Krótka historia ochrony danych osobowych
Jakie były kluczowe etapy ewolucji prawnego i technologicznego kontekstu, który kształtował ochronę prywatności i bezpieczeństwo danych osobowych na terytorium wspólnoty europejskiej? Jakie były pierwsze kroki Polski w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych? Dowiedz się już teraz!
Podwaliny ochrony danych osobowych
Lata osiemdziesiąte dwudziestego wieku były okresem szybkiego przyśpieszenia w Europie procesów związanych z rozwiązaniami zarówno prawnymi, jak i technologicznymi, dotyczącymi zapewnienia bezpieczeństwa i ochrony przetwarzanym danym osobowym. Jednym z najstarszych aktów prawnych dotyczącym ochrony danych osobowych na gruncie międzynarodowym uznaje się Konwencję 108 Rady Europy z 28.1.1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych.
Konwencja miała na celu zagwarantowanie, na terytorium każdego z jej sygnatariuszy, każdej osobie fizycznej, niezależnie od jej narodowości i miejsca zamieszkania, poszanowanie jej praw i podstawowych wolności, w szczególności prawa do prywatności, w związku z automatycznym przetwarzaniem dotyczących jej danych osobowych. Dość elastyczny charakter Konwencji powodował, że sygnatariusze dysponowali marginesem swobody w implementowaniu do prawa wewnętrznego odpowiednich standardów prawnej ochrony jednostki w związku z automatycznym przetwarzaniem danych osobowych.
W swoich pierwotnych założeniach Państwa członkowskie Unii Europejskiej optowały za ratyfikowaniem do 1982 roku Konwencji 108 jednak docelowo, na skutek wzrostu wagi ochrony danych osobowych organy unii europejskiej zainicjowały prace nad ujednoliceniem regulacji w tym zakresie i przyjęciem na szczeblu unijnym jednolitego aktu, dotyczącego ochrony danych osobowych. Zwieńczeniem tych prac było uchwalenie Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady Europy z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Rejestr czynności przetwarzania – przykład
Dyrektywa 95/46/WE mówiąca o swobodnym przepływie danych osobowych i regulacjach w zakresie przetwarzania danych osobowych
Dyrektywa 95/46 WE na gruncie europejskim zapewniła podłoże do ujednolicenia prawa ochrony danych osobowych w szczególności danych przetwarzanych za pomocą automatycznych środków przetwarzania. Dyrektywa 95/46/WE była uznawana za przełomową w zakresie ochrony danych osobowych w Europie, zapewniała szerokie definiowanie pojęcia danych osobowych, jak i przetwarzania danych. W swoim zakresie nie uwzględniała przetwarzania danych osobowych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze, a także w ramach działalności wykraczającej poza zakres prawa Wspólnoty jak np. na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa.
Zakres terytorialny stosowania Dyrektywy o ochronie danych wykraczał poza 28 państw członkowskich UE, obejmując także inne państwa należące do Europejskiego Obszaru Gospodarczego (EOG), tj. Islandię, Liechtenstein i Norwegię.
Dyrektywa 95/46 nie regulowała także przetwarzania danych osobowych przez instytucje unijne. Zostało to uregulowane rozporządzeniem 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe, i o swobodnym przepływie takich danych, które następnie zostało zastąpione przez rozporządzenie 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii, i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE.
Dyrektywa miała na celu chronić podstawowe prawa i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych, ustanawiając kluczowe kryteria legalności przetwarzania danych oraz zasady dotyczące jakości danych.
W zakresie przetwarzania danych osobowych tzw. zwykłych Dyrektywa określała zasady dotyczące jakości danych, w tym zapewnienie, że dane będą przetwarzane rzetelnie i legalnie z zachowaniem celowości, integralności, ograniczenia czasowego. W Dyrektywie wskazano także kryteria legalnego przetwarzania danych osobowych.
Według Dyrektywy, przetwarzanie danych osobowych było zgodne z prawem tylko wówczas gdy:
- osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę, lub
- przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na życzenie osoby, której dane dotyczą, przed zawarciem umowy, lub
- przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu administrator danych podlega, lub
- przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osoby, których dane dotyczą, lub
- przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej, przed którą ujawnia się dane, lub
- przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę.
