B. GRZYMAŁA-ULANOWSKA: RODO – ogólne rozporządzenie o ochronie danych osobowych
W dniu 25 maja 2018 roku zaczęło obowiązywać w całej Unii Europejskiej Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane potocznie RODO. Tekst Rozporządzenia o ochronie danych osobowych został opublikowany w Dzienniku Urzędowym EU w dniu 4 maja 2016 roku. Po upływie kolejnych 20 dni Rozporządzenie weszło w życie. Niemniej unijny ustawodawca zdecydował, że stosowanie Rozporządzenia rozpocznie się dopiero z dniem 25 maja 2018 roku, dając tym samym czas na zapoznanie się z nowymi rozwiązaniami i wdrożeniem zmian. Co szczególnie ważne i istotne, rozporządzenie jako akt prawa UE, wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Mimo tak długiego vacatio legis, w naszym kraju dyskusja na ten temat rozkręciła się na dobre dopiero pod koniec 2017 roku.
Dlaczego wprowadzono RODO? Jak wskazał sam ustawodawca w Preambule do ww. Rozporządzenia, szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. W dzisiejszym, zaawansowanym technologicznie świecie, zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie – chociażby za pośrednictwem popularnych portali społecznościowych. Te dane są następnie analizowane, przetwarzane do kreowania różnego rodzaju profili, bardzo często wykorzystując nieświadomość osób najbardziej zainteresowanych. Technologia bez wątpienia zmieniła gospodarkę i życie społeczne. Zdaniem unijnego ustawodawcy, przepływ danych osobowych w Unii oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych powinien być uregulowany w taki sposób, aby zapewnić w równym stopniu swobodę i motywację do rozwoju w tym zakresie, jak również – wysoki stopień ochrony danych osobowych. W świetle tych okoliczności, wprowadzone zmiany wydają się być uzasadnione, a jednocześnie konieczne i nieco opóźnione. Dotychczasowe przepisy w zakresie ochrony danych osobowych były stanowczo przestarzałe, a ich zmiana była niejako wymuszona.
RODO – rewolucja? W Preambule do Rozporządzenia czytamy, że przemiany związane z globalizacją wymagają stabilnych, spójniejszych ram ochrony danych w Unii oraz zdecydowanego ich egzekwowania. Szczególnie ważna jest budowa zaufania, które pozwoli na rozwój gospodarki cyfrowej na rynku wewnętrznym. Osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Osoby fizyczne, podmioty gospodarcze i organy publiczne powinny zyskać większe poczucie pewności prawa i jego stosowania w praktyce. Trzeba przyznać, że prawdziwą rewolucją, jaka dokonała i nadal dokonuje się na naszych oczach jest właśnie wszechogarniający postęp techniczny. Zaproponowane zmiany prawne w zakresie ochrony danych osobowych są próbą dostosowania przestrzeni przepisów prawnych do rzeczywistości. Jednocześnie niewątpliwą cechą Rozporządzenia jest jego ogólność, co zdaniem autorów, ma być gwarancją niezmienności tych przepisów i możliwości ich dostosowywania się do zmieniających warunków świata. Zapewne w przyszłości będziemy świadkami, czy ta cecha Rozporządzenia stanie się jego zaletą, czy też podstawowym narzędziem do nadużyć w sprawach dotyczących danych osobowych. Należy jednak podkreślić, że unijny ustawodawca bardzo poważnie (i zarazem odważnie) podszedł do sprawy ochrony danych osobowych. Dotychczasowe przepisy również nakładały na przedsiębiorców określone obowiązki, ale – co ma szczególne znaczenie – pojawiał się zasadniczy problem związany z ich egzekwowaniem. Dla przykładu wystarczy podać, że na mocy art. 24 ustawy z dnia 29 sierpnia 1997 roku (w znacznej części uchylonej po dniu 25 maja 2018 roku), administrator posiadał podstawowy obowiązek informacyjny względem osób, których dane osobowe przetwarzał, tj. winien był podać swoje dane umożliwiające kontakt, cel i podstawę prawną ich przetwarzania, a także poinformować o podstawowych prawach osoby, której dane przetwarza. W rzeczywistości jednak ww. obowiązki nie były konsekwentnie egzekwowane, a kary za naruszenia przepisów o ochronie danych osobowych bynajmniej nie odstraszały. To doprowadziło do pewnej zwyczajowo zaaprobowanej ignorancji społecznej w zakresie danych osobowych. Tymczasem wraz z Rozporządzeniem pojawiła się instytucja sankcji za naruszenia przepisów o ochronie danych osobowych, które z całą stanowczością można uznać za dotkliwe. Owe sankcje spowodowały burzliwą dyskusję o danych osobowych i ich ochronie. Z pewnością jest to rewolucja w podejściu do problematyki ochrony danych osobowych. Jest to również odzwierciedlenie powagi, jaką danym osobowym nadało Rozporządzenie, a której brakowało w dotychczasowych przepisach.
Środki ochrony prawnej dla osób, których dane osobowe dotyczą Warto zwrócić uwagę, że Rozporządzenie wprowadziło dla osób fizycznych konkretne narzędzia mające na celu egzekwowanie zgodnego z prawem przetwarzania danych osobowych, tj.:
1. Skarga do organu nadzorczego Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza Rozporządzenie. W naszym kraju organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych, którego siedziba mieści się w Warszawie przy ul. Stawki 2.
2. Skarga do sądu administracyjnego na decyzję (lub brak decyzji) organu nadzorczego Każda osoba fizyczna lub prawna ma prawo wnieść skargę do sądu administracyjnego, jeżeli organ nadzorczy, do którego wystąpiła ze skargą, nie rozpatrzył skargi lub nie poinformował tej osoby w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi. Postępowanie przeciwko organowi nadzorczemu zostaje wszczęte przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.
3. Pozew do sądu powszechnego o nakazanie lub zakazanie Każda osoba, której dane dotyczą, jeżeli uzna ona, że prawa przysługujące jej na mocy Rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem Rozporządzenia, ma prawo wnieść pozew do sądu powszechnego o nakazanie lub zakazanie bezpośrednio przeciwko administratorowi danych osobowych lub przeciwko podmiotowi przetwarzającemu. Postępowanie ma zmierzać do zobowiązania podmiotu naruszającego prawo do zaniechania działań sprzecznych z prawem lub do podjęcia działań zgodnych z prawem. Postępowanie wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.
4. Pozew do sądu powszechnego o odszkodowanie Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia Rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.
Sankcje administracyjne Oprócz ww. środków ochrony prawnej udostępnionych bezpośrednio osobom, których dane osobowe dotyczą, Rozporządzenie wprowadziło ponadto sankcje administracyjne za naruszenia przepisów. Organ nadzorczy może nałożyć na administratora lub podmiot przetwarzający kary pieniężne w przypadku stwierdzenia naruszeń. Rozporządzenie przewiduje administracyjne kary pieniężne w następujących przedziałach:
- do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa
- do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Wyższa kara grozi za naruszenia:
- podstawowych zasad przetwarzania, w tym warunków zgody,
- praw osób, których dane dotyczą,
- przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej,
- wszelkich obowiązków wynikających z prawa państwa członkowskiego,
- nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy. Warto podkreślić, że niemal wszystkie narzędzia wymierzone przeciwko administratorom i podmiotom przetwarzającym mogą być stosowane niezależnie od siebie. Wobec tego, tym bardziej zalecany jest rozwój świadomości w zakresie ochrony danych osobowych.
data dodania: 28 marca 2019 r.