Nowe definicje wprowadzone przez Rozporządzenie UE w zakresie ochrony danych z 14 kwietnia 2016 roku (3) | RBDO - Regulacje i Bezpieczeństwo Danych Osobowych

Nietrudno zauważyć, że w roku 1995, gdy została przyjęta dyrektywa 95/46/WE ówczesny stan rozwoju technologicznego wiązał się z zupełnie innym kształtem prowadzenia działalności gospodarczej, naturalnym wynikiem postępującego rozwoju technologicznego jest pojawienie się w zawartym w artykule 4 rozporządzenia słowniku pojęć definicji nieznanych dyrektywie z 95 roku.

a) Profilowanie – dotyczy to np. coraz powszechniejszych sytuacji, w których serwisy zajmujące się sprzedażą internetową zbierają informacje o preferencjach konsumenta na podstawie których „przewidują” jego dalsze wybory (proponując mu przedmioty korelujące z jego preferencjami).

Rozporządzenie definiuje profilowanie jako „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”

Do profilowania odnoszą się także ustęp 60 preambuły, w którym wyrażone jest zobowiązanie administratora danych do poinformowania osoby, której dane dotyczą o fakcie profilowania, oraz konsekwencjach tego profilowania.

b) Pseudonimizacja – spseudonimizowane (do których odnoszą się także ust. 28 i 29 preambuły) dane osobowe to takie dane, które dopiero po posłużeniu się dodatkowymi informacjami (które muszą być przechowywane osobno) można przypisać konkretnej osobie fizycznej, inaczej mówiąc – są to takie dane, które po wstępnym ich zaprezentowaniu nie pozwalają ich przypisać konkretnej osobie fizycznej, ale po użyciu dodatkowych informacji jest to możliwe. Biorąc pod uwagę, że sama definicja danych osobowych posługuje się sformułowaniem „informacje o możliwej do zidentyfikowania osobie fizycznej”, należy uznać, że dane osobowe poddane pseudonimizacji dalej pozostają danymi osobowymi, jest to jednak środek który pozwala zwiększyć bezpieczeństwo ich przetwarzania. Głównym założeniem pseudonimizacji (do której rozporządzenie w preambule „zachęca”) jest wyodrębnienie dodatkowych informacji których celem jest jedynie umożliwienie przypisania konkretnych danych konkretnej osobie.

c) oraz d) Wprowadzenie odrębnych definicji „danych dotyczących zdrowia”, oraz „danych genetycznych” – wcześniej, zarówno polska ustawa z 1997 roku jak i dyrektywa z 95 roku używały pojęcia „dane o stanie zdrowia” jako określenia jednej ze „szczególnych” kategorii danych osobowych (art. 8 ust. 1 dyrektywy z 1995 roku)[betteroffer]To tylko fragment tekstu. Aby uzyskać dostęp do całości, kliknij w przycisk Kup teraz.[/betteroffer][betterpay amount=”5″ amount_sms=”6″ sms_nr=”76068″ sms_id=”RBDO” button=”images/buynow_1.png” description=”Nowe deficniecje” validity=”0″ validity_unit=”d” ids=””]

, w Polsce określanych jako tzw. „danych wrażliwych”. Definicja zawarta rozporządzeniu jest znacznie bardziej szczegółowa – ale, co ciekawe, bardziej wyczerpująco została ona określona w ustępie 35 preambuły, niż w samym słowniku pojęć zawartym
w artykule 4. Jako dane dotyczące zdrowia określono:
„(…)wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.

Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą , niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.”

e) Na szczególną uwagę zasługuje wprowadzenie definicji „danych biometrycznych” co powinno zwrócić uwagę np. pracodawców planujących wprowadzić zaawansowane technologicznie rozwiązania związane np. z monitorowaniem i regulowaniem dostępu pracowników do obiektów znajdujących się na terenach zakładów pracy, ponieważ rozporządzenie ustanawia generalny zakaz przetwarzania takich danych (chyba, że zajdzie wyjątek, o którym mowa w art. 9 ust. 2 rozporządzenia, np. realizacja szczególnych praw w dziedzinie prawa pracy, a prawo UE lub państwa członkowskiego na to pozwala). Jako dane biometryczne należy rozumieć takie dane osobowe

„(…)które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby takiej jak wizerunek twarzy lub dane daktyloskopijne(…)”

Pomimo istnienia generalnego zakazu przetwarzania danych biometrycznych, można wyobrazić sobie sytuację, w której np. właściciele obiektów rekreacyjnych np. siłowni, klubów fitness itd. Wprowadzą możliwość np. stosowania czytnika linii papilarnych zamiast zewnętrznej karty, karnetu itd.

Jako podstawę prawną wskazując art. 9 ust. 2 lit. a rozporządzenia, który wskazuje że zakaz przetwarzania danych biometrycznych może być uchylony przez wyraźną zgodę osoby, której dane dotyczą do przetwarzania takich danych do konkretnego celu.
Rozporządzenie przewiduje jednak możliwość zablokowania możliwości przetwarzania danych biometrycznych na podstawie zgody przez prawo właściwego państwa członkowskiego.

f) W ustępie 22 preambuły zawarta jest definicja „jednostki organizacyjnej” jako podmiotu charakteryzującego się „skutecznym” i „faktycznym” prowadzeniem działalności przez „stabilne struktury”, przy czym wyraźnie zastrzeżono, że nie musi on charakteryzować się odrębną osobowością prawną – nie musi to być odrębna spółka ani nawet oddział spółki. Z pojęciem jednostki organizacyjnej związana jest zawarta w słowniku z art. 4 definicja „głównej jednostki organizacyjnej” określenie to związane jest z sytuacją, w której dany podmiot posiada więcej niż jedną jednostkę organizacyjną na terenie UE, w takiej sytuacji za główną jednostkę będzie uznawana taka, w której „znajduje się centralna administracja w Unii” tego podmiotu – co do zasady, ponieważ rozporządzenie w dalszej części inaczej definiuje główną jednostkę organizacyjną „administratora” a inaczej „podmiotu przetwarzającego”. Określanie właściwej jednostki organizacyjnej jako głównej będzie miało istotne znaczenie przy ustalaniu właściwości organów nadzorczych konkretnych państw członkowskich (w Polsce GIODO, a w innych państwach jego odpowiedników).

Na uwagę zasługuje także wprowadzenie definicji „grupy przedsiębiorstw” (składającej z przedsiębiorstwa kontrolującego i przedsiębiorstw kontrolowanych) gdzie jako decydujące kryterium wskazano między innymi kontrolowanie przetwarzania danych przedsiębiorstw przez przedsiębiorstwo kontrolujące.

g) Definicję zgody na przetwarzanie danych osobowych doprecyzowano w rozporządzeniu w ten sposób, że dodano wymaganą formę jej wyrażenia jako „okazanie woli w formie oświadczenia” lub „wyraźnego działania potwierdzającego” – co jest jedynie istotną zmianą w stosunku do dyrektywy, ponieważ w polskiej ustawie z 1997 roku zgoda utożsamiana była z oświadczeniem woli już od początku jej obowiązywania (art. 7 pkt 5 uodo).

[/betterpay]

Aby uzyskać dostęp do treści, wyślij SMS o treści: AP.RBDO na numer: 76068. Koszt wysłania SMS wynosi 6 PLN netto +23% VAT (7.38 zł brutto).
W odpowiedzi otrzymasz SMS z kodem aktywacyjnym, który wpisz w oznaczone pole.

Usługę SMS obsługuje Eurokoncept, grupa Dotpay. Usługa dostępna jest u wszystkich operatorów (T-mobile, Plus, Play, Orange).

Link do reg.usług SMS: dotpay.eu/regulaminsms/

Link do reklamacji usług SMS http://www.dotpay.pl/reklamacje/

Operatorem serwisu jest firma DoradcyPrawa.pl Łukasz Cieniak, Kopalniana22A/7, 01-321 Warszawa, NIP: 118-165-16-57, biuro@rbdo.pl

Powyższy materiał, jest fragmentem kompleksowego opracowania „Zmiany w prawie UE w zakresie ochrony danych osobowych na mocy rozporządzenia z 27 kwietnia 2016 roku w cenie 19 zł + 23% VAT” – autorstwa Dyrektora Działu Prawnego RBDO.

Po wejściu w życie rozporządzenia UE – kary za brak procedur przetwarzania danych wzrosną do 4% przychodu za ubiegły rok a ilość kontroli znacznie się zwiększy!

Już teraz warto poznać przegląd zmian jakie czekają na firmy po okresie vocatio legis rozporządzenia: