Ochrona danych osobowych

Dyrektywa 95/46/WE stanowi na szczeblu europejskim tekst referencyjny w dziedzinie ochrony danych osobowych. Ustanawia ona ramy prawne mające pozwolić na pogodzenie wysokiego poziomu ochrony prywatności osób ze swobodnym przepływem danych osobowych w Unii Europejskiej (UE). W tym celu dyrektywa ustala restrykcyjne ograniczenia w zakresie gromadzenia i wykorzystywana danych osobowych. Wymaga ona również utworzenia w każdym państwie członkowskim krajowego niezależnego organu odpowiedzialnego za nadzór wszelkich czynności związanych z przetwarzaniem danych osobowych.

AKT

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [Zob. akt(-y) zmieniający(-e)].

STRESZCZENIE

Niniejsza dyrektywa dotyczy danych przetwarzanych za pomocą środków automatycznych (na przykład informatycznych baz danych klientów), jak również danych zawartych lub mających znaleźć się w niezautomatyzowanych archiwach (tradycyjne dokumenty papierowe).

Dyrektywa nie obejmuje przetwarzania danych:

• przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze,
• w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa.

Dyrektywa ma na celu chronić podstawowe prawa i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych, ustanawiając kluczowe kryteria legalności przetwarzania danych oraz zasady dotyczące jakości danych.

Przetwarzanie danych jest zgodne z prawem tylko wówczas gdy:

• osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę, lub
• przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą, lub
• przetwarzanie danych jest konieczne dla wykonania zobowiązaniea prawnego, któremu administrator danych podlega, lub
• przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osób, których dane dotyczą, lub
• przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej, przed którą ujawnia się dane, lub
• przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę.

Zasady dotyczące jakości danych, które muszą być wdrażane w odniesieniu do wszelkich zgodnych z prawem działań w zakresie przetwarzania danych są następujące:

• dane osobowe powinny być przetwarzane rzetelnie i legalnie oraz gromadzone w określonych, jednoznacznych i legalnych celach. Powinny one także być adekwatne, właściwe i nie wykraczać poza cele, prawidłowe oraz, w razie konieczności, aktualizowane, nie powinny być przechowywane przez czas dłuższy niż to konieczne i wyłącznie do celów, dla których zostały zgromadzone,
• szczególnych kategorii przetwarzania danych: należy zabronić przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego. Przepisy te nie mają zastosowania, na przykład, w przypadku gdy przetwarzanie danych wymagane jest do ochrony żywotnych interesów osoby, której dane dotyczą, lub do celów medycyny prewencyjnej albo diagnostyki medycznej.

Osobie, której dane są przetwarzane, tj. której dane dotyczą, przysługują następujące prawa:

• prawo do uzyskaniainformacji : administrator danych jest zobowiązany przekazać pewne informacje (tożsamości administratora danych, cele przetwarzania danych, odbiorcy danych itp.) osobie, której dotyczą gromadzone dane,
• prawo dostępu tych osób do danych: każda osoba, której dane dotyczą, ma prawo uzyskać od administratora danych,
• prawo sprzeciwu wobec przetwarzania danych: osoba, której dane dotyczą, powinna móc sprzeciwić się w uzasadnionych przypadkach przetwarzaniu danych, które jej dotyczą. Osoba ta powinna także móc dokonać sprzeciwu, na wniosek i bez opłaty, wobec przetwarzania dotyczących jej danych osobowych, dla potrzeb bezpośredniego obrotu. Oprócz tego powinna zostać poinformowana przed ujawnieniem danych osobowych osobom trzecim dla potrzeb bezpośredniego obrotu, jak również dysponuje prawem skorzystania ze sprzeciwu wobec ujawniania tychże danych,

Inne ważne aspekty przetwarzania danych dotyczą:

• wyłączeń i ograniczeń dotyczących praw osoby, której dane dotyczą: zasady związane z jakością danych, informowaniem osoby, której dane dotyczą, z prawem dostępu oraz upublicznianiem przetwarzanych danych mogą zostać ograniczone w swoim zakresie, aby zagwarantować, między innymi, bezpieczeństwo narodowe, obronność, bezpieczeństwo publiczne, prowadzenie czynności w sprawach karnych, ważny interes gospodarczy albo finansowy państwa członkowskiego lub UE, tudzież ochronę osoby, której dane dotyczą,
• poufności i bezpieczeństwa przetwarzania danych: żadna osoba działająca z upoważnienia administratora danych lub przetwarzającego, w tym samego przetwarzającego, który ma dostęp do danych osobowych, nie może przetwarzać ich bez polecenia administratora danych. Ponadto administrator danych powinien wprowadzić odpowiednie środki w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem albo przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem,
• zawiadamiania organu nadzorczego o przetwarzaniu: administrator danych jest zobowiązany zawiadomić krajowy organ nadzorczy przed przystąpieniem do przetwarzania danych. Po powiadomieniu organ nadzorczy dokonuje kontroli wstępnej ewentualnego ryzyka w związku z prawami i swobodami osób, których dane dotyczą. Należy zadbać także o podawanie do wiadomości publicznej operacji przetwarzania danych, a organ nadzorczy powinien prowadzić rejestr zgłoszonych operacji przetwarzania danych.

Każda osoba powinna móc skorzystać ze środków sądowych w razie naruszenia praw, które jej przysługują w ramach przepisów krajowych dotyczących przedmiotowego przetwarzania danych. Ponadto osobom, które poniosły szkodę wskutek niezgodnego z prawem przetwarzania danych osobowych, przysługuje odszkodowanie od administratora danych.

Przekazywanie danych osobowych z państwa członkowskiego do państwa trzeciego o odpowiednim stopniu ochrony danych jest dozwolone. Jednak ponieważ przekazywanie danych nie może mieć miejsca, gdy nie zostanie zagwarantowany odpowiedni stopień ochrony danych, istnieje szereg wyjątków od tej reguły, które wymieniono w dyrektywie, np. gdy osoba, której dane dotyczą, udzieli zgody na ich przekazanie, gdy przekazanie jest konieczne do realizacji umowy lub gdy jest to konieczne z ważnych względów publicznych, ale także gdy wiążące reguły korporacyjne lub klauzule umowne zostaną dozwolone przez dane państwo członkowskie.

Dyrektywa zachęca do opracowywania krajowych i wspólnotowych kodeksów postępowania, mających przyczynić się do prawidłowego stosowania przepisów krajowych i wspólnotowych.

Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialny za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.

Powołuje się grupę roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych. W skład grupy roboczej wchodzą przedstawiciele organów nadzorczych, powołanych przez każde państwo członkowskie, oraz przedstawiciel organów kontrolnych instytucji i organów wspólnotowych, a także przedstawiciel Komisji.

AKTY POWIĄZANE

SPRAWOZDANIE Z WYKONANIA

Komunikat Komisji dla Parlamentu Europejskiego i Rady z dnia 7 marca 2007 r., zatytułowany: „Kontynuacja programu prac na rzecz skuteczniejszego wdrażania dyrektywy o ochronie danych” [ COM(2007) 87 wersja ostateczna – nieopublikowany w Dzienniku Urzędowym].

Niniejszy komunikat podsumował dotychczasowe postępy w realizacji programu pracy na rzecz skuteczniejszego wdrażania dyrektywy o ochronie danych z pierwszego sprawozdania z wykonania dyrektywy 95/46/WE. Komisja poinformowała o postępach w wykonaniu dyrektywy, jako że wszystkie państwa członkowskie dokonały już jej transpozycji. Uściśliła także, że nie ma potrzeby zmiany dyrektywy.

Dodała, że:

• będzie kontynuowała prace z państwami członkowskimi i, w razie potrzeby, rozpocznie oficjalne postępowania o naruszenie przepisów,
• przygotuje komunikat dokonujący wykładni niektórych przepisów dyrektywy,
• będzie kontynuować wdrażanie programu prac,
• przedstawi, w razie znaczących zmian technologicznych w danej dziedzinie, prawodawstwo sektorowe na szczeblu UE,
• będzie kontynuować współpracę z partnerami zewnętrznymi, w szczególności ze Stanami Zjednoczonymi.

Sprawozdanie Komisji z dnia 15 maja 2003 r. zatytułowane „Pierwsze sprawozdanie na temat wykonania dyrektywy dotyczącej ochrony danych osobowych (95/46/WE)” [ COM(2003) 265 wersja ostateczna – nieopublikowane w Dzienniku Urzędowym].

Sprawozdanie opisało w szczególności wyniki konsultacji prowadzonych przez Komisję w ramach oceny dyrektywy 95/46/WE przez rządy, instytucje, zrzeszenia firm, stowarzyszenia konsumentów i obywateli. Wyniki konsultacji pokazały, że niewielu uczestników zgłosiło potrzebę dokonania rewizji dyrektywy. Ponadto, po konsultacjach z państwami członkowskimi, Komisja odnotowała, że większość z nich, jak również krajowe organy nadzorcze, nie widzą na obecnym etapie konieczności zmiany dyrektywy.

Pomimo opóźnień i luk zauważonych w wykonaniu dyrektywy spełnia ona swój główny cel, który polega na usuwaniu przeszkód w swobodnym przepływie danych osobowych pomiędzy państwami członkowskimi. Komisja uznała ponadto, że osiągnięto cel polegający na zagwarantowaniu wysokiego poziomu ochrony na terytorium Wspólnoty, jako że dyrektywa wyznaczyła normy ochrony danych osobowych zaliczane do najlepszych na świecie.

Nie udało się jednak równie skutecznie osiągnąć innych celów polityki rynku wewnętrznego. Prawodawstwo w dziedzinie ochrony danych nadal znacznie różni się w poszczególnych państwach członkowskich. Takie różnice przeszkadzają organizacjom międzynarodowym w definiowaniu polityk ogólnoeuropejskich w dziedzinie ochrony danych. Komisja ogłosiła zatem, że podejmie wszelkie niezbędne kroki, by zapobiec takiej sytuacji i uniknąć w miarę możliwości wstępowania na drogę formalnego postępowania.

Jeśli chodzi zaś o ogólny poziom poszanowania prawodawstwa na temat ochrony danych w UE, odnotowano trzy trudności:

• brak zasobów przydzielonych na wykonanie dyrektywy,
• bardzo nierówne poszanowanie przepisów ze strony administratorów zajmujących się przetwarzaniem danych,
• najwyraźniej niski poziom znajomości swoich praw ze strony osób, których dotyczą dane, co może być przyczyną zjawiska opisanego powyżej.

Aby zapewnić skuteczniejsze stosowanie dyrektywy w sprawie ochrony danych osobowych, Komisja przyjęła program prac zawierający pewną liczbę działań, które należało wykonać pomiędzy przyjęciem niniejszego sprawozdania a końcem 2004 r. Działania te obejmują następujące inicjatywy:

• dyskusje z państwami członkowskimi oraz władzami odpowiedzialnymi za ochronę danych osobowych na temat zmian, które należy wprowadzić do ich krajowego prawodawstwa, by stało się ono w pełni zgodne z wymaganiami dyrektywy,
• zaangażowanie państw kandydujących w wysiłki zmierzające do uzyskania skuteczniejszego i bardziej jednorodnego zastosowania dyrektywy,
• poprawę notyfikacji wszystkich aktów prawnych dokonujących transpozycji dyrektywy,
• uproszczenie warunków określających międzynarodowe przesyłanie danych,
• promocję technologii sprzyjających ochronie prywatności,
• promowanie samoregulowania oraz europejskich kodeksów postępowania.

DYREKTYWA O PRYWATNOŚCI I ŁĄCZNOŚCI ELEKTRONICZNEJ

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) [Dz.U. L 201 z 31 lipca 2002].

Ta nowa dyrektywa została przyjęta w 2002 roku wraz z nowym instrumentem prawnym, który ma regulować sektor łączności elektronicznej. Zawiera ona przepisy dotyczące pewnej liczby tematów, mniej lub bardziej drażliwych, takich jak gromadzenie danych o połączeniach przez państwa członkowskie w celach nadzoru policyjnego (przechowywanie danych), przesyłanie niezamówionych wiadomości elektronicznych, korzystanie z narzędzi poświadczających połączenie (tzw. „cookies”) oraz umieszczanie danych osobowych w publicznych spisach danych teleadresowych.

Rozporządzenie (UE) nr 611/2013 zawiera zasady dotyczące powiadamianiu o przypadkach naruszenia danych osobowych przez dostawców publicznie dostępnych usług łączności elektronicznej w przypadku gdy dane osobowe ich klientów zostaną zgubione, skradzione lub w inny sposób naruszone.

W razie nastąpienia naruszenia danych osobowych dostawcy są zobowiązani, na mocy dyrektywy 2002/58/WE, do powiadomienia o zaistniałym fakcie właściwych organów krajowych, a także, w określonych przypadkach, abonentów lub osoby fizyczne, których to dotyczy. Rozporządzenie (UE) 611/2013 wprowadza „techniczne środki wykonawcze” w celu wyjaśnienia, w jaki sposób należy przestrzegać tych zobowiązań.

Dostawcy powinni m. in.:

• powiadomić właściwy organ krajowy o wszystkich przypadkach naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, w celu zmaksymalizowania możliwości na ograniczenie naruszenia,
• uwzględnić typ danych osobowych, jakie zostały naruszone, oceniając, czy należy powiadomić abonentów i osoby fizyczne, np. czy dane związane są z informacjami finansowymi, pocztą elektroniczną, internetowymi plikami rejestru, rejestrami przeszukiwanych stron internetowych itp.,
• dostarczyć właściwemu organowi krajowemu i/lub abonentowi lub osobie fizycznej, której sprawa dotyczy, szczegółowe informacje na temat zdarzenia, tj. rodzaju danych, których dotyczy naruszenie, oraz środków, jakie podjęto, by zaradzić skutkom zdarzenia.

STANDARDOWE KLAUZULE UMOWNE DOTYCZĄCE PRZEKAZYWANIA DANYCH DO PAŃSTW TRZECICH

Decyzja 2004/915/WE z dnia 27 grudnia 2004 r., zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich [Dz.U. L 385 z 29.12.2004].

Komisja Europejska zatwierdziła nowe standardowe klauzule umowne, które przedsiębiorstwa mogą stosować, by zapewnić odpowiednie gwarancje przy przekazywaniu danych osobowych z UE do państw trzecich. Nowe klauzule dołączą do tych, które już istnieją i zostały wprowadzone decyzją Komisji z czerwca 2001 r. (zob. poniżej).

Decyzja 2001/497/WE Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na mocy dyrektywy 95/46/WE [Dz.U. L 181 z 4.7.2001].

Decyzja ta określa standardowe klauzule umowne, które zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych z UE do państw trzecich. Decyzja obliguje państwa członkowskie do uznawania, że firmy lub organizacje, które stosują takie standardowe klauzule w umowach dotyczących przekazywania danych osobowych do państw trzecich zapewniają „odpowiedni stopień ochrony” danych.

Decyzja Komisji 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady [Dz.U. L 39 z 12.02.2010].

Decyzje Komisji potwierdzające odpowiedni poziom ochrony danych osobowych w kilku państwach trzecich na podstawie art. 25 ust. 6: Komisja dotychczas uznała następujące państwa za gwarantujące odpowiednią ochronę danych osobowych: Andora, Argentyna, Australia, Kanada (organizacje komercyjne), Szwajcaria, Wyspy Owcze, Guernsey, Izrael, Wyspa Man, Jersey, Nowa Zelandia, