Konieczność wprowadzenia zmian wynikających z rozwoju technologii i cyfryzacji stanowiła podstawę do uchwalenia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) (zwanego dalej „Rozporządzeniem”). Zawarte w nim nowe zasady przewidują wprowadzenie istotnych zmian w zakresie ochrony danych osobowych. Przepisy Rozporządzenia mające wejść w życie 25 maja 2018 r. zmierzają do ujednolicenia polityki przechowywania i przetwarzania danych osobowych na terytorium Unii Europejskiej a także zwiększenie jej skuteczności.
Rozporządzenie zobligowało polskiego ustawodawcę do wprowadzenia zmian w obecnie obowiązującym prawie Rzeczypospolitej Polskiej. Ostateczny efekt zmian legislacyjnych jest do tej pory jednak nieznany. Aktualnie podstawowym statusem określającym zasady ochrony danych w Polsce jest Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., Poz. 922, z późn. Zm.) (Dalej: "Ustawa"), która przewiduje istnienie specjalnego organu właściwego ds. ochrony danych osobowych – tj. Generalnego Inspektora Ochrony Danych Osobowych, który jest odpowiedzialny za nadzór nad zgodnością przetwarzania danych z przepisami o ochronie danych osobowych, wydaje decyzje administracyjne dotyczące danych osobowych, inicjuje wykonywanie zadań w zakresie właściwej ochrony danych osobowych itp. Niezwykle istotnym zadaniem Generalnego Inspektora jest prowadzenie rejestru zbiorów danych osobowych przetwarzanych przez różne podmioty, na których ciąży obowiązek poinformowania o tym fakcie Generalnego Inspektora. Tylko nieliczne podmioty zwolnione są z obowiązków rejestracyjnych, np. kancelarie prawne. Zgłoszenie zbioru danych do rejestracji musi zawierać – między innymi – opis kategorii osób, których dane dotyczą i zakres przetwarzanych danych, sposób gromadzenia i ujawniania danych, informacje o odbiorcach, którym dane mogą być ujawniane, cel przetwarzania danych, informacje o ewentualnym przekazaniu danych do państwa trzeciego itd.
Na skutek wprowadzania nowych zasad wynikających z Rozporządzenia, Generalny Inspektor Ochrony Danych Osobowych zostanie prawdopodobnie zastąpiony przez Prezesa Urzędu Ochrony Danych Osobowych – sama zmiana nazwy organu nie będzie jednak jedyną zmianą w tym zakresie. Aktualnie obowiązująca Ustawa ma zostać uchylona, z kolei nowy projekt Rozporządzenia nie przewiduje obowiązku prowadzenia publicznych rejestrów zbiorów danych osobowych. Mimo że ustawa nadal obowiązuje, Generalny Inspektor Ochrony Danych Osobowych oficjalnie poinformował, że rejestracje w jego biurze możliwe są jedynie do 25 maja 2018 r. Mając na uwadze fakt, że Rozporządzenie nakłada obowiązek prowadzenia wewnętrznych rejestrów czynności przetwarzania zarówno na administratorów (podmioty określające cele i sposoby przetwarzania danych osobowych), jak i podmioty przetwarzające dane (podmioty przetwarzające dane osobowe w imieniu administratora), publiczna rejestracja nie będzie już stosowana. Każdy administrator oraz – w przypadkach, w których znajduje to zastosowanie – jego przedstawiciel, prowadzi rejestr czynności przetwarzania danych osobowych na własną odpowiedzialność, zawierający między innymi wskazanie celów przetwarzania, nazwisko administratora danych, opis kategorii osób, których dane dotyczą, jak również kategorii danych osobowych, informacje o ewentualnym przekazaniu do państwa trzeciego, przewidywane ograniczenia czasowe dotyczące usunięcia różnych kategorii danych (jeśli jest to możliwe). Z drugiej strony, każdy podmiot przetwarzając oraz – w przypadkach, w którym znajduje to zastosowanie – jego przedstawiciel, prowadzi rejestr wszystkich kategorii czynności przetwarzania przeprowadzanych w imieniu administratora, zawierający imię, nazwisko/nazwę przetwarzającego oraz każdorazowo administratora, w imieniu którego działa, kategorie przetwarzania przeprowadzonego w imieniu każdego administratora danych, informacje związane z przekazaniem danych osobowych do państwa trzeciego (w stosownych przypadkach) itd. Celem prowadzenia wskazanych wyżej rejestrów jest zapewnienie, że dane osobowe są przechowywane i przetwarzane w sposób prawidłowy. Oczywiście istnieją wyjątki – odnoszą się one do przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób. Jednakże, nawet w przypadku zatrudnienia mniejszej liczby osób, rejestr powinien być prowadzony w sytuacji, gdy przetwarzanie nie ma charakteru okazjonalnego, może potencjalnie stwarzać ryzyko dla praw i wolności osób, których dane dotyczą, obejmuje określone kategorie danych osobowych (tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne i polityczne itp.) lub obejmuje dane osobowe dotyczące wyroków skazujących i przestępstw.
Podsumowując niezależnie od przepisów zawartych w ustawie, Rozporządzenie przewiduje wprowadzenie całkowicie nowych obowiązków, które spoczywać będą zarówno na administratorze danych, jak i na podmiocie przetwarzającym. Zasady, które obligują do prowadzenia rejestru czynności przetwarzania i zgłaszania zbiorów danych osobowych do rejestru Generalnego Inspektora Ochrony Danych Osobowych wynikają z różnych aktów prawnych przewidujących różne metody ochrony danych osobowych. Cel ochronny takich zobowiązań jest podobny, jednak zmiana będzie znacząca. Rejestr nie będzie już publiczny. Do chwili obecnej wszyscy korzystający z wyszukiwarki internetowej https://egiodo.giodo.gov.pl/search_basic.dhtml mogli sprawdzić, jakie kategorie danych przetwarzane są przez wskazane podmioty w Polsce. Od tej pory każdej osobie przysługiwać będzie prawo do otrzymania od administratora/podmiotu przetwarzającego bezpośredniej informacji o tym, jaki rodzaj danych, które ich dotyczą jest przetwarzany, a rejestry wewnętrzne stanowić będą źródło informacji umożliwiające udzielenie odpowiedzi na takie pytania. Czas i koszty przeznaczane na wywiązywanie się z obowiązku rejestracyjnego powinny się zmniejszyć, ale efekt końcowy może być gorszy niż planowano. Niektóre podmioty są obecnie zwolnione z rejestracji czynności przetwarzania, z kolei niektórzy mogą uznać za bardzo trudne i czasochłonne śledzenie codziennych działań w celu aktualizacji rejestrów wewnętrznych.
Jedno jest pewne: Generalny Inspektor Ochrony Danych Osobowych (najprawdopodobniej przemianowany na Prezesa Urzędu Ochrony Danych Osobowych) będzie zobowiązany kontrolować, czy nowo ustanowione zasady są przestrzegane oraz ryzyko zwiększonych sankcji w związku z ich nieprzestrzeganiem.
Autorzy tekstu:
Anna Bednarska Natalia Rutkowska, LL.M.
aplikant radcowski radca prawny
anna.bednarska@gsw.com.pl natalia.rutkowska@gsw.com.pl