W zakresie przetwarzania danych osobowych szczególnych kategorii Dyrektywa wskazywała, że za takie dane należy traktować dane ujawniające pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego, których zabraniała przetwarzania, chyba, że spełniona była jedna z wymienionych enumeratywnie przesłanek. W zakresie obowiązków informacyjnych Dyrektywa wskazywała przypadki gromadzenia danych od osób, których dane dotyczą, jak i uzyskiwania danych z innych źródeł niż osób, których dane dotyczą.
Podstawowymi prawami przysługującymi osobie, której dane są przetwarzane, na mocy Dyrektywy były:
- prawo do uzyskania informacji: administrator danych jest zobowiązany przekazać pewne informacje (tożsamości administratora danych, cele przetwarzania danych, odbiorcy danych itp.) osobie, której dotyczą gromadzone dane,
- prawo dostępu tych osób do danych: każda osoba, której dane dotyczą, ma prawo uzyskać dostęp od administratora danych,
- prawo sprzeciwu wobec przetwarzania danych: osoba, której dane dotyczą, powinna móc sprzeciwić się w uzasadnionych przypadkach przetwarzaniu danych.
Dyrektywa odnosiła się także do poufności przetwarzania danych osobowych, zakładając, że żadna osoba działająca z upoważnienia administratora danych lub przetwarzającego, nie może przetwarzać ich bez polecenia administratora danych, chyba że wymaga tego prawo.
W zakresie bezpieczeństwa przetwarzania danych osobowych Dyrektywa nakazywała administratorowi danych, jak i podmiotowi przetwarzającemu zapewnienie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem, lub przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem, szczególnie wówczas, gdy przetwarzanie danych obejmuje transmisję danych w sieci, jak również przed wszelkimi innymi nielegalnymi formami przetwarzania.
Przekazywanie danych osobowych z państwa członkowskiego do państwa trzeciego było dozwolone przy zapewnieniu odpowiednego stopnia ochrony, uwzględniając wyjątki od reguły np. gdy osoba, której dane dotyczą, udzieli zgody na ich przekazanie, gdy przekazanie jest konieczne do realizacji umowy lub gdy jest to konieczne z ważnych względów publicznych, ale także, gdy wiążące reguły korporacyjne lub klauzule umowne zostaną dozwolone przez dane państwo członkowskie.
Dyrektywa zachęcała do opracowywania krajowych i wspólnotowych kodeksów postępowania, mających przyczynić się do prawidłowego stosowania przepisów, a także zapewnienia przez państwo członkowskie jednego lub więcej organów władzy publicznej (organ nadzorczy) odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.
Grupa Robocza art. 29
Dyrektywa 95/46/WE na mocy art. 29 powołała do życia Grupę roboczą ds. ochrony osób fizycznych (nazywaną odtąd Grupą roboczą art. 29) w zakresie przetwarzania danych osobowych. Została ona niezależnym podmiotem o charakterze doradczym. Grupa Robocza art. 29 była ciałem doradczym, w skład którego wchodzili:
- przedstawiciele organów nadzorczych w zakresie ochrony danych osobowych, desygnowani przez każde państwo członkowskie Unii Europejskiej;
- przedstawiciel organu lub organów ustanowionych dla instytucji i organów wspólnotowych;
- przedstawiciel Komisji Europejskiej;
Do głównych zadań Grupy roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych należało:
1) Badanie każdej kwestii dotyczącej stosowania krajowych środków przyjętych na mocy Dyrektywy.
2) Przekazywanie Komisji Europejskiej opinii w zakresie stopnia ochrony danych osobowych w państwach Unii Europejskiej i w państwach trzecich.
3) Doradzanie Komisji Europejskiej w sprawie wszelkich proponowanych zmian niniejszej dyrektywy, dodatkowych lub szczególnych środków, mających na celu zabezpieczenie praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych oraz innych proponowanych środków wspólnotowych, dotyczących praw i wolności.
4) Wydawanie opinii na temat kodeksów postępowania opracowywanych na poziomie wspólnotowym.
