Z dniem 25 maja 2018 we wszystkich krajach Unii Europejskiej weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). W Wielkiej Brytanii weszła już w życie nowa Ustawa o Ochronie Danych Osobowych (Data Protection Act 2018), o określonym znaczeniu zwłaszcza po opuszczeniu przez nią struktur Unijnych.
Zacznijmy od podstawowych definicji- czym są dane osobowe i na czym polega ich przetwarzanie?
Według szerokiej definicji Rozporządzenia, „dane osobowe” to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Pośród „identyfikatorów” wymienia się tu imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy (np adres IP) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Natomiast „przetwarzanie” oznacza „operację” lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Katalog tychże operacji jest szeroki i obejmuje „zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie” przedmiotowych danych. Warte podkreślenia są również definicje „zgody” i „naruszenia ochrony danych osobowych”. Mianowicie, „zgoda” osoby, której dane dotyczą oznacza doborowolne, konkretne, świadome i jednoznaczne okazanie woli, poprzez które dochodzi do przyzwolenia na przetwarzanie jej danych. Definicja ta wyraźnie wskazuje na znaczenie właściwej informacji udzielanej osobie, której dane dotyczą, tak by jej decyzja w przedmiocie zgody dokładnie odpowiadała jej przedmiotowi.
Nieprawidłowości w zakresie zapewnienia należytej ochrony danych osobowych mogą prowadzić do naruszenia bezpieczeństwa skutkującego przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnienieniem lub nieuprawnionym dostępem do przesyłanych, przechowywanych lub w inny sposób przetwarzanych danych osobowych.
Między innymi w kontekście prawa pracy i określonych obowiązków pracodawcy, pośród ważniejszych zmian wprowadzonych Rozporządzeniem wymienić należy standard zgody na przetwarzanie danych oraz nowy i rozszerzony zakres praw osób, których dane dotyczą i korelatywne obowiązki i odpowiedzialność adminostratorów i podmiotów przetwarzających dane (tu pracodawcy).
Artykul 5 Rozporządzenia, o ktorym mowa wymienia 7 podstawowych zasadach, na których opierać ma się ochrona danych. Są to: (1) zasada zgodności z prawem, rzetelności i przejrzystości przetwarzania danych; (2) zasada ograniczenia celowego gromadzenia i przetwarzania danych ; (3) powiązane z zasadą nr 2: zasada minimalizacji i adekwatności gromadzonych danych; (4) zasada dokładności i prawidłowości danych; (5) zasada ograniczenia czasowego przechowywania danych oraz (6) zasada integralności, poufności i bezpieczeństwa danych i (7) zasada odpowiedzialności administratora danych. Co do tego ostatniego, administrator, to jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, jest odpowiedzialny za przestrzeganie w/w zasad i musi być w stanie to wykazać (zasada rozliczalności administratora)
Ochrona danych osobowych według omawianego Rozporządzenia to temat skomplikowany i szczegółowy, wymagający takich też opracowań. Na potrzeby niniejszego artykułu warto jednak na koniec wspomnieć jakie prawa przysługują osobie, której dane dotyczą.
Mianowicie, podstawowym i rozbudowanym prawem mocno związanym z kwestią wyraźnej zgody na gromadzenie i przetwarzanie danych osobowych jest prawo do uzyskania od administratora przejrzystej, zwięzłej i czytelnej informacji, m.in. w przedmiocie celów i podstawy prawnej przetwarzania danych osobowych oraz takich praw jak do żądania dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawa do wniesienia sprzeciwu wobec przetwarzania a także prawa do przenoszenia danych (art. 15-21).
Jak wskazano powyżej, ochrona danych osobowych opiera się m.in. zasadzie rozliczalności administratora danych, co nakłada określone obowiązki i rodzi odpowiedzialność prawną pracodawcy w przedmiotowym zakresie. O tym, w kolejnym artykule.
Artykuł przygotowany dla: Gazeta Londyńska, Wyd. 134, UK