Nowe definicje wprowadzane przez RODO

RODO wprowadza szereg nowych definicji, które zacz¬ną funkcjonować w obrocie od 25 maja 2018 r. Są to m.in. definicje następujących pojęć przedstawionych poniżej.

Profilowanie

Oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Profilowanie jest więc rodzajem przetwarzania, które odbywa się automatycznie, jest oparte na danych osobowych, służy ocenie czynników osobowych osoby fizycznej do celów analizy (profile jawne) lub prognozy jej zachowań (profile predykcyjne).

Profilowanie będzie legalne, gdy: (I) wyraźnie dopuszcza to prawo; (II) jest niezbędne do zawarcia i wykonania umowy między osobą, której dane dotyczą a administratorem danych; (III) osoba, której dane dotyczą, wyraziła na to zgodę. Istotne jest ponadto, że przedsiębiorcy, którzy będą stosować profilowanie, będą zobowiązani do przekazania osobom fizycznym określonych informacji. Oprócz samej informacji o stosowanym profilowaniu trzeba będzie wskazać także zasady podejmowania zauto­matyzowanych decyzji oraz znaczenie i przewidywane konsekwencje takiego przetwarzania dla osoby, której dane dotyczą.

Przykładami profilowania może być stosowanie określonego rodzaju plików cookies na stronie internetowej, które w powiązaniu z innymi narzędziami pozwalają śledzić zachowania użytkowników strony w celu proponowania im spersonalizowanych produktów, reklam, ofert handlowych, a także oceny zdolności kredytowej, leasingowej danej osoby itp.

Pseudonimizacja

Oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Pseudonimizacja jest jedną z form zalecanych przez RODO do stosowania przez daną organizację w celu zapewnienia określonego stopnia bezpieczeństwa przetwarzanych danych, odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych. Dla przykładu, pseudonimizacja może polegać m.in. na zastąpieniu określonej kategorii danych innymi danymi (np. Jana Kowalskiego zmieni się na Adriana Nowaka) albo numerem identyfikacyjnym (np. Jana Kowalskiego oznaczy się numerem 2343). Działanie takie może być wskazane np. w wypadku podmiotów świadczących usługi call center. Nie jest konieczne, aby określony pracownik widział realne dane, jeśli w celu wykonywania pracy potrzebny jest mu wyłącznie np. numer telefonu.

Podmiot przetwarzający (tzw. procesor)

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

W obowiązującej polskiej ustawie o ochronie danych osobowych brak jest ustawowej definicji podmiotu przetwarzającego. RODO wprowadza już taką definicję, która z punktu widzenia praktyki jest bardzo istotna.

Procesor przetwarza dane osobowe w imieniu administratora (niejako na jego zlecenie). W praktyce każda firma korzysta z procesorów, np. firm outsourcingowych świadczących usługi kadrowo-płacowe, finansowe, usługi hos­tingowe, agencje zatrudnienia. Co więcej, RODO przewiduje minimalny zakres informacji, które muszą znaleźć się w umowie pomiędzy administratorem danych a podmiotem przetwarzającym. Zatem w praktyce konieczne będzie przyjrzenie się własnym umowom i rozpoczęcie procesu ich renegocjacji jeszcze przed 25 maja 2018 r.

Ograniczenie przetwarzania

Oznacza oznakowanie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.

Rozwiązanie to może być zastosowane m.in. w kilku kontekstach.

Po pierwsze, osoba fizyczna zgłasza się do danej spółki i kwestionuje prawidłowość danych osobowych, które ta spółka przechowuje na jej temat. Wówczas spółka w celu wyjaśnienia sprawy, na okres pozwalający jej sprawdzić zasadność wniosku i prawidłowość posiadanych danych, powinna mieć możliwość czasowego ograniczenia przetwarzania danych (np. adresu e-mail, numeru telefonu).

Po drugie, administrator przetwarza dane niezgodne z prawem i chce je usunąć, jednak osoba sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania.

Po trzecie, administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia dochodzenia lub obrony roszczeń, np. w przypadku sporu pracownika z pracodawcą.

Po czwarte, RODO przyznaje organom nadzorczym uprawnienie do wprowadzenia wobec administratora czasowego lub całkowitego ograniczenia przetwarzania. W projekcie nowej ustawy o ochronie danych osobowych doprecyzowano, że w ramach uprawnień kontrolnych Prezes Urzędu Ochrony Danych Osobowych może żądać ograniczenia przetwarzania danych osobowych (na maksymalny okres do czasu wydania decyzji w ramach prowadzenia danej kontroli), jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki.

W praktyce ograniczenie przetwarzania może spowodować niejako „paraliż organizacyjny” danej firmy, zastopować jej działanie na kilka miesięcy, jeśli określone zbiory danych zostaną wyłączone spod bieżącej pracy firmy.

Zgoda

Wprowadzenie tej definicji nie jest może nowością, gdyż na gruncie obecnych regulacji funkcjonuje już definicja zgody, jednak wprowadzenie tej definicji w RODO nabiera istotnego praktycznego znaczenia. Zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych
osobowych.

Odmiennie od obecnych regulacji, zgoda na przetwarzanie danych osobowych może zostać udzielona także poprzez wyraźne działanie potwierdzające. W praktyce może to oznaczać, że wręczenie komuś wizytówki na określonym evencie może być traktowane jako dorozu­miana zgoda na kontakt w celach ofertowych. Należy mieć jednak na uwadze, że zgodnie z zasadą rozliczalności także w takim przypadku administrator danych będzie musiał wykazać, że zgoda rzeczywiście została udzielona (w związku z tym warto np. wysłać do takiej osoby e-maila potwierdzającego, odnotować wewnętrznie, skąd jesteś­my w posiadaniu określonych danych).

Naruszenie ochrony danych osobowych

Oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przykładami takich naruszeń mogą być takie zdarzenia, jak: utrata kontroli nad przetwarzanymi danymi osobowymi, ich kradzież lub sfałszowanie tożsamości, nieuprawnione odwrócenie pseudonimizacji, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub naruszenie bezpieczeństwa danych osobowych mogące skutkować naruszeniem dobrego imienia danej osoby fizycznej, stratą finansową lub inną znaczną szkodą gos­podarczą lub społeczną.

Incydentem takim jest także przypadkowe przesyłanie, przechowywanie lub inny sposób przetwarzania danych prowadzące np. do ich zniszczenia, utraty, zmodyfikowania lub nieuprawnionego ujawnienia. Przykładem może być zgubienie laptopa lub telefonu służbowego, na których znajdują się dane osobowe kontrahentów, klientów, dostawców, konsumentów. Każda organizacja powinna mieć stosowne procedury regulujące te kwestie, począwszy od zgłoszenia takiego incydentu przez pracownika, podjęcie stosownych działań zaradczych przez zarząd (inspektora ochrony danych) i dział IT, np. zdalne usunięcie kontaktów w telefonie.

Naruszenie ochrony danych osobowych należy zgłosić organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Każdy incydent niezwłocznie po jego wykryciu musi zatem zostać przeanalizowany wewnętrznie w firmie, w szczególności w aspekcie konieczności jego zgłoszenia do organu nadzorczego.

Strona trzecia

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administratora, podmiot przetwarzający czy osoby, które z upoważnienia administratora lub podmiotu przetwarzającego mogą przetwarzać dane osobowe.

Ustawodawca unijny zdecydował się zdefiniować pojęcie strony trzeciej od strony negatywnej. Oznacza to, że oceniając, czy dany podmiot jest stroną trzecią, należy zbadać, czy można go zakwalifikować jako jeden z podmiotów wskazanych powyżej. Jeżeli w wyniku takiej analizy zostanie stwierdzone, że dany podmiot nie jest osobą, której dane dotyczą, administratorem danych, podmiotem przetwarzającym na zlecenie administratora ani osobą, która przetwarza dane osobowe z upoważnienia administratora lub podmiotu przetwarzającego, wówczas podmiot ten będzie stroną trzecią.

Strona trzecia występuje jako podmiot zewnętrzny względem operacji przetwarzania danych osobowych. W zależności od podjętych przez stronę trzecią czynności może ona stać się administratorem danych osobowych (gdy zacz­nie przetwarzać dane samodzielnie, określając cel i sposoby przetwarzania) lub podmiotem przetwarzającym (gdy będzie przetwarzać dane na zlecenie administratora).

Dane genetyczne

Oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.

Polska ustawa o ochronie danych osobowych nie wskazywała wprost danych genetycznych w wyliczeniu danych wrażliwych. Źródłem takich danych może być analiza próbki biologicznej danej osoby, w szczególności analiza chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub analiza innych elementów umożliwiających pozyskanie równoważnych informacji.

Dane biometryczne

Oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak: wizerunek twarzy czy dane daktyloskopijne.

Podstawowe fizyczne cechy biometryczne to: cechy tęczówki oka, geometria twarzy, linii papilarnych palców, rozkład temperatury na twarzy, geometria dłoni. Co ciekawe, przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Główna jednostka organizacyjna

Główną jednostką organizacyjną administratora w rozumieniu RODO powinno być miejsce, w którym znajduje się jego centralna administracja w Unii Europejskiej, chyba że decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej w Unii – wówczas za główną jednostkę organizacyjną należy uznać tę drugą jednostkę. Trzeba ją określać na podstawie obiektywnych kryteriów i powinna ona oznaczać skuteczne i faktyczne zarządzanie za pośrednictwem stabilnych struktur polegających na podejmowaniu najważniejszych decyzji co do celów i sposobów przetwarzania danych osobowych.

Wprowadzenie tej definicji wiąże się z regulacjami dotyczącymi grup przedsiębiorstw, które mogą wskazać jedną spółkę z grupy (spółkę matkę), która będzie główną jednostką organizacyjną w grupie kapitałowej i będzie podejmować decyzje o celach i sposobach przetwarzania danych. To zaś wiąże się z wyznaczeniem wiodącego organu nadzorczego, który będzie właściwy w sprawach związanych z transgranicznymi procesami przetwarzania danych osobowych.

Dla przykładu, spółka w Szwecji posiada kilka spółek córek w całej UE i to szwedzka spółka decyduje o zasadach przetwarzania danych osobowych w grupie kapitałowej. W związku z tym zostaje ona wskazana u szwedzkiego organu nadzorczego (odpowiednika naszego obecnego GIODO) jako główny podmiot w grupie kapitałowej odpowiedzialny za procesy przetwarzania i ochrony danych osobowych, a szwedzki organ nadzorczy będzie organem właściwym w sprawach związanych z transgranicznym przetwarzaniem danych osobowych w ramach tej grupy kapitałowej.

Przedstawiciel

Jest to podmiot (osoba fizyczna lub prawna mająca miejsce zamieszkania lub siedzibę w UE), która została wyznaczona na piśmie przez administratora lub procesora do reprezentowania administratora lub procesora w zakresie ich obowiązków wynikających z RODO. Podmiot taki jest wyznaczany, gdy administrator lub procesor nie ma jednostek organizacyjnych w UE, a jego produkty lub usługi są oferowane osobom fizycznym w UE. Dla przykładu, sklep internetowy z siedzibą w Stanach Zjednoczonych Ameryki sprzedaje swoje produkty konsumentom w UE, nie mając jednocześnie swojej spółki córki w UE. Wówczas taki sklep będzie podlegać przepisom RODO i będzie musiał wyznaczyć przedstawiciela.

Wiążące reguły korporacyjne

Są to polityki ochrony danych osobowych stosowane przez administratora lub procesora z siedzibą w UE, którzy przekazują dane osobowe poza UE do swoich spółek z grupy kapitałowej, prowadząc wspólną działalność gospodarczą. Reguły korporacyjne są przyjmowane przez daną grupę spółek w celu stosowania jednolitych zasad w całej grupie w zakresie ochrony, przepływu i przetwarzania danych osobowych.

Organ nadzorczy

Oznacza niezależny organ publiczny ustanowiony przez dane państwo członkowskie w UE. W Polsce ma to być Urząd Ochrony Danych Osobowych, na czele którego będzie stać Prezes. Celem działania tego organu ma być ochrona podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem, ułatwianie swobodnego przepływu danych osobowych w UE oraz monitorowanie stosowania RODO (np. w ramach uprawnień kontrol­nych).

Transgraniczne przetwarzanie

Odnosi się do przetwarzania danych osobowych w UE i nie wiąże się z przesyłaniem danych poza UE.