Dołącz do czytelników
Brak wyników

Istotne zmiany w ochronie danych osobowych ważne dla placówek niepublicznych

Artykuły z czasopisma | 26 lutego 2018 | NR 77
23

W kwietniu 2016 r. Rada Unii Europejskiej przyjęła rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ze swobodnym przepływem takich danych oraz dyrektywę w sprawie ochrony danych osobowych przetwarzanych na potrzeby ścigania przestępstw. Nowe przepisy zaczną obowiązywać za niespełna dwa lata, konkretnie od 25 maja 2018 r. (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Ważną część rozporządzenia stanowią zasady i prawa chroniące dane osobowe osób fizycznych oraz nowe obowiązki administratorów danych osobowych.

 

Istota zmiany jest widoczna w samej definicji „danych osobowych”. Porównując definicję danych osobowych zawartą w polskiej ustawie, można stwierdzić, że „rozporządzenie europejskie” wprowadza znaczne jej rozbudowanie. Wymienia się w jego treści wprost, np. identyfikatory online rozumiane jako: adresy internetowe protokołów, identyfikatory plików cookie, a nawet znaczniki identyfikacji radiowej RFID. Zdobycze techniki oraz znaczny rozwój informatyki spowodowały, że identyfikatory te w powiązaniu z innymi informacjami uzyskanymi przez serwery zlokalizowane w sieciach teleinformatycznych mogą być wykorzystywane do tworzenia profili osób fizycznych oraz identyfikacji tych osób.

Rozporządzenie Parlamentu Europejskiego i Rady definiuje dane osobowe w następujący sposób:

„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, 
fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Rozumienie definicji w obecnie obowiązującej ustawie o ochronie danych osobowych 

Art. 6.1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy 
fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

"Dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”)

Porównując zakres definicji danych osobowych w obu regulacjach, stwierdzamy, że znacznie się on poszerzył. Powszechnie wiadomo, iż dane osobowe to imię, nazwisko i ewentualnie czyjś adres, a na pozostałych danych, takich jak e-mail czy adres IP, możemy działać bez ograniczeń. Nic bardziej mylnego. W dobie cyfryzacji wszystkie dostępne o człowieku informacje można – w zależności od środków, które mamy do wykorzystania – połączyć ze sobą w parę minut, tworząc niepokojąco kompletny obraz człowieka. GIODO wypowiedział się w tej kwestii następująco: „IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę”, zaś „dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników Internetu, którym przypisali adresy IP”. Informacje o wykształceniu, znajomości języków, przekonaniach, sposobie spędzania wolnego czasu czy charakterze pisma danej osoby są to tzw. dane osobowe pośrednie, ale nie zmienia to faktu, iż podlegają one ochronie i nakładają na administratorów danych szereg obowiązków.

Jak widać, definicja danych osobowych rozumiana jest coraz szerzej. Ogrom wiadomości, które przetwarzamy każdego dnia, a także ich cena w świetle nowoczesnego marketingu, zmusza prawo do udzielania ochrony coraz większej liczby informacji. Nowe unijne prawo ma tę ochronę zagwarantować.

Kolejną istotną zmianą jest przyjęcie zasady, że nowe przepisy będą jednolite dla wszystkich podmiotów w Unii Europejskiej według zasady przejrzystości. Efektem tego ma być ujednolicenie procedur ochrony danych osobowych w całej Unii. Przedsiębiorcy w każdym państwie będą stosować się do tych samych zasad. W preambule rozporządzenia unijnego wskazano, że „aby zapewnić wysoki i spójny poziom ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych”.

Administrator lub podmiot przetwarzający będą mieli obowiązek publikowania danych kontaktowych Inspektora Ochrony Danych i zawiadomienia o nich organu nadzorczego.

Obecne uregulowania dotyczą przede wszystkim sektora publicznego, w efekcie większość małych podmiotów nie przestrzega przepisów z zakresu...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Przedszkola"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy