RODO cz. II – Czy taki diabeł straszny jak go malują?
Nowa definicja danych osobowych i dane osobowe przedsiębiorcy.
Choć ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (u.o.d.o.) obowiązuje prawie 20 lat, zdecydowana większość objętych nią podmiotów, wciąż ma problem z zastosowaniem w praktyce jej regulacji. Zdarza się wręcz, że ci, których ona dotyczy, w ogóle nie zdają sobie sprawy z istnienia u.o.d.o. Dzieje się tak, ponieważ tematyka związana z ochroną danych osobowych nie jest łatwa – obowiązujące przepisy trudno zaliczyć do intuicyjnych i łatwych w zastosowaniu. Czy to się zmieni?
Jak już zapewne wszyscy wiedzą, w dniu 25 maja 2018 r. zacznie obowiązywać RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które zastąpi obecną ustawę o ochronie danych osobowych.
W obecnym wpisie poświęconym czekających nas zmianom, przyjrzymy się nowej definicji danych osobowych oraz znaczącym w skutkach powrotem do objęcia danych osobowych przedsiębiorców -osób fizycznych prowadzących jednoosobową działalność gospodarczą – regulacjami w zakresie przetwarzania dotyczących ich danych osobowych.
Nowa definicja danych osobowych
Dla porządku, przypomnijmy sobie, czym są dane osobowe i dlaczego podlegają ochronie.
Każdy ma prawo do ochrony dotyczących go danych osobowych. Zarówno obecnie obowiązująca ustawa o ochronie danych osobowych, jak i przepisy, które zaczną obowiązywać od maja 2018 r. – RODO, wskazują, że dane osobowe to wszelkie informacje o osobie fizycznej pozwalające na ustalenie jej tożsamości (zidentyfikowanie) – nie tylko te oczywiste, jak imię i nazwisko, ale także np. barwa głosu czy sposób chodzenia. Chodzi zatem o informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. RODO wprowadza jednak odmienność w wyjaśnieniu pojęcia „osoby możliwej do zidentyfikowania”. Obok dotychczas wymienianych przez u.o.d.o. informacji umożliwiających identyfikację osoby fizycznej, takich jak: numer identyfikacyjny, jeden lub kilka specyficznych czynników określających cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne – RODO dodaje: „dane o lokalizacji” oraz „identyfikator internetowy”. W praktyce będzie to np. identyfikator w serwisie społecznościowym, adres IP komputera czy adres poczty elektronicznej. Co ciekawe, to RODO po raz pierwszy wskazuje wprost, że danymi osobowymi są, co oczywiste, imię i nazwisko osoby fizycznej.
|
INFORMACJE UMOŻLIWIAJĄCE IDENTYFIKACJĘ OSOBY FIZYCZNEJ
|
|
| według u.o.d.o: | według RODO: |
| numer identyfikacyjny | numer identyfikacyjny |
| jeden lub kilka specyficznych czynników określających cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne | jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej |
| imię i nazwisko | |
| dane o lokalizacji | |
| identyfikator internetowy | |
IDENTYFIKATOR INTERNETOWY
Jak widać, definicja danych osobowych została rozbudowana w porównaniu z definicją zawartą w u.o.d.o. Co istotne, RODO wprost wskazuje, że dane „internetowe” – dane o lokalizacji, identyfikator internetowy – to czynniki, które na pewno należy traktować, jako umożliwiające identyfikację osoby fizycznej. Jak czytamy w motywach RODO, przypisane osobom fizycznym identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane np. przez etykiety RFID, mogą skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery, mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Zgodnie z RODO, możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można ustalić w sposób bezpośredni lub pośredni. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, trzeba uwzględnić wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz technologię dostępną w momencie przetwarzania danych, jak również postęp technologiczny. Co bardzo istotne, administrator nie musi osobiście dysponować wszystkimi informacjami, ale może się odwołać do osób trzecich, starając się uzyskać dane dodatkowe w celu identyfikacji. Innymi słowy, informacje na podstawie których możliwe będzie zidentyfikowanie osoby fizycznej, obejmują dane, które są zarówno w posiadaniu administratora, jak i takie, które musi on pozyskać od podmiotów trzecich. Oczywiście, przy ograniczeniu wskazanymi powyżej obiektywnymi czynnikami (koszt i czas potrzebne do zidentyfikowania danej osoby, a także dostępna w momencie przetwarzania danych technologią, jak również postęp technologiczny).
Dobrze obrazuje to nadal aktualny w nowym stanie prawnym wyrok Trybunał Sprawiedliwości UE w sprawie C-582/14 Breyer. TS został tam zapytany, czy adres IP, który usługodawca rejestruje w związku z wejściem na jego stronę internetową, stanowi dla niego dane osobowe już wtedy, gdy osoba trzecia (tu: dostawca dostępu) dysponuje dodatkową wiedzą wymaganą do identyfikacji danej osoby. Trybunał stwierdził co prawda, że dynamiczny adres IP nie stanowi informacji odnoszącej się do „zidentyfikowanej osoby fizycznej”, jako że taki adres nie ujawnia bezpośrednio tożsamości osoby fizycznej będącej właścicielem komputera. ALE! Trybunał uznał jednak, że taki adres IP stanowi informację o „możliwej do zidentyfikowania osobie fizycznej”, a co za tym idzie, skoro w konkretnych okolicznościach nawet zmienny adres IP pozwala na pośrednią identyfikację użytkownika strony, to stanowi on daną osobową. Wyrok ten przesądza zatem, że już samo zarejestrowanie adresu IP przez usługodawcę, może być gromadzeniem danych osobowych, jeżeli usługodawca będzie w stanie zidentyfikować posługującego się nim użytkownika (przy graniczeniu wskazanymi powyżej czynnikami obiektywnymi).
Jeśli chodzi natomiast o pliki cookie, to z wraz początkiem obowiązywania RODO planowane jest wejście w życie Rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, zwanego ePrivacy (będącego jednak jeszcze w fazie projektu). Rozporządzenie to ma uchylić i zastąpić obowiązującą już od czternastu lat dyrektywę o prywatności i łączności elektronicznej – 2002/58/WE. Zgodnie z projektem rozporządzenia, użytkownicy w ustawieniach przeglądarek będą mogli trwale zaakceptować bądź odrzucić wybrane przez siebie cookies. Poza tym, nie będą już wymagały zgody użytkownika ciasteczka, które nie stwarzają zagrożenia dla prywatności, a ułatwiają korzystanie ze strony – np. pliki zapamiętujące zawartość koszyka w sklepie internetowym. Jak zatem widać, rozporządzenie potwierdzi zasadę, że identyfikatory plików cookie, w zależności od ich rodzaju, mogą stanowić dane osobowe.
SZERSZY KATALOG DANYCH WRAŻLIWYCH
Szczególną kategorią danych osobowych są tzw. dane wrażliwe (nazywane tak przez u.o.d.o.), do których RODO zalicza: dane o stanie zdrowia, dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne, a także dane dotyczące seksualności lub orientacji seksualnej, i które nazywa właśnie „szczególną kategorią danych osobowych”. RODO definiuje dane genetyczne jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby, i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej. Natomiast dane biometryczne, oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
|
DANE WRAŻLIWE / SZCZEGÓLNA KATEGORIA DANYCH
|
|
| według u.o.d.o: | według RODO: |
| pochodzenie rasowe lub etniczne | pochodzenie rasowe lub etniczne |
| poglądy polityczne | poglądy polityczne |
| przekonania religijne lub filozoficzne | przekonania religijne lub światopoglądowe |
| przynależność wyznaniowa, partyjna lub związkowa | przynależność do związków zawodowych |
| życie seksualne | dane dotyczące seksualności lub orientacji seksualnej |
| nałogi | |
| stan zdrowia | dane dotyczące zdrowia |
| kod genetyczny | dane genetyczne |
| dane biometryczne | |
| dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym | UWAGA! informacje dotyczące wyroków skazujących i naruszeń prawa NIE stanowią szczególnej kategorii danych, ALE przetwarzanie tych jest dopuszczalne wyłącznie pod nadzorem władz publicznych lub jeżeli prawo UE lub państwa członkowskiego przewidzi taką możliwość |
Warto zauważyć, RODO przewiduje specjalne warunki przetwarzania wyłącznie dla danych odnoszących się do “wyroków skazujących i naruszeń prawa”, co oznacza, że dane dotyczące „innych orzeczeń wydanych w postępowaniu sądowym i administracyjnym”(np. decyzji administracyjnych) nie zostały objęte, jak ma to miejsce obecnie, żadnymi specjalnymi warunkami przetwarzania.
DANE OSOBOWE PRZEDSIĘBIORCY – POWRÓT DO REGULACJI SPRZED 19 MAJA 2016 R.
W kontekście zakresu danych osobowych na gruncie RODO, należy zwrócić uwagę na jeszcze jedną bardzo istotną kwestię. Co prawda nie wynika to już z definicji danych osobowych, ale z przepisów przejściowych. Obecnie, po (kolejnych!) zmianach wprowadzonych do ustawy o swobodzie działalności gospodarczej z dniem 19 maja 2016 r., dane przedsiębiorców jawnie udostępnione w CEiDG nie podlegają ustawie o ochronie danych osobowych (art. 39b u.s.d.g.). Co istotne, dotyczy to tylko danych ujawnionych w CEiDG, ale już jakiekolwiek inne dane przedsiębiorcy, na przykład pozyskany ze strony internetowej przedsiębiorcy adres e-mail, czy jakiekolwiek inne dane kontaktowe, które nie zostały ujawnione w CEIDG, będą uznane za dane osobowe w rozumieniu u.o.d.o. Ustawodawca wprowadził więc swoisty dualizm, w oczywisty sposób kłopotliwy w zastosowaniu – w stosunku do jednych danych, dotyczących tej samej osoby fizycznej, nie stosujemy ustawy o ochronie danych osobowych, a w stosunku do innych – możemy nawet podlegać obowiązkowi rejestracji zbioru. A co na to RODO? Otóż RODO, a konkretniej – projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych, w art. 68 pkt 3, przewiduje uchylenie art. 39b u.s.d.g. Oznacza to, że dane osobowe przedsiębiorców znajdujące się w jawnej i dostępnej dla wszystkich ewidencji, tj. imię, nazwisko, NIP, adres prowadzenia działalności gospodarczej itd., będą ponownie objęte ochroną, a podmioty przetwarzające te dane będą musiały spełnić wszystkie obowiązki wynikające z tego faktu. Innymi słowy, powrócimy do sytuacji, w której dane osobowe przedsiębiorcy ponownie traktowane będą tak jak dane osobowe każdej innej osoby fizycznej. Chcąc je przetwarzać, będziemy musieli działać w oparciu o możliwą podstawę prawną przetwarzania oraz pamiętać o wywiązaniu się z innych obowiązków warunkujących legalność przetwarzania danych osobowych, przede wszystkim z obowiązków informacyjnych. Z uwagi na fakt, iż RODO w bardzo znaczący sposób rozszerza zakres obowiązków informacyjnych, zarówno nimi jak i właśnie możliwymi podstawami prawnymi przetwarzania danych, zajmiemy się już w kolejnym wpisie.
Aleksandra Otok – Zagajewska
radca prawny