Dołącz do czytelników
Brak wyników

Istotne zmiany w ochronie danych osobowych ważne dla placówek niepublicznych

Artykuły z czasopisma | 26 lutego 2018 | NR 77
184

W kwietniu 2016 r. Rada Unii Europejskiej przyjęła rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ze swobodnym przepływem takich danych oraz dyrektywę w sprawie ochrony danych osobowych przetwarzanych na potrzeby ścigania przestępstw. Nowe przepisy zaczną obowiązywać za niespełna dwa lata, konkretnie od 25 maja 2018 r. (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Ważną część rozporządzenia stanowią zasady i prawa chroniące dane osobowe osób fizycznych oraz nowe obowiązki administratorów danych osobowych.

 

Istota zmiany jest widoczna w samej definicji „danych osobowych”. Porównując definicję danych osobowych zawartą w polskiej ustawie, można stwierdzić, że „rozporządzenie europejskie” wprowadza znaczne jej rozbudowanie. Wymienia się w jego treści wprost, np. identyfikatory online rozumiane jako: adresy internetowe protokołów, identyfikatory plików cookie, a nawet znaczniki identyfikacji radiowej RFID. Zdobycze techniki oraz znaczny rozwój informatyki spowodowały, że identyfikatory te w powiązaniu z innymi informacjami uzyskanymi przez serwery zlokalizowane w sieciach teleinformatycznych mogą być wykorzystywane do tworzenia profili osób fizycznych oraz identyfikacji tych osób.

Rozporządzenie Parlamentu Europejskiego i Rady definiuje dane osobowe w następujący sposób:

„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, 
fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Rozumienie definicji w obecnie obowiązującej ustawie o ochronie danych osobowych 

Art. 6.1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy 
fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

"Dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”)

Porównując zakres definicji danych osobowych w obu regulacjach, stwierdzamy, że znacznie się on poszerzył. Powszechnie wiadomo, iż dane osobowe to imię, nazwisko i ewentualnie czyjś adres, a na pozostałych danych, takich jak e-mail czy adres IP, możemy działać bez ograniczeń. Nic bardziej mylnego. W dobie cyfryzacji wszystkie dostępne o człowieku informacje można – w zależności od środków, które mamy do wykorzystania – połączyć ze sobą w parę minut, tworząc niepokojąco kompletny obraz człowieka. GIODO wypowiedział się w tej kwestii następująco: „IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę”, zaś „dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników Internetu, którym przypisali adresy IP”. Informacje o wykształceniu, znajomości języków, przekonaniach, sposobie spędzania wolnego czasu czy charakterze pisma danej osoby są to tzw. dane osobowe pośrednie, ale nie zmienia to faktu, iż podlegają one ochronie i nakładają na administratorów danych szereg obowiązków.

Jak widać, definicja danych osobowych rozumiana jest coraz szerzej. Ogrom wiadomości, które przetwarzamy każdego dnia, a także ich cena w świetle nowoczesnego marketingu, zmusza prawo do udzielania ochrony coraz większej liczby informacji. Nowe unijne prawo ma tę ochronę zagwarantować.

Kolejną istotną zmianą jest przyjęcie zasady, że nowe przepisy będą jednolite dla wszystkich podmiotów w Unii Europejskiej według zasady przejrzystości. Efektem tego ma być ujednolicenie procedur ochrony danych osobowych w całej Unii. Przedsiębiorcy w każdym państwie będą stosować się do tych samych zasad. W preambule rozporządzenia unijnego wskazano, że „aby zapewnić wysoki i spójny poziom ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych”.

Administrator lub podmiot przetwarzający będą mieli obowiązek publikowania danych kontaktowych Inspektora Ochrony Danych i zawiadomienia o nich organu nadzorczego.

Obecne uregulowania dotyczą przede wszystkim sektora publicznego, w efekcie większość małych podmiotów nie przestrzega przepisów z zakresu ochrony danych osobowych. Rozporządzenie ma przede wszystkim zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, a także zagwarantować podmiotom gospodarczym przejrzystość. Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw rozporządzenie unijne przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Natomiast mocne podkreślenie zasady przejrzystości przysporzy administratorom dużo więcej obowiązków. Z zasadą przejrzystości wiąże się również obowiązek łatwiejszego dostępu osób fizycznych do własnych danych osobowych celem ich weryfikacji. Chodzi o to, że każdy będzie mógł łatwiej niż dotąd sprawdzić, czy jego dane są przetwarzane w sposób zgodny z prawem. Administrator danych będzie musiał stosować zasadę informowania o przetwarzaniu danych osobowych, w szczególności:

  • w odniesieniu do celów, dla których są one przetwarzane,
  • okresie, w którym dane osobowe są przetwarzane,
  • odbiorcach danych osobowych,
  • kategoriach danych,
  • prawach podmiotu danych,
  • zasadach stosowanych w automatycznym przetwarzaniu danych,
  • źródle pochodzenia danych, a w przypadku profilowania, również o jego konsekwencjach.

Nowością jest zapis, że administrator, o ile to możliwe w danej sytuacji, powinien nawet zapewnić podmiotowi danych zdalny dostęp do bezpiecznego systemu, w którym są one przetwarzane.

Zgodnie z obecnie obowiązującym prawem każdy podmiot, przetwarzający dane osobowe, zobowiązany jest nadzorować ich bezpieczeństwo. Nadzór ten pełni administrator danych osobowych, „właściciel” zebranych danych, w przedszkolach zazwyczaj jest to dyrektor, zwany w skrócie ADO. ADO może powołać osobę, która pełni ten nadzór w jego imieniu (art. 36a ustawy) – administratora bezpieczeństwa informacji, w skrócie ABI – należy wówczas pamiętać o zgłoszeniu takiej osoby GIODO do rejestracji (art. 46b ustawy), gdyż GIODO prowadzi jawny rejestr zgłoszonych administratorów bezpieczeństwa informacji, co oznacza, że takie dane jak imię, nazwisko, dane organizacji, w której ABI wykonuje zadania, będą dla wszystkich powszechnie dostępne. Te zmiany obowiązują już od 1 stycznia 2015 r. Przedszkole, które powołało i zgłosiło do rejestracji ABI, jest zwolnione z obowiązku rejestracji zbiorów danych osobowych. Zwolnienie nie dotyczy jednak tych zbiorów, w których przetwarza się dane wrażliwe, jak np. stwierdzona niepełnosprawność czy choroba.

W rozporządzeniu zastępuje się administratora bezpieczeństwa informacji określeniem inspektora ochrony danych. Inspektora danych należy wyznaczyć w przypadku gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości,
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systema...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Przedszkola"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy