Prawa do bycia zapomnianym - nowy obowiązek administratora

Nowe uprawnienia klientów a co za tym idzie – obowiązki nałożone na administratorów danych są rezultatem wejścia w życie tzw. ogólnego rozporządzenia o ochronie danych osobowych (Rozporządzenie Parlamentu Europejskiego i Rady UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; ma zastosowanie od 25 maja 2018 r.), które ma ujednolicić standardy ochrony danych osobowych na poziomie wszystkich państw Unii Europejskiej.

Zasada przejrzystości

Rozporządzenie kładzie nacisk m.in. na wzmocnienie ochrony osób fizycznych, których dane są przetwarzane. Ma tak się stać w szczególności poprzez przyznanie im dodatkowych uprawnień oraz wyposażenie w zestaw kluczowych informacji dotyczących sposobu i celu przetwarzania. W założeniu unijnego ustawodawcy - narzędzia te powinny się przyczynić do wzrostu świadomości osób fizycznych w zakresie tego, co dzieje się z ich danymi oraz ryzyka związanego z ich przetwarzaniem.

Jakie uprawnienia

Rozporządzenie przyznaje wprost osobom fizycznym, których dane są przetwarzane w szczególności następujące uprawnienia:

- dostępu do danych i informacji,

- żądania sprostowania i uzupełnienia danych,

- sprzeciwu wobec przetwarzania danych,

- do przeniesienia danych,

- do bycia zapomnianym.

Uprawnienia te przekładają się bezpośrednio na obowiązki, którymi obciążeni zostają administratorzy danych. Nowe przepisy wymuszą na administratorach opracowanie sprawnych procedur przetwarzania danych osobowych, a gdy przetwarzane są one automatycznie, dostosowanie funkcjonalności systemów.

Do czego zatem będą zobowiązani przedsiębiorcy przetwarzający dane?

Jakie informacje

Odpowiedzią na prawo dostępu do danych i informacji jest obowiązek administratorów danych do przekazywania osobie fizycznej podczas pozyskiwania jej danych, a przed rozpoczęciem ich przetwarzania, w szczególności następujących informacji:

- tożsamości i danych kontaktowych administratora,

- celu przetwarzania danych osobowych (np. w celach marketingowych),

- informacji o odbiorcach danych osobowych,

- okresu, przez jaki dane osobowe będą przetwarzane, a gdy nie można go dokładnie określić, kryteriów ustalania tego okresu (np. przez okres trwania umowy),

- informacji o wykorzystywaniu danych do profilowania,

- informacji o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,

- gdy ma to zastosowanie – informacji o zamiarze przekazania danych osobowych poza Unię Europejską oraz wzmianki o odpowiednich zabezpieczeniach danych osobowych stosowanych przez podmiot, któremu dane są przekazywane.

Prosto i przejrzyście

Rozporządzenie wymaga, aby wszelkie informacje, kierowane do osób fizycznych, formułowane były językiem prostym i przejrzystym. Adresat ma zrozumieć przeznaczony dla niego komunikat. Dlatego hermetyczny język lub nadmierne skomplikowanie informacji – nie będą spełniać wymogów Rozporządzenia. Rozporządzenie kładzie nacisk na to, aby zarówno zakres udzielanych informacji, jak i sposób ich przekazywania były zrozumiałe dla zainteresowanych i nie odstraszały ich swoją długością.

Koniec z drobnym drukiem

Zasada przejrzystości informacji w praktyce oznaczać będzie zakaz umieszczania istotnych informacji „drobnym drukiem" na innej stronie, wplatanie ich w długi i skomplikowany tekst, czy też zamieszczanie ich wśród innych, mało ważnych informacji. Złamanie zakazu obwarowane będzie wysokimi karami finansowymi – do 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu danego przedsiębiorcy z poprzedniego roku obrotowego.

Filmiki i komiksy

Wywiązanie się z nowych obowiązków, czyli zapewnienie zwięzłości i prostoty przekazu w połączeniu z rozszerzonym katalogiem udostępnianych informacji – będzie wymagało od administratorów sporo wysiłku. Przede wszystkim będą oni musieli opracować nowe metody i formy komunikacji z osobami, od których chcą pozyskać dane. Najprostszym rozwiązaniem będzie opracowanie jasnego i zwięzłego podsumowania dokładniejszych informacji zawartych w polityce prywatności. Można również rozważyć opcje w postaci krótkich filmików czy komiksów, pamiętając o katalogu obowiązkowych informacji.

Nadzór oceni

To, w jaki sposób administratorzy będą realizować nałożone na nich obowiązki informacyjne, będzie oceniane przez organy nadzoru z punktu widzenia podstawowego celu Rozporządzenia – zapewnienia, że osoby udzielające zgody na przetwarzanie danych osobowych są w pełni świadome celu, procesu i konsekwencji przetwarzania ich danych.

Szerokie uprawnienia informacyjne osób, których dane są przetwarzane, nie są jedyną zmianą generującą nowe obowiązki administratorów. Rozporządzenie, zmierzając do wzmocnienia pozycji osób udostępniających swoje prywatne dane, przyznaje im wiele nowych praw, które mają zapewnić wpływ na „życie" danych począwszy od początku procesu przetwarzania, aż do jego zakończenia.

Po pierwsze, osobom wyrażającym zgodę na przetwarzanie danych osobowych przyznano prawo dostępu do danych oraz prawo do ich sprostowania, czy uzupełnienia. Na żądanie uprawnionego, administrator będzie miał obowiązek udostępnić kopię danych podlegających przetwarzaniu oraz wprowadzić odpowiednie zmiany do systemu.

Ponadto podmioty, których dane są przetwarzane w interesie publicznym lub w związku z uzasadnionym interesem administratora – będą mogły sprzeciwić się takiemu przetwarzaniu danych, chyba że administrator wykaże nadrzędność podstawy przetwarzania danych w stosunku do interesów jednostki. Prawo sprzeciwu będzie również przysługiwało w razie wykorzystywania danych do profilowania.

Po wejściu w życie Rozporządzenia osoba, której dane dotyczą, będzie mogła zażądać od administratora nie tylko informacji o tym, jakie dane posiada, ale także – w przypadku danych przetwarzanych elektronicznie – otrzymać je zapisane w powszechnie wykorzystywanym formacie i bez przeszkód przenieść je do innego usługodawcy. Prawo do przeniesienia danych umożliwia również żądanie, aby to administrator posiadający dane przesłał je innemu administratorowi.

—Agata Jankowska-Galińska

—Katarzyna Sawicka

Zdaniem autorek

Agata Jankowska-Galińska, managing associate, Deloitte legal

Katarzyna Sawicka, associate, Deloitte Legal

Najsilniejszym uprawnieniem przyznanym w Rozporządzeniu jest prawo do bycia zapomnianym, czyli prawo żądania usunięcia danych przez administratora. W razie skorzystania z tego prawa przez osobę, której dane dotyczą, administrator ma obowiązek, bez zbędnej zwłoki, usunąć ze wszystkich swoich systemów, dane pochodzące od tej osoby. Niemniej jednak, wskazany obowiązek odnosi się jedynie do administratorów, którzy wykorzystują dane wyłącznie na podstawie udzielonej zgody. Jeśli podstawą przetwarzania danych jest umowa, której wykonanie wymaga przetwarzania danych, wówczas prawo do bycia zapomnianym nie znajdzie zastosowania. W takiej sytuacji żądanie usunięcia danych wymagać będzie wcześniejszego rozwiązania umowy.

We wszystkich wskazanych sytuacjach, administrator będzie musiał odpowiednio dostosować systemy przetwarzania danych do nowych praw osób udostępniających swoje dane. Dodatkowo, powinien mieć na celu maksymalne ułatwienie osobom zainteresowanym realizację przyznanych im uprawnień. Ich dochodzenie nie może być ani zbytnio sformalizowane, ani czasochłonne. Wręcz przeciwnie, powinno być co najmniej tak samo proste i łatwo dostępne, jak wyrażenie zgody na przetwarzanie danych osobowych. Przykładowo, jeśli pozyskiwanie zgody wymaga jedynie zaznaczenia okienka, to również skorzystanie z prawa do bycia zapomnianym powinno odbywać się w ten sam sposób.