacza to jednak, że organy ochrony danych mają zapewni dostosowane do zindywidualizowanych potrzeb opinie prawne.
Przetwarzanie danych na nowych zasadach
Rozporządzenie 2016/679 ma wpływ przede wszystkim na podmioty gospodarcze, których główną działalnością gospodarczą jest przetwarzanie danych lub obchodzenie się z danymi wrażliwymi. Ma również wpływ na podmioty, które regularnie i systematycznie monitorują osoby fizyczne na dużą skalę. Te podmioty gospodarcze będą najprawdopodobniej musiały wyznaczyć inspektora ochrony danych, przeprowadzić ocenę skutków dla ochrony danych i zgłosić naruszenia ochrony danych, jeżeli istnieje zagrożenie dla praw i wolności osób fizycznych. Dla porównania, podmioty gospodarcze – w szczególności MŚP – których główna działalność nie obejmuje przetwarzania, z którym łączy się wysokie ryzyko, co do zasady nie podlegają wspomnianym szczególnym zobowiązaniom określonym w tym rozporządzeniu.
Istotne jest, aby podmioty przetwarzające i administratorzy dokonywali dogłębnych przeglądów swojej polityki w zakresie danych, aby mogli wyraźnie zidentyfikować, jakie dane posiadają, do jakich celów i na jakiej podstawie prawnej (np. chmura; podmioty gospodarcze w sektorze finansowym). Muszą oni również dokonać oceny obowiązujących umów, w szczególności tych zawartych między administratorami i podmiotami przetwarzającymi, ścieżek międzynarodowego przekazywania danych i ogólnego zarządzania (stosowanych środków informatycznych i organizacyjnych), w tym wyznaczenia inspektora ochrony danych. Zasadniczym elementem w tym procesie jest udział najwyższego szczebla zarządzania, który ma wnosi swój wkład oraz konsultować zmiany dotyczące polityki danych przedsiębiorstwa.
W tym celu, podmioty gospodarcze korzystają np. z list kontrolnych odnoszących się do zgodności (wewnętrznych albo zewnętrznych) oraz poszukują produktów, które spełnią wymogi w zakresie uwzględniania ochrony danych w fazie projektowania. Każdy sektor musi wypracować ustalenia odpowiednie do szczególnego charakteru swojej dziedziny i dostosowane do danego modelu biznesowego.
Przedsiębiorstwa i inne organizacje przetwarzające dane będą mogły wykorzystać nowe narzędzia przewidziane w rozporządzeniu 2016/679 również jako element wykazania zgodności, np. kodeksy postępowania i mechanizmy certyfikacji. Chodzi tu o podejście oddolne, które wywodzi się ze środowiska biznesu, stowarzyszeń i innych organizacji reprezentujących kategorie administratorów i podmiotów przetwarzających W rozporządzeniu 2016/679 przewidziano uproszczony zbiór przepisów dotyczących takich mechanizmów, biorąc pod uwagę realia rynkowe (np. certyfikacje udzielone przez podmiot certyfikujący lub przez organ ochrony danych).
KE przygotowuje również praktyczne narzędzie internetowe dostarczające porad, w którym zawarte będą pytania i odpowiedzi ukierunkowane na obywateli, przedsiębiorstwa i organy administracji publicznej. Narzędzie ma być dostępne we wszystkich językach UE. Ma służyć trzem głównym grupom odbiorców docelowych: obywatelom, przedsiębiorstwom (w szczególności MŚP) i innym organizacjom oraz organom administracji publicznej.
Wnioski
W dniu 25 maja 2018 r. w całej UE wejdzie w życie nowy jednolity zestaw przepisów o ochronie danych. W związku z tym Komisja wzywa wszystkie zainteresowane strony do zintensyfikowania prowadzonych działań, aby zapewnić spójne stosowanie i interpretację nowych przepisów w całej UE i podnieść świadomość zarówno wśród przedsiębiorstw, jak i obywateli. Wobec państw członkowskich, począwszy od maja 2018 r., KE będzie ściśle monitorować stosowanie rozporządzenia 2016/679 i w razie potrzeby podejmować odpowiednie działania, w tym działania w odpowiedzi na naruszenia przepisów.
Komunikat został wydany i opublikowany w dniu 24 stycznia 2018 r. Zawiera wytyczne dotyczące bezpośredniego stosowania ogólnego rozporządzenia o ochronie danych od dnia 25 maja 2018 r. Jest narzędziem wspomagającym w procesie dostosowywania się do zapisów rozporządzenia 2016/679.
Radca prawny - Mateusz Romowicz
Współautorką jest Beata Madejska - prawnik specjalizujący się w prawie UE.
http://www.kancelaria-gdynia.eu
www.facebook.com/Legal.Marine.Mateusz.Romowicz
Autorzy pracują w Kancelarii Radcy Prawnego Legal Consulting - Mateusz Romowicz.