5) Powiadamianie Komisji Europejskiej w przypadku stwierdzenia występowania rozbieżności między przepisami i praktykami przyjętymi w poszczególnych państwach członkowskich, mogącymi mieć wpływ na równoważność ochrony danych osobowych we Wspólnocie.
6) Wydawanie, z własnej inicjatywy, zaleceń we wszystkich sprawach dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych w państwach członkowskich UE.
7) Sporządzanie rocznego sprawozdania na temat sytuacji dotyczącej ochrony danych osobowych osób fizycznych we Wspólnocie oraz w państwach trzecich.
Opinie i zalecenia Grupy Roboczej ds. ochrony osób fizycznych były przekazywane Komisji oraz komitetowi ustanowionemu na podstawie art. 31 Dyrektywy 95/46/WE. Komisja miała obowiązek poinformować Grupę Roboczą, w drodze sprawozdania podlegającego udostępnieniu opinii publicznej oraz przekazywanego Parlamentowi Europejskiemu oraz Radzie o działaniach podjętych w odpowiedzi na jego opinie i zalecenia.
Na mocy art. 68 Rozporządzenia 2016/679 (RODO) Rada Ochrony Danych (EROD) zastąpiła Grupę Roboczą Art. 29. Zgodnie z RODO, odesłania do Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, ustanowionej w art. 29 dyrektywy 95/46/WE , należy traktować jako odesłania do Europejskiej Rady Ochrony Danych, ustanowionej niniejszym rozporządzeniem.
Początki prawa do prywatności na gruncie polskim
Prawo do ochrony prywatności ma stosunkowo krótką historię na gruncie polskim. Początek jednego z podstawowych praw, jakim jest prawo do ochrony danych osobowych, datuje się w Polsce dopiero na rok 1997. Jest to moment przyjęcia do polskiego porządku prawnego ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Ustawa była pierwszym aktem prawnym w Polsce zajmującym się kompleksowo ochroną danych osobowych. Katalizatorem przyjęcia prawa ochrony danych osobowych była potrzeba zaimplementowania do polskiego porządku prawnego m.in. postanowień dyrektywy 95/46/WE ze względu na dążenie Polski do członkostwa w UE. Celem wprowadzenia ustawy o ochronie danych osobowych była kwestia uregulowania w zwartej formie zasad związanych z ochroną danych osobowych, których nie trzeba było od tej pory wywodzić wprost z Konstytucji czy kodeksu cywilnego. Ustawa regulowała model rejestracji zbiorów danych osobowych w związku z ich przetwarzaniem w sposób usystematyzowany. Podmiot był zobowiązany zgłosić ten fakt do organu ochrony danych osobowych, którym był w owym czasie Generalny Inspektor Ochrony Danych Osobowych GIODO. System rejestracji zbiorów danych zakładał wstępną kontrolę przetwarzania polegającą na ocenie potencjalnych zagrożeń dla praw i wolności osób. GIODO prowadził publiczny rejestr zbiorów danych.
Siedem lat od przyjęcia ustawy o ochronie danych osobowych, bo 1 października 2004 roku, zaczęła obowiązywać znowelizowana ustawa o ochronie danych osobowych, która wprowadziła m.in. obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanym danym osobowym. Podmiot, który przetwarzał dane osobowe w sposób zautomatyzowany, był zobowiązany na podstawie aktu wykonawczego do ustawy posiadać wymaganą dokumentację (politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi) oraz zapewnić odpowiednie techniczne i organizacyjne środki ochrony danych.
Ustawę z 29 sierpnia 1997 o ochronie danych osobowych nowelizowano wielokrotnie. Ostatnia zmiana weszła w życie 1 lutego 2018 roku, na 3 miesiące przed wejściem nowej ustawy.
RODO następca Dyrektywy 95/46/WE
W 2012 r. rozpoczęto modernizację dyrektywy 95/46/WE. Dyrektywa coraz częściej bowiem była postrzegana jako dokument wymagający dostosowania do zmieniających się realiów związanych z postępem technologicznym opartym m.in. o rozwiązania chmurowe, rozwój Internetu, międzynarodowe przepływy danych, transfery danych do państw trzecich itp. 25.01.2012 r. Komisja Europejska przedstawiła projekt dwóch aktów prawnych.
- Rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych powodujących uchylenie Dyrektywy 95/46/WE,
- Dyrektywę w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy w celach zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, ich wykrywania lub ścigania przestępstw, lub wykonywania kar karnych oraz w sprawie swobodnego przepływu takich danych i uchylająca decyzję ramową Rady 2008/977/WSiSW.
W maju 2016 r. oficjalnie opublikowano, mające zastąpić dyrektywę 95/46/WE, Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych) które zaczęło być stosowane od 25.05.2018 r. bezpośrednio we wszystkich państwach członkowskich Unii Europejskiej. Oznaczało to, że Rozporządzenie natychmiast stanowiło normę prawną we wszystkich krajach Unii, bez potrzeby jego implementacji do prawa krajowego. Skutki prawne rozpoczęcia stosowania Rozporządzenia były jednolicie wiążące w każdym prawodawstwie krajowym. Od tego momentu odesłania do uchylonej dyrektywy należy traktować jako odesłania do niniejszego rozporządzenia.
RODO nie zmieniło istotnie podstaw prawnych czy zasad przetwarzania danych osobowych. Wprowadziło jednak nowe przepisy, których zadaniem było zwiększenie samodzielności i odpowiedzialności administratorów danych. W praktyce oznaczało to, iż dotychczas obowiązujące przepisy wymagające zawiadamiania Generalnego Inspektora Ochrony Danych (GIODO) o przetwarzaniu danych osobowych (obowiązek zgłaszania zbiorów do rejestracji) przestały obowiązywać. W ich miejsce RODO wprowadziło skuteczne procedury dotyczące tych operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Co równie istotne, przestało też obowiązywać rozporządzenie MSWiA jako akt wykonawczy do ustawy o ochronie danych osobowych określające warunki techniczne i organizacyjne, jakie muszą spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych.
Ustawa o ochronie danych osobowych z 2018 r
10 maja 2018 roku uchwalona została nowa ustawa o ochronie danych osobowych, która zastąpiła ustawę z 1997 roku oraz akty wykonawcze do uchylonej ustawy. Ustawa zapewnia stosowanie Rozporządzenia o ochronie danych osobowych (RODO). Ustawa weszła w życie 25 maja 2018 roku i określa m.in.:
- podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu,
- postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,
- kontrolę przestrzegania przepisów o ochronie danych osobowych,
- odpowiedzialność cywilną, karną i administracyjną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem.
Wdrożenie ochrony danych osobowych z Lex Digital
Ochrona danych osobowych wraz z postępem technologicznym ewoluuje. Zapewnienie ochrony danych osobowych na skutek korzystania takich rozwiązań jak usługi chmurowe, rozwój sztucznej inteligencji, transfer danych osobowych do państw trzecich już dawno przestało być problemem lokalnym. Granice fizyczne, geograficzne i technologiczne ulegają coraz większemu zatarciu, a zapewnienie skuteczniej ochrony danym osobowym to niejednokrotnie duże wyzwanie dla organizacji. Skuteczny system ochrony danych osobowych to przede wszystkim:
- minimalizacja strat z powodu naruszenia bezpieczeństwa przetwarzanych informacji,
- minimalizacja ryzyka wystąpienia zdarzeń związanych z naruszeniem ochrony danych, w tym kar nakładanych przez UODO,
- przygotowanie organizacji na potencjalne wystąpienie incydentów związanych z bezpieczeństwem danych osobowych,
- podniesienie wiarygodności organizacji w oczach klientów, inwestorów i udziałowców,
- zwiększenie przewagi konkurencyjnej na rynku, poprzez kreowanie pozytywnego wizerunku jako firmy dbającej o ochronę praw i wolności podmiotów danych.
Działania systemowe w zakresie ochrony danych osobowych powinny być odpowiednio zaplanowane i przeprowadzone. Zapewnienie skuteczności funkcjonowania systemu ochrony danych osobowych jest możliwe pod warunkiem „zaszycia” poszczególnych rozwiązań w procesy funkcjonujące w organizacji. Wymierne efekty w tym zakresie można uzyskać, korzystając z doświadczenia firm profesjonalnie zajmujących się wdrożeniami ochrony danych osobowych i bezpieczeństwa informacji, do których niewątpliwie należy LexDigital.