2016-08-01   Mecenas Marek Wiński o jednolitym zakresie stosowania Ogólnego Rozporządzenia o ochronie danych osobowych w Unii Europejskiej

W związku z unijną reformą prawa ochrony danych osobowych Izba Gospodarki Elektronicznej we współpracy z Partnerami prawnymi, do których należy m.in. Kancelaria Wiński, przygotowała poradnik zatytułowany Rewolucja w ochronie danych osobowych? Istotne zmiany dla przedsiębiorcy.

Na łamach poradnika opublikowany został artykuł Mecenasa Marka Wińskiego pt. Co dotyczy Unii zostaje w Unii, czyli jednolity zakres stosowania Ogólnego Rozporządzenia o ochronie danych osobowych w Unii Europejskiej.

Przez Ogólne Rozporządzenie należy rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 

Specjalnie dla Państwa zamieszczamy poniżej pełną treść artykułu Mecenasa Marka Wińskiego.

 

Co dotyczy Unii zostaje w Unii, czyli jednolity zakres stosowania Ogólnego Rozporządzenia o ochronie danych osobowych w Unii Europejskiej

 

LEAD

Nowe rozporządzenie unijne w sprawie ochrony danych osobowych8 budzi żywe emocje przede wszystkim ze względu na perspektywę wysokich kar i sankcji za jego naruszenie. W pierwszej kolejności jednak należy skupić się na fundamentach nowej regulacji, czyli ujednoliceniu systemu prawnego oraz zakresie jego zastosowania na terytorium UE. Jest to kwestia wymagająca szczególnej uwagi przedsiębiorców prowadzących działalność w więcej niż jednym państwie UE, jak również tych którzy działając lokalnie, korzystają z usług przedsiębiorców pochodzących spoza terytorium Unii Europejskiej.

 

PREHISTORIA CZYLI DYREKTYWA 95/46

Dotychczasowy system ochrony danych osobowych w Unii Europejskiej oparty jest na dyrektywie 95/46/WE. Dyrektywa ta powstała w połowie lat dziewięćdziesiątych XX wieku, w czasach, gdy Internet był w pierwszej fazie rozwoju, a na listach przebojów królowała Nirvana. Przez ostatnich dwadzieścia lat jednak wiele się zmieniło. Twórcom dyrektywy o ochronie danych osobowych nie śniło się zapewne, że dzisiaj w zasięgu każdego przedsiębiorcy internetowego będą tak zaawansowane narzędzia przetwarzania danych, jak śledzenie lub profilowanie użytkowników. Pojawiły się nowe globalne koncerny z państw trzecich (szczególnie USA), operujące danymi osobowymi na ogromną skalę (Google, Facebook). Przetwarzając dane setek milionów Europejczyków, firmy te nie podlegają bezpośrednio przepisom unijnym.

Istotny wpływ na kształt systemu ochrony danych osobowych w UE miał również sam charakter prawny dyrektywy. Dyrektywa unijna bowiem wiąże każde państwo członkowskie w odniesieniu do rezultatu, który ma być osiągnięty, ale pozostawia organom krajowym swobodę wyboru formy i środków do jego uzyskania (tak art. 288 Traktatu o funkcjonowaniu Unii Europejskiej). Dyrektywa zatem nie obowiązuje bezpośrednio, lecz wymaga tzw. implementacji (wdrożenia) w systemie prawa krajowego.

Każdy kraj członkowski wdrażał dyrektywę „po swojemu” i stosował swoje przepisy prawa krajowego (por. art. 4 Dyrektywy 95/46). W Polsce dyrektywa została implementowana przepisami obowiązującej Ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (t.j.Dz.U.2014.1182). Co prawda większość ustaw obowiązujących na terenie UE jest do siebie bardzo podobna, jednak są pewne rozbieżności. Te różnice przekładają się na duże koszty funkcjonowania firm, które przetwarzają dane osobowe w kilku państwach UE. Jeden podmiot przetwarzający dane osobowe w kilku państwach UE musi bowiem spełnić wymogi kilku odrębnych systemów prawa krajowego.

 

ROZPORZĄDZENIE CZYLI UJEDNOLICENIE

Jednym z głównych celów reformy prawa ochrony danych osobowych było ujednolicenie zasad ochrony na terytorium całej Unii Europejskiej. Rozporządzenie - w odróżnieniu od dyrektywy - ma zasięg ogólny na terytorium całej Unii, wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Rozporządzenie nie wymaga implementacji.

Oznacza to, że z chwilą wejścia w życie rozporządzenia na terenie Unii Europejskiej nastąpi ujednolicenie zasad ochrony danych osobowych. Rozporządzenie upoważnia jednak państwa członkowskie do przyjmowania przepisów szczegółowych w określonych obszarach (np. dane przetwarzane w kontekście zatrudnienia, tajemnica służbowa, niektóre aspekty przetwarzania danych biologicznych), które mogą doprecyzowywać zasady ochrony wynikające z rozporządzenia. Czas pokaże, czy w ramach tych wyjątków, niejako „tylnymi drzwiami”, nie dojdzie do wprowadzenia istotnych rozbieżności w regulacjach prawnych poszczególnych państw UE.

 

DZIAŁASZ W UE - PODLEGASZ PRZEPISOM UE

Dyrektywa 95/46 zakładała, że określone w niej zasady ochrony danych osobowych będą miały zastosowanie do podmiotów, które mają siedzibę na terytorium UE lub korzystają ze środków technicznych przetwarzania danych znajdujących się na terytorium UE.

Jak się miało okazać, było to założenie dosyć krótkowzroczne. W jego rezultacie dane setek milionów Europejczyków zaczęły być przetwarzane przez podmioty z państw trzecich, szczególnie USA (Google, Facebook, Dropbox) bez jakiejkolwiek kontroli ze strony europejskich organów nadzoru przetwarzania danych. Przy tym zasady przetwarzania danych osobowych w USA nie spełniały standardów ochrony danych wynikających z dyrektywy 95/46. Problem ten próbowano rozwiązać z różnym skutkiem, ale ostatecznie bez powodzenia (patrz program Safe Harbour*).

Powyższe problemy w dużym stopniu rozwiązuje nowe rozporządzenie. Przepisy rozporządzenia będą bowiem miały zastosowanie także wobec podmiotów z siedzibą poza UE, o ile oferują osobom przebywającym w Unii swoje towary lub usługi, lub monitorują ich zachowania. Z jednej strony to rozwiązanie dotyczy takich gigantów jak Google czy Facebook, które przy przetwarzaniu danych osobowych z terytorium UE będą musiały stosować przepisy rozporządzenia. Celem tego rozwiązania jest również wykluczenie prób uciekania spod jurysdykcji UE poprzez korzystanie z serwerów znajdujących się poza terytorium UE.

Zgodnie z art. 3 ust. 2 Rozporządzenia:

Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych podmiotów mających miejsce zamieszkania w Unii przez administratora niemającego siedziby w Unii, gdy przetwarzanie wiąże się z:

a) oferowaniem towarów lub usług takim podmiotom danych w Unii, lub

b) monitorowaniem ich zachowania.

 

PRZEDSTAWICIEL

Administrator przetwarzający dane użytkowników z terytorium UE niemający siedziby w Unii wyznacza swojego przedstawiciela na terytorium Unii (art. 25 ust. 1 Rozporządzenia).

Przedstawicielem może być każda osoba fizyczna lub prawna mająca miejsce zamieszkania lub siedzibę w Unii, wyraźnie wyznaczona przez administratora, do której organ nadzorczy lub inny podmiot w Unii mogą się zwrócić - zamiast do administratora - w kwestiach dotyczących obowiązków administratora w zakresie przetwarzania i ochrony danych osobowych (art. 4 pkt. 14 oraz 25 ust. 3 Rozporządzenia).

