Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), Polska i europejska reforma ochrony danych osobowych

Monografia Polska i europejska reforma ochrony danych osobowych porusza niezwykle istotne zagadnienia dotyczące ram prawnych działania każdego administratora danych, zarówno obecnych, jak i przyszłych. Dotyka bowiem z jednej strony problematyki związanej z polską reformą ochrony danych osobowych przeprowadzoną w latach 2014–2015, a z drugiej tematykę europejskiej reformy ochrony danych osobowych, której zwieńczeniem było przyjęcie tzw. pakietu ochrony danych, obejmującego rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) oraz dyrektywę w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych .

Z perspektywy organu nadzorczego dla administratorów danych wyzwaniem było już samo dostosowanie się do wymogów znowelizowanej ustawy o ochronie danych osobowych. Jeszcze trudniejszym zadaniem będzie, jak się wydaje, prawidłowe wdrożenie systemów ochrony danych osobowych zgodnie z unijnym ogólnym rozporządzeniem. Niniejsza publikacja może ułatwić zarówno weryfikację poprawności zastosowania już obowiązujących przepisów o ochronie danych, jak i pomóc w przygotowaniu na czekające w roku 2018 zmiany.

Nie ulega wątpliwości, że bez prawidłowego odczytania i zrozumienia już obowiązujących przepisów podnoszenie standardów ochrony nie jest możliwe. Polski ustawodawca, nowelizując ustawę o ochronie danych osobowych, starał się dostosować ją do kierunku zmian wyznaczonego w styczniu 2012 roku przez projekt ogólnego rozporządzenia, zaproponowany przez Komisję Europejską. Jest to jeden z podstawowych argumentów świadczących o wadze polskiej regulacji oraz wskazujący, jak ważna jest prawidłowa interpretacja wprowadzonych zmian również pod kątem zrozumienia nadchodzących zmian.

W publikacji poruszono zarówno problematykę stosowania nowych przepisów z perspektywy administratora danych, jak i administratora bezpieczeństwa informacji. Omówione zostały problemy związane z wykonywaniem zadań przez ABI, koniecznością zagwarantowania mu odpowiedniej pozycji w strukturze administratora danych, konfliktem między niezależnością ABI a podległością pracowniczą. Odniesiono się także do bardzo istotnego zagadnienia transferu danych do państw trzecich, przeprowadzając analizę obowiązujących przepisów, nadchodzących zmian i bardzo ważnych orzeczeń Trybunału Sprawiedliwości Unii Europejskiej w sprawach C-230/14, Weltimmo i C-362/14, Schrems , poddano również analizie najważniejsze elementy europejskiej reformy ochrony danych z uwzględnieniem najnowszego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej oraz programu „Tarcza Prywatności UE–USA” (EU–U.S. Privacy Shield) .

Perspektywa ogólnego rozporządzenia, które będzie stosowane od 25 maja 2018 roku, a także optyka i ratio legis polskiej nowelizacji, nie pozwalają jednak patrzeć na ochronę danych wyłącznie przez pryzmat prawa krajowego. Skala nadchodzących zmian jest na tyle rozległa, że zarówno ustawodawca krajowy, jak i administratorzy danych powinni już teraz przeanalizować nowe mechanizmy ochrony danych. Dla ustawodawcy nadchodzące zmiany będą również bez wątpienia wyzwaniem, jako że związane są one z koniecznością dokonania kompleksowej rewizji aktów prawnych, tak by w okresie przejściowym dostosować obowiązujące przepisy prawa krajowego do nowych ram ochrony danych bezpośrednio obowiązującego rozporządzenia unijnego i zapewnić tym samym warunki do pełnego stosowania tego aktu prawnego. Według szacunkowych danych Rządowego Centrum Legislacji analizy będzie wymagać około 800 aktów prawnych, dwuletni okres vacatio legis od publikacji ogólnego rozporządzenia w Dzienniku Urzędowym Unii Europejskiej do jego wejścia w życie wymusi więc potrzebę podjęcia intensywnych prac w tym zakresie.

Dla administratorów danych rozpoczyna się z kolei czas na przegląd stosowanych procedur i wdrożonych rozwiązań oraz rozważenie, w jaki sposób i z wykorzystaniem jakich środków rozpoczną stosowanie nowych przepisów w swojej praktyce. Rozporządzenie jest konsekwentnie technologicznie neutralne, jednakże zmienia optykę dotychczasowych przepisów i poprzez takie nowe instytucje, jak privacy by design, privacy by default czy też privacy risk assessment, a także privacy impact assessment, daje administratorom danych swobodę wyboru środków zabezpieczających przetwarzanie danych. Celem tej swobody jest jednak podwyższenie standardów ochrony, a także odwrócenie jej ciężaru i uczynienie z niej ochrony aktywnej, w miejsce reaktywnej.

Podkreślić należy, że ratio legis nowych ram prawnych ochrony danych, zwłaszcza ogólnego rozporządzenia, miało być uwspółcześnienie ochrony danych osobowych, podniesienie poziomu ochronnego, a także przyznanie większej kontroli osobom, których dane dotyczą, nad całością procesów przetwarzania danych. Podnoszenie standardów ochrony danych przez administratorów w naturalny sposób skorelowane jest ze zwiększaniem uprawnień podmiotów danych. Obserwujemy wyraźną tendencję do rozbudowywania obowiązków informacyjnych, nacisk na tworzenie jasnych i przejrzystych komunikatów kierowanych do osób, których dane dotyczą, a to prowadzi do zwiększania świadomości nie tylko istnienia, ale i potrzeby egzekwowania przepisów.

Wyznaczanie granic prywatności, zwłaszcza w czasie globalizacji informacji, jest zabiegiem wzbudzającym kontrowersję. Należy jednak pamiętać, że większa świadomość podmiotów danych oznacza też większe oczekiwania i wymagania co do ochrony danych i bardziej stanowczą potrzebę egzekwowania respektowania tych granic. Stosowanie przepisów, zwłaszcza wobec wprowadzonych do ogólnego rozporządzenia sankcji za ich naruszenie, z pewnością przyczyni się do wzmocnienia ochrony danych osobowych obywateli. Warto więc już teraz rozpocząć przygotowania do wdrażania nowych rozwiązań, w czym z pewnością pomoże Państwu nasza publikacja.

Edyta Bielak-Jomaa

Prezentowane opracowanie poświęcone jest zmianom w przepisach o ochronie danych osobowych w prawie unijnym, wprowadzonym do polskiego porządku prawnego z dniem 1 stycznia 2015 r. na mocy ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej . Zmiany w prawie polskim – podyktowane, jak wynika z tytułu ustawy nowelizującej, potrzebą uproszczenia procedur obciążających przedsiębiorców, co może dotyczyć m.in. gromadzenia i przetwarzania informacji – zostały dokonane w momencie szeroko zakrojonych prac legislacyjnych na poziomie unijnym związanych z ogólnym rozporządzeniem o ochronie danych osobowych, ostatecznie zakończonych jego przyjęciem 14 kwietnia 2016 r. przez Parlament Europejski. Zrodziła się więc potrzeba skonfrontowania nowych uregulowań polskich z projektowanymi regulacjami w UE w przedmiotowym obszarze. Taki też cel przyświecał autorom niniejszej publikacji, aby dokonać oceny nowych regulacji wprowadzonych do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z perspektywy ogólnego rozporządzenia o ochronie danych osobowych i ustalić, w jakim stopniu ustawodawstwo polskie jest przygotowane do stosowania rozporządzenia.

Publikacja składa się z trzech części. Wspólnym przesłaniem są zmiany w przepisach o ochronie danych osobowych. Chodzi zarówno o zmiany w uregulowaniach unijnych, jak i polskich. W różnym jednak stopniu obszary tych zmian zostały poddane analizie w poszczególnych częściach książki.

Część I zawiera prezentację wybranych, ogólnych zagadnień wyłaniających się głównie na tle unijnej reformy ochrony danych osobowych. Reforma ta jest zasadniczo przedstawiona z punktu widzenia administratora danych osobowych.

