Event MIX Event a ochrona danych osobowych – Pałucki Trusiński Prawo i Podatki

Event a ochrona danych osobowych – Pałucki Trusiński Prawo i Podatki

39
0

Zasady nowych przepisów dotyczących ochrony danych osobowych z perspektywy branży eventowej – wyjaśniają eksperci z kancelarii Pałucki Trusiński Prawo i Podatki, Marcin Gabryszak i Natalia Michalska.

Bardzo dynamicznie rozwijająca się branża eventowa jest bez wątpienia jednym z wielu odbiorców nowego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych (dalej: Rozporządzenie). Sektor kreatywny, w którym przetwarzanie danych jest nieodłącznym elementem pracy powinien więc ze szczególną starannością przygotować się na nadchodzące zmiany, które wprowadziło Rozporządzenie.  

Mimo, iż Rozporządzenie zgodnie ze swoją naturą obowiązywać ma bezpośrednio, to już dziś wiadomo, że ustawodawcę czeka dużo pracy przy przeglądzie oraz zmianach szeregu aktów prawnych obowiązujących w obecnym brzmieniu.

Pierwszą i główną konsekwencją obowiązywania przepisów rozporządzenia będzie uchylenie ustawy o ochronie danych osobowych w obecnym brzmieniu. Nie oznacza to jednak, że w ogóle zniknie krajowa ustawa o ochronie danych osobowych. Już dziś przewiduje się wprowadzenie okrojonej krajowej ustawy, pierwszy projekt w tym zakresie został opublikowany na stronie w Ministerstwa Cyfryzacji 23 marca 2017 roku.

Rozporządzenie wraz z projektem ustawy przewidują wprowadzenie następujących nowości: 

  •        Nałożenie obowiązku ochrony danych osobowych na każdym etapie tworzenia technologii privacy by design, privacy by default

Od momentu wejścia w życie Rozporządzenia zostanie wprowadzony nowy obowiązek zgodnie, z którym administratorzy danych działający wewnątrz poszczególnych przedsiębiorstw będą musieli uwzględnić bezpieczeństwo przetwarzania danych na każdym etapie tworzenia technologii – np. na etapie projektowania aplikacji.

  •        Wprowadzenie definicji legalnej pseudonimizacji

 Rozporządzenie wprowadza nowy mechanizm w postaci pseudonimizacji tj. procesu polegającego na przetworzeniu danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

W przypadku pseudonimizacji nadal będziemy mieli do czynienia z danymi osobowymi (w przeciwieństwie do anonimizacji), jednakże w wielu przypadkach prawidłowa i skuteczna pseudnimizacaja będzie uznawana za odpowiedni środek techniczny i organizacyjny chroniący dane osobowe.

  •        Wprowadzenie definicji legalnej profilowania

Narzędzie szczególnie używane w branży eventowej doczekało się w Rozporządzeniu prawnej definicji. Zgodnie z Rozporządzeniem „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

W powyższym kontekście profilowanie jest jedną z form przetwarzania, które myśl rozporządzenia oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Podmioty, które w ramach prowadzonej działalności będą korzystać z profilowania, zostaną zobowiązane do spełnienia dodatkowych wymogów określonych w Rozporządzeniu. Rozszerzony zostanie również obowiązek informacyjny. Administrator będzie zobowiązany do poinformowania uprawnionego o zamiarze profilowania, zasadach, znaczeniu i przewidywanych konsekwencjach profilowania. W zakresie profilowania trzeba będzie odebrać również stosowną, odrębną zgodę.

Ponadto wartym podkreślenia jest fakt, iż w Rozporządzeniu zawarte są przepisy regulujące wpływ profilowania na zawieranie zautomatyzowanych decyzji. W myśl tych ostatnich osoba, której dane dotyczą ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. W oparciu o preambułę Rozporządzenia przetwarzanie mające na celu zautomatyzowane podejmowanie decyzji powinno zawsze podlegać odpowiednim zabezpieczeniom, obejmującym informowanie osoby, której dane dotyczą, prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji. Takie przetwarzanie nie powinno dotyczyć dzieci. W toku postępowania administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, Dodatkowo administrator danych osobowych powinien zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualną lub skutkujący środkami mającymi taki efekt.

  •        Zmiany rygoru wyrażania zgody na przetwarzanie danych osobowych

Zgodnie z projektem ustawy ochronie danych osobowych zgoda na przetwarzanie danych osobowych będzie udzielna przez osoby które ukończyły lat 13, w oparciu o przyjętą w kodeksie cywilnym  definicję ograniczonej zdolności do czynności prawnej. W tej materii projekt polskiej ustawy odbiega od treści Rozporządzenia, w którym zgodę może samodzielnie udzielić osoba która ukończyła lat 16. Odmienność treści dwóch aktów wynika z  przysługującemu Państwom Członkowskim prawa  doprecyzowania zagadnień proceduralnych będących przedmiotem Rozporządzenia. Poniżej ustalonego w ustawie wieku zgodę będą wyrażali rodzice lub opiekunowie prawni tej osoby.

Ponadto, dodatkowe obowiązki zostały nałożone na podmioty , które zamierzają korzystać z usługi profilowania. Zgody odebrane przed dniem obowiązywania Rozporządzenia będą ważne wyłącznie w przypadku spełnienia rygorystycznych wymogów.

Zgoda w rozumieniu Rozporządzenia powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych. Działanie takie może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy. 

  •        Wprowadzenia instytucji prawa do zapomnienia

Wraz z wejściem w życie ustawy właściwie skonkretyzowane zostanie prawo do bycia zapomnianym. Uprawniony otrzyma względne prawo żądania od administratora usunięcia danych, a nadto w przypadku rozpowszechnienia danych przez administratora, po stronie administratora spoczywać będzie obowiązek poinformowania innych administratorów o żądaniu usunięcia danych (usunięcie łączy, kopii, replikacji).

Zgodnie z art.17 Rozporządzenia obowiązek usunięcia danych dotyczy m.in.:

–      danych osobowych które nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

–      sytuacji, w której osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;

–      sytuacji, w której osoba, której dane dotyczą, wnosi sprzeciw na mocy wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy wobec przetwarzania;

–      danych osobowych przetwarzanych niezgodnie z prawem.

  •        Zaostrzenie kar za naruszanie przepisów odnośnie przetwarzania zarówno w stosunku do podmiotów publicznych jak i zwykłych przedsiębiorców

Zgodnie z nowymi przepisami diametralnemu zaostrzeniu będą podlegały kary za naruszenie przepisów. Prezes Urzędu uzyska uprawnienie do nakładania w drodze decyzji administracyjnych kar pieniężnych w wysokości do 20 000 000 euro lub do 4% przychodów rocznego obrotu firmy – w zależności od tego, która z powyższych kwot będzie wyższa. Uprawnienie to na podstawie przepisów ustawy wynika bezpośrednio z Rozporządzenia. Na podmioty publiczne, o których mowa w art. 9 pkt 8 – 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późn. zm.) Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł.

  •        Nałożenie obowiązku zgłaszania naruszeń w ciągu 72 godzin od stwierdzenia naruszenia

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – będzie zobowiązany zgłaszać takie sytuacje Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

Od strony operacyjnej administrator danych osobowych we własnym zakresie zobowiązany będzie zgłosić do Prezesa Urzędu fakt naruszenia ochrony danych osobowych w firmie, nie później niż w terminie do 72 godzin. Jedynym wyjątkiem będzie sytuacja w której naruszenie nie będzie skutkowało negatywnymi konsekwencjami wobec praw lub wolności osób, których dane do tyczą.

Już dziś wiadomo, że wejście w życie rozporządzenia ma stanowić nowy rozdział w zakresie funkcjonowania kontroli przetwarzania danych osobowych, które mogą się nasilić. Warto zatem już dziś śledzić procesy legislacyjne i dostosować bieżącą działalność do nowej rzeczywistości.

Marcin Gabryszak – adwokat oraz Natalia Michalska, aplikantka radcowska Kancelarii Pałucki Trusiński.

www.bizneswpodatkach.pl

 JK