Ochrona danych administracji

Przetwarzanie danych osobowych w kontekście nowych przepisów

Warto pochylić się nad tym, jakie zmiany proponuje Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych i jaki wpływ będzie ono miało zwłaszcza w administracji publicznej. Omówmy pokrótce wybrane zapisy, zwłaszcza pod kątem sektora publicznego.

Do tej pory każde państwo Unii Europejskiej samodzielnie regulowało kwestie ochrony danych osobowych, więc rolą rozporządzenia jest przede wszystkim ujednolicenie przepisów w całej wspólnocie. Kwestia unifikacji prawa dotyczyć będzie również w możliwie jednakowym zakresie tak sektora prywatnego, jak i publicznego.
Rozpocznijmy od kwestii najczęściej dyskutowanych. Rozporządzenie wprowadza nowe sankcje. Dzisiejsze kary nieprzestrzeganie prawa pod kątem przetwarzania danych osobowych są względnie niskie – aby doszło do nałożenia grzywny, trzeba by ewidentnie nie chcieć „przywracać stanu zgodnego z prawem”. Administracyjne kary finansowe dla sektora publicznego zaproponowano w wysokości 100 tys., jednak ze względu na źródło pochodzenia finansów publicznych (obywatele) pojawiają się różne głosy – jedni uważają, że kara jest za mało dyscyplinująca, a inni sugerują, że i tak obciążenia w końcu trafią do kieszeni obywatela, który w ten sposób ukarany zostanie dwa razy.
Innym zapisem wartym uwagi jest uznanie, że certyfikacja nie będzie dotyczyła administracji publicznej, która co do zasady powinna działać zgodnie z literą prawa. Certyfikacja dotyczyć będzie tylko podmiotów prywatnych.
Nowością jest obowiązek powołania inspektora ochrony danych (IOD), w tym także przez procesora („podmiot przetwarzający”). Rozporządzenie zastępuje w ten sposób administratora bezpieczeństwa informacji (ABI). Administrator lub podmiot przetwarzający powinni opublikować dane kontaktowe inspektora ochrony danych i zawiadomić o nich organ nadzorczy. Dane kontaktowe IOD powinno się podać podczas zbierania danych osobowych.
Art. 35 ust. 1 rozporządzenia określa, że jeżeli dany rodzaj przetwarzania – zwłaszcza z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania powinien dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

W rozporządzeniu pojawiają się nowe definicje współadministratorów oraz grup przedsiębiorstw („przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane”). Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych, są oni współadministratorami. W drodze wspólnych uzgodnień w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia.
Rozszerzony został katalog danych wrażliwych, które zostały w rozporządzeniu zdefiniowane jako „dane szczególnych kategorii”. Katalog danych tzw. wrażliwych poszerza się o dane biometryczne oraz dane genetyczne.
Ustawodawca unijny dopuszcza też wyłączenie lub ograniczenie stosowania przepisów RODO w zakresie bezpieczeństwa narodowego i obronności będących w kompetencjach administracji publicznej.