W świetle wskazanych wyżej regulacji prawnych został on postawiony przed problemem dokonania ewentualnego (bo nieobowiązkowego) powołania administratora bezpieczeństwa informacji, co jest oceniane jako ułatwienie w wykonywaniu działalności gospodarczej, szczególnie jednak w kontekście unormowań unijnych, a nie polskich (część I, rozdział 1, "Deregulacyjna” nowelizacja i unijna reforma zasad ochrony danych osobowych z perspektywy administratora danych osobowych – M. Piech). Wśród administratorów danych osobowych występuje specyficzna grupa, jakimi są podmioty publiczne. Stoją one przed trudnym dylematem pozostania w zgodzie z licznymi ograniczeniami wynikającymi z przepisów o finansach publicznych i zamówieniach publicznych z potrzebą wyłonienia jak najlepszego kandydata na administratora bezpieczeństwa informacji (część I, rozdział 2, Wdrażanie nowych elementów systemu ochrony danych osobowych przez podmioty publiczne – T.A.J. Banyś). Analiza motywów i treści ogólnego rozporządzenia o ochronie danych osobowych prowadzi m.in. do wniosku, że stworzy ono szansę dla różnicowania obowiązków administratorów danych ze względu na wielkość podmiotu i znaczenie przetwarzania danych w jego działalności, z zachowaniem zasady swobody wyboru środków realizacji tych obowiązków (część I, rozdział 3, Europejska reforma ochrony danych osobowych – nowe obowiązki administratorów w ogólnym rozporządzeniu o ochronie danych – D. Lubasz). Nie ulega wątpliwości, że unijne rozporządzenie wpłynie na globalny system ochrony danych osobowych. W dobie internetu i społeczeństwa informacyjnego zachodzi jednak potrzeba zweryfikowania zasady właściwości miejscowej dla rozstrzygania spraw dotyczących ochrony danych osobowych (część I, rozdział 4, Zakres terytorialny stosowania polskich i unijnych przepisów o ochronie danych osobowych w kontekście najnowszego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej – M. Czerniawski). Jak wynika z ogólnego rozporządzenia, zasadnicze znaczenie dla zapewnienia właściwej ochrony prywatności i autonomii informacyjnej osoby ma przestrzeganie zasad legalności przetwarzania danych osobowych. Wśród nich na szczególną uwagę zasługuje przesłanka zgody podmiotu danych, której procedura uzyskiwania jest wyjątkowo skomplikowana w przypadku osób małoletnich (część I, rozdział 5, Podstawy legalizacyjne przetwarzania danych osobowych w ogólnym rozporządzeniu o ochronie danych – wybrane zagadnienia – B. Kaczmarek-Templin). Wśród nowych uregulowań zawartych w rozporządzeniu unijnym nie sposób pominąć instytucji profilowania, polegającego na ustalaniu profilu osób w oparciu o dane statystyczne w celu określenia przewidywanych zachowań. Zjawisko to, coraz szerzej występujące, może rodzić szereg niebezpieczeństw, w tym naruszenie prywatności, a nawet może prowadzić do dyskryminacji. Ochronie przed nadużywaniem profilowania służą przepisy rozporządzenia określające nie tylko przesłanki legalnego profilowania, ale także prawo do sprzeciwu wobec takich praktyk (część I, rozdział 6, Profilowanie w ogólnym rozporządzeniu o ochronie danych – W. Chomiczewski).

Część II publikacji zawiera opracowania oceniające zmiany w przepisach o ochronie danych osobowych z perspektywy administratora bezpieczeństwa informacji, a zatem osoby, która ma, co do zasady, wspomagać, lecz nie zastępować administratora danych osobowych. W tej części książki uwaga Autorów skupia się w większym stopniu, niż w części I, na uregulowaniach polskich, które są jednak badane w kontekście prawa unijnego.

Instytucja administratora bezpieczeństwa informacji znalazła swoje umocowanie w dyrektywie 95/46/WE w sprawie ochrony danych osobowych i swobodnego przepływu tych danych , będącej podstawą dla ukształtowania jego pozycji w wielu porządkach prawnych państw należących do Unii, m.in. w Niemczech, Austrii, Danii, Finlandii, Holandii i Francji. Polska dokonała implementacji dyrektywy w tym zakresie w zasadzie dopiero na mocy przepisów obowiązujących od 1 stycznia 2015 r. Oczekiwane wejście w życie ogólnego rozporządzenia w sprawie ochrony danych osobowych stawia przed administratorem bezpieczeństwa informacji szczególne wymagania w zakresie jego profesjonalizmu (część II, rozdział 1, Administrator bezpieczeństwa informacji – zagadnienia konstrukcyjne – A. Lewiński). Na gruncie prawa polskiego ów profesjonalizm okaże się niezbędny w związku z nowymi zadaniami, jakie przypisywane są administratorowi bezpieczeństwa informacji. W szczególności chodzi o poszerzenie przedmiotu jego aktywności na wszystkie przepisy o ochronie danych osobowych, jak również o obowiązek prowadzenia wewnętrznych rejestrów zbiorów danych oraz działania nie tylko z punktu widzenia potrzeb administratora danych, ale także Generalnego Inspektora Danych Osobowych (część II, rozdział 2, Zadania administratora informacji – wybrane zagadnienia – G. Sibiga). Mając na uwadze nowe, a nawet określane mianem nowatorskich, zadania administratora bezpieczeństwa informacji, konieczna staje się ocena procedur mocujących go do tych zadań. Należy do nich niewątpliwie procedura rejestracji, a także wykreślenia z rejestru administratora bezpieczeństwa informacji, o której stanowią przepisy ustawy o ochronie danych osobowych i przepisy wykonawcze wydane na jej podstawie (część II, rozdział 3, Procedura rejestracji administratorów bezpieczeństwa informacji – J. Łuczak). Ustalenie zarówno w regulacjach unijnych, jak i w prawie polskim zasady fakultatywności powoływania administratora bezpieczeństwa informacji rodzi zasadnicze pytanie o konsekwencje odpowiednich decyzji w tym przedmiocie. Pozostawienie tej decyzji administratorowi danych osobowych jest najczęściej oceniane pozytywnie, świadczy o uznaniu swobody w wyborze sposobów ochrony danych osobowych i nie może być traktowane jako osłabienie tej ochrony. Nie bez znaczenia dla podejmowanych decyzji powinien być fakt, że ustawodawca polski wśród różnych zawodów występujących na rynku pracy wskazuje administratora bezpieczeństwa informacji w grupie specjalistów ds. rozwoju zarzadzania i organizacji . Świadczy to o dostrzeganej specyfice i randze tego nowego zawodu (część II, rozdział 4, Mieć czy nie mieć ABI? Korzyści i obawy związane z powołaniem administratora bezpieczeństwa informacji – M. Byczkowski). Zawód ten wymaga wykonywania określonych zadań, także na wezwanie Generalnego Inspektora Danych Osobowych. Chodzi w szczególności o przygotowywanie sprawdzenia i sprawozdania zgodnie z rozbudowanymi procedurami wynikającymi z ustawy i aktów doń wykonawczych (część II, rozdział 5, Sprawdzenie i sprawozdanie przygotowywane przez administratora bezpieczeństwa informacji na wezwanie Generalnego Inspektora Ochrony Danych Osobowych – P. Kawczyński). Niezwykle istotne z punktu widzenia efektywności działania administratora bezpieczeństwa informacji zarówno w jego relacjach z administratorem danych osobowych, jak i organami nadzoru ma określenie podstaw świadczenia przez niego pracy. Ustawodawca tego nie przesądza. Może to więc być także forma zatrudnienia pracowniczego. Rodzi to jednak zasadnicze pytanie o granice jego podporządkowania pracodawcy – administratora danych osobowych, tak aby nie ograniczał go w wykonywaniu jego zadań również wobec organów nadzoru. Założona zasada niezależności administratora bezpieczeństwa informacji może być w takim wypadku zagrożona (część II, rozdział 6, Pozycja administratora bezpieczeństwa informacji na gruncie ustawy o ochronie danych osobowych a jego podporządkowanie w ramach stosunku pracy – M. Kuba). Wybór podstawy świadczenia pracy przez administratora bezpieczeństwa informacji nie pozostaje bez wpływu na ewentualne łączenie przez niego wykonywania innych zawodów, w szczególności prawniczych. Powstaje jednak wówczas istotny problem pogodzenia reguły wynikającej z ustawy o bezpośredniej podległości kierownikowi jednostki organizacyjnej – administratorowi danych osobowych z zasadą swobody prowadzenia działalności gospodarczej. Istota tego problemu ujawnia się szczególnie wówczas, gdy administratorem bezpieczeństwa informacji chciałby być radca lub adwokat. Wprawdzie ustawa o ochronie danych osobowych nie przewiduje wyraźnie w tym zakresie żadnych ograniczeń, jednak uważa się, że z uwagi na pewne ograniczenia wynikające z regulacji sektorowych byłoby to możliwe w stosunku do radcy prawnego w sytuacji zapewnienia mu z jednej strony niezależności wewnętrznej i zewnętrznej, z drugiej zaś konieczne byłoby stworzenie podległości administratorowi danych (część II, rozdział 7, Nowe wymogi związane z pełnieniem funkcji ABI a pozycja prawna kancelarii prawnych i zasady wykonywania zawodu radcy prawnego i adwokata – czy można łączyć te role? – M. Kawecki). Szczegółowe problemy związane z pozycją administratora bezpieczeństwa informacji, głównie na gruncie polskiego porządku prawnego, wymagają oceny także z perspektywy unijnego ogólnego rozporządzenia w sprawie ochrony danych osobowych. Akt ten poświęca bardzo dużo miejsca inspektorowi danych osobowych, wyraźnie eksponując w szczególności regułę fakultatywności jego powoływania, regułę profesjonalizmu i niezależności, co w dużym stopniu przewidują już polskie przepisy o ochronie danych osobowych (część II, rozdział 8, Data protection officer, czyli inspektor ochrony danych w ogólnym rozporządzeniu o ochronie danych – K. Witkowska).

Zmiany w prawie unijnym i polskim w przedmiocie ochrony danych osobowych postawiły na nowo problem transgranicznego przepływu tych danych. Te właśnie zagadnienia zostały przedstawione w części III publikacji, w której Autorzy poddają często krytycznej ocenie obowiązujące i przyjęte na poziomie unijnym rozwiązania prawne z perspektywy różnych podmiotów uczestniczących w transferze.

Kwestią wymagającą wyjaśnienia w pierwszej kolejności jest pojęcie transferu danych, które jak dotąd nie doczekało się definicji legalnej. Najczęściej pod tym pojęciem rozumie się różne działania administratora danych skutkujące przekazywaniem danych osobie trzeciej, zlokalizowanej w państwie trzecim. Zarówno regulacje unijne – te obowiązujące i te projektowane – jak i polska ustawa zawierają stosowne regulacje w tym przedmiocie, wskazując na określone procedury w zależności od m.in. tego, czy państwo trzecie zapewnia adekwatny poziom ochrony. Możliwe są także inne procedury, np. w postaci standardowych klauzul umownych czy wiążących reguł korporacyjnych. Do administratorów danych należy wybór określonego instrumentu (część III, rozdział 1, Transfer danych osobowych do państw trzecich – perspektywa administratora danych – M. Kaczorowski). Jest sprawą oczywistą, że kluczowe znaczenie dla transgranicznego przepływu danych będzie miało rozporządzenie unijne, które zawiera szczegółowe unormowania w tym przedmiocie, określając nie tylko różne podstawy transferu, w tym orzeczenia sądów lub decyzje organów państw trzecich, lecz także ustalając sankcje w razie naruszenia określonych procedur. Regulacje te spotykają się jednak z różną, często krytyczną oceną (część III, rozdział 2, Transfer danych osobowych na podstawie ogólnego rozporządzenia o ochronie danych a dotychczasowy stan prawny w UE i w Polsce – X. Konarski). Trzeba jednak mieć na uwadze, że krytyczne oceny nie odnoszą się do obowiązujących regulacji, ale są oparte na kilku wersjach projektu rozporządzenia. Z chwilą wejścia w życie rozporządzenia nastąpi m.in. rozszerzenie prawnej skuteczności wiążących reguł korporacyjnych na reguły zatwierdzane przez inny organ niż GIODO. Uważa się jednak, że w ogólnym rozporządzeniu nie wykorzystano szansy kompleksowego unormowania transgranicznego przepływu danych do państwa nienależącego do Europejskiego Obszaru Gospodarczego (część III, rozdział 3, Transfer danych osobowych do państw trzecich w pracach nad ogólnym rozporządzeniem o ochronie danych – stracona szansa – P. Litwiński). Ustalanie reguł transgranicznego przepływu danych jest ciągle bardzo dynamiczne. Świadczy o tym nowy program – "Tarcza prywatności UE–USA”, przyjęty w lutym 2016 r. Organizacje przystępujące do tego programu będą zobowiązane do respektowania określonych w nim zasad oraz mechanizmów kontroli. Ostatecznie podejście do transgranicznych transferów danych osobowych może mieć charakter formalistyczny, oparty na analizie jurydycznej, bez uwzględniania różnych skutków, lub pragmatyczny – uwzględniający kontekst globalny, w tym kulturowy i prawny (część III, rozdział 4, "Tarcza Prywatności”, czyli program Bezpiecznej Przystani w nowej odsłonie – uwagi wokół projektu decyzji Komisji Europejskiej w sprawie adekwatności "Tarczy Prywatności UE–USA” – D. Karwala).

Prezentowana publikacja została przygotowana przez przedstawicieli środowiska akademickiego, a także przez praktyków zajmujących się od wielu lat zagadnieniami ochrony danych osobowych w Polsce i na świecie. Zapewnia to wszechstronne spojrzenie na skomplikowane konstrukcje prawne służące ostatecznie ochronie prywatności coraz bardziej zagrożonej w dobie globalizacji i społeczeństwa informacyjnego. W książce tej postawiono wiele pytań, poddano analizie różne możliwości interpretacyjne w przedmiotowej dziedzinie, sformułowano także szereg wniosków de lege ferenda. Żywimy nadzieję, że publikacja ta pobudzi dyskusję na temat pożądanego modelu ochrony danych osobowych z perspektywy różnych podmiotów.

Teresa Wyka