Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Ryzyko, czas i cudze prawa – proces ochrony danych

25-05-2018 Autor: Rafał Kania

Konieczność organizowania procesu ochrony danych ma w Polsce już 20-letnią tradycję. Dotychczas najważniejsze było respektowanie praw osób, których dane dotyczą, uwzględnienie ścisłych wymagań technicznych, wyznaczonych przez ustawodawcę, i rejestracja zbiorów u GIODO.

 

O ile pierwszy element pozostał, to dwa pozostałe zostały zastąpione przez ryzyko i czas. Stały się podstawowymi determinantami procesu ochrony danych osobowych.

Organizacja procesu ochrony danych

W latach 80. zmieniono podejście na rynku usług i towarów ówczesnej Europejskiej Wspólnoty Gospodarczej (dalej: EWG) wobec tych towarów, które niosły ze sobą największe ryzyka związane z ich używaniem. Na poziomie europejskim ustanowiono wymagania techniczne (w postaci dyrektyw i ogólnych norm technicznych) wobec tych wyrobów. Zastąpiły one zindywidualizowane wymogi dla takich wyrobów ustanowione odrębnie w poszczególnych krajach EWG.

Całą oceną zgodności z wymaganiami technicznymi obciążono wytwórcę wyrobu lub tego, kto wprowadzał je do obrotu.

To oni odtąd deklarowali zgodność towarów z ustanowionymi dla nich wymaganiami technicznymi. Często po przeprowadzeniu badań w akredytowanych laboratoriach czy przez akredytowane podmioty.

Ponad 30 lat później to podejście zaaplikowano w odniesieniu do procesu ochrony danych osobowych. Zgodnie z rodo to administrator powinien zadbać o wszystkie aspekty jakości tego procesu. Na niego przerzucono ocenę wszystkich elementów procesu ochrony danych, w tym tego wiodącego, czyli całą ocenę ryzyka związanego z procesem ochrony danych i jego prawidłowością. Nie jest to, jak już wskazano, żadna nowość w porządku prawnym Unii Europejskiej. Ramy dla tej oceny są w tej chwili dość swobodne. Można przy niej, poza wskazaniami rodo, posiłkować się standardami technicznymi (choćby ISO czy EN), wytycznymi różnych regulatorów (czyż rekomendacja D KNF-u nie jest pomocna dla ustanowienia technicznych zasad ochrony danych, nie tylko dla banków?), Grupy Roboczej art. 29 (jeszcze) czy też opracowań praktycznych, które dają uproszczone metodyki ochrony danych.

Nie ma przy tym żadnych wątpliwości, że ochrona danych nie jest takim czy innym aktem prawnym czy zbiorem norm technicznych. Jest procesem, którego rytm, w myśl przepisów rodo, wyznaczają 3 zasadnicze elementy:

  • ryzyko,
  • czas,
  • konieczność respektowania cudzych praw.

Ochrona praw osób fizycznych

Jednak już u początków stosowania rodo dochodzi do pewnego nieporozumienia. Mianowicie chodzi o zbyt techniczne podejście do procesu ochrony danych i skupianie się wyłącznie na tym ich aspekcie ochrony. A wystarczy spojrzeć zarówno na tytuł starej dyrektywy, jak i rodo, by zauważyć, że chodzi w nich o ochronę praw osób fizycznych w związku z przetwarzaniem danych osobowych. W motywie 15 rodo wskazuje się przy tym, że: „ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik”. Co to oznacza? Wtórność zabezpieczeń technicznych wobec konieczności respektowania praw osób, których dane są przetwarzane.

Prawa i wolności osobiste łączą się ściśle w rodo z ryzykiem. I to jest główna perspektywa ryzyka w rodo.

Wcale nie jest nim kontekst ryzyka naruszenia takich czy innych zabezpieczeń technicznych. Podkreślmy: jest nim „ryzyko naruszenia praw lub wolności osób”. Ryzyko to szacuje się na podstawie obiektywnej oceny (motyw 76). Powinna ona się odbyć poprzez odniesienie do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ocena może prowadzić do wskazania, że operacje przetwarzania wiążą się z ryzykiem lub wysokim ryzykiem.

Ryzyko naruszenia

Jak materializuje się ryzyko naruszenia praw lub wolności osób w kontekście ochrony danych osobowych? Na trzech poziomach.

Poziom pierwszy to ryzyko naruszenia praw podstawowych wskazanych w traktatach (motyw 4 rodo), takie jak prawo do poszanowania życia prywatnego i rodzinnego, domu oraz komunikowania się i inne wymienione w motywie 4 rodo. Nie ma bowiem żadnej wątpliwości, że współzależą one z prawem do ochrony danych osobowych (są jego protagonistami). Co więcej, w polskiej konstytucji nie ma wprost wyrażonego prawa do ochrony danych osobowych (jak jest to w prawie traktatowym), a występują w niej powołane wcześ­niej aspekty prawa do prywatności. Rewersem tych praw jest potencjalne zderzenie prawa do ochrony danych osobowych z podstawowymi swobodami właściwymi dla rynku UE. Prawo do ochrony danych osobowych będzie zderzane z tymi wolnościami rynku (i w tym sensie są one antagonistyczne).

Poziom drugi to naruszenia praw wynikające wprost z rodo, m.in. takie jak prawo do bycia poinformowanym, prawo do bycia zapomnianym, prawo dostępu do danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych.

Poziom trzeci to poziom najbardziej przyziemny związany z naruszeniem praw i wolności osobistych w przetwarzaniu danych osobowych. Najpełniejszą ich listę wskazuje motyw 75. Są wśród nich konsekwencje takie jak dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, strata finansowa czy naruszenia dobrego imienia.

[...]

 

Autor jest radcą prawnym i wspólnikiem w kancelarii Sendero Kania, Lubaszka, Michalski i Wspólnicy sp.k.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.