Marek Zagórski był gościem Sygnałów Dnia PR1 25 maja 2018 r. Minister Cyfryzacji wypowiadał się na temat Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które jest stosowane od 25 maja 2018 r.

[po wprowadzeniu RODO] mamy trochę więcej praw. Po pierwsze możemy zażądać informacji o tym, jakie dane są zgromadzone na nasz temat, możemy poprosić o ich skorygowanie, możemy prosić o ich usunięcie, taki podstawowy zakres danych.

– powiedział Minister Cyfryzacji.

Jaka jest prawda?

W związku z poruszeniem przez ministra w wypowiedzi tematyki, która jest istotna w kontekście debaty publicznej, bazując na niej postanowiliśmy przeanalizować zmiany wprowadzone w RODO i pozostawić wypowiedź do oceny naszym czytelnikom.

RODO tym się różni od dyrektywy 95/46/WE, że nie będzie implementowane – przepisów RODO nie będzie trzeba przyjąć w polskiej ustawie, jak to się dzieje w przypadku dyrektyw. RODO bezpośrednio obowiązuje, jest bezpośrednio stosowane i bezpośrednio skuteczne. To oznacza, że – z bardzo niewielkimi wyjątkami – całe prawo ochrony danych osobowych znajdziemy bezpośrednio w tekście RODO. Ten tekst można znaleźć w Dzienniku Urzędowym Unii Europejskiej L z 2016 r. nr 119, str. 1. RODO zastąpiło ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych.

Rozporządzenie nie wylicza w sposób bezpośredni podlegających mu jednostek. Taki zapis znajduje się tylko w odniesieniu do podmiotów wyłączonych z zapisów dokumentu. Dlatego można założyć, że rozporządzenie dotyczy wszystkich przypadków przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany. Do wyjątków należą wyłącznie działalności nieobjęte zakresem prawa Unii (np. kwestie bezpieczeństwa narodowego), przez osoby fizyczne w zakresie czysto osobistym, organy ścigania, sądy, instytucje unijne czy też dyplomatyczne. Wyłączenia opisane są w art. 2 rozporządzenia.

RODO stosuje się do przetwarzania danych osobowych. Przetwarzaniem danych osobowych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

• zbieranie danych,
• przechowywanie danych,
• usuwanie danych,
• opracowywanie danych,
• udostępnianie danych.

Reforma prawa ochrony danych osobowych związana z rozpoczęciem stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L Nr 119, str. 1) ma oczywiście fundamentalne znaczenie i wprowadza szereg nowych praw osoby, której dane dotyczą. Jednakże wspomniane przez ministra prawa, tj. prawo do uzyskania informacji o tym, jakie dane są zgromadzone na nasz temat, do skorygowania naszych danych oraz prawa do usunięcia danych przysługiwały już na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Nr 133, poz. 883) i zostały określone w art. 32 ust. 1 pkt. 1 – 6 ustawy. Nie są więc całkowitą nowością legislacyjną.

W tym ostatnim zakresie, tj. prawa do usunięcia danych, które na gruncie rozporządzenia bywa nazywane również „prawem do bycia zapomnianym”, doszło do rozszerzenia katalogu okoliczności, w których z takiego prawa można skorzystać. Oprócz konieczności usunięcia danych zbędnych do realizacji celu, dla którego zostały zebrane, administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

1. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania,
2. osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania na potrzeby marketingu bezpośredniego,
3. dane osobowe były przetwarzane niezgodnie z prawem,
4. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator,
5. dane osobowe zostały zebrane i przetwarzane na podstawie zgody osoby poniżej 16 roku życia w związku z oferowaniem usług społeczeństwa informacyjnego.

Niewątpliwie jako nowe uprawnienia należy postrzegać prawo do uzyskania kopii danych podlegających przetwarzaniu (art. 15 ust. 3 rozporządzenia), prawo do otrzymania danych dostarczonych administratorowi i ich przenoszenia (art. 20 ust. 1 i 2 rozporządzenia), prawo do wniesienia sprzeciwu wobec przetwarzania na potrzeby marketingu bezpośredniego, w tym profilowania dla potrzeb takiego marketingu, niezależnie od podstawy prawnej przetwarzania danych (art. 21 ust. 2 rozporządzenia), czy prawo do wniesienia skargi do organu nadzorczego (art. 77 ust. 1 rozporządzenia). Nowością jest również możliwość wystąpienia na drogę postępowania cywilnego z prawem do żądania uzyskania od administratora lub podmiotu przetwarzającego odszkodowania za poniesioną szkodę majątkową lub zadośćuczynienia za poniesioną szkodę niemajątkową w wyniku naruszenia przez te podmioty przepisów rozporządzenia (art. 82 ust. 1 rozporządzenia).