Obowiązku wyznaczenia przedstawiciela na terytorium Unii nie stosuje się do administratora mającego siedzibę w państwie trzecim, jeśli Komisja Europejska zdecydowała, iż dane państwo trzecie zapewnia odpowiedni poziom ochrony (art. 25 ust. 2 Rozporządzenia). Może to nastąpić np. w formie programu podobnego do Safe Harbour, który wyznaczał warunki, jakie powinny spełniać podmioty pochodzące z USA, aby uznać, że przetwarzanie danych osobowych przez te podmioty spełnia minimalne wymagania unijnego systemu ochrony danych osobowych.

 

ONE–STOP–SHOP, CZYLI JEDNO OKIENKO

Istotnym ułatwieniem dla przedsiębiorców prowadzących działalność w więcej niż jednym kraju UE będzie wprowadzenie tzw. One-Stop-Shop, czyli systemu jednego okienka obsługi. Spółki lub grupy przedsiębiorstw oferujące usługi na terenie kilku państw UE będą podlegać jednemu organowi nadzoru ochrony danych osobowych w wybranym państwie UE (np. polskiemu GIODO). W przypadku przetwarzania danych osobowych na terytorium UE w ramach jednej Grupy Przedsiębiorstw (np. grupy kapitałowej) za zarządzanie przetwarzaniem danych osobowych będzie odpowiedzialna „główna jednostka organizacyjna” określona według miejsca, w którym odbywają się główne działania związane z przetwarzaniem danych. Właściwość organu nadzoru będzie zależna od lokalizacji takiej "głównej jednostki organizacyjnej". Wybrany organ nadzoru będzie nadzorować wszystkie działania podległego mu podmiotu lub grupy podmiotów związane z przetwarzaniem danych osobowych w całej UE (artykuły 46-55 Rozporządzenia). Krajowy organ nadzoru współpracuje z innymi krajowymi organami nadzoru oraz ma obowiązek składać roczne sprawozdanie z działalności Komisji Europejskiej oraz Europejskiej Radzie Ochrony Danych.

 

PODSUMOWANIE

Kwestia przedmiotowego i terytorialnego zakresu stosowania ogólnego rozporządzenia o ochronie danych osobowych (RODO) jest istotna zarówno dla przedsiębiorcy e-commerce prowadzącego działalność w kilku państwach UE, jak i przedsiębiorcy działającego lokalnie, który korzysta z usług przedsiębiorców pochodzących spoza terytorium Unii Europejskiej. W takim przypadku dochodzi do powierzenia przetwarzania danych, które wymaga podjęcia określonych prawem czynności (np. zawarcia stosownej umowy). Konieczne będzie ustalenie, gdzie znajduje się główna jednostka organizacyjna danego przedsiębiorcy, kto jest jego przedstawicielem w zakresie ochrony danych osobowych oraz który organ prowadzi nadzór nad przetwarzaniem danych osobowych tego przedsiębiorcy (One–Stop-Shop).

 

* Program Safe Harbour został opracowany przez Departament Handlu USA w 2000 r. i określał minimalne wymogi co do przetwarzania danych osobowych. Na podstawie decyzji Komisji Europejskiej z 26 lipca 2000 r. uznano, że podmioty, które przystąpią do programu, będą traktowane jako zapewniające wysoki poziom ochrony. Program działał kilkanaście lat do momentu, gdy na skutek skargi Maxa Schremsa, austriackiego prawnika i aktywisty, Trybunał Sprawiedliwości Unii Europejskiej wyrokiem z dnia 6 października 2015 r. stwierdził, że decyzja Komisji Europejskiej w sprawie zapewnienia odpowiedniego poziomu ochrony w ramach programu „Bezpieczna Przystań” (Safe Harbour) jest nieważna (sprawa C-362/14). W ten sposób utraciła moc podstawa legalności wymiany danych osobowych z podmiotami z USA. W miejsce tego programu ma wejść w życie nowe rozwiązanie pod nazwą Privacy Shield. Co do jego skuteczności jednak nie ma obecnie jednolitego zdania. 

 

Zachęcamy Państwa do zapoznania się z pełną treścią poradnika Rewolucja w ochronie danych osobowych? Istotne zmiany dla przedsiębiorcy, który został udostępniony przez Izbę Gospodarki Elektronicznej na stronie internetowej e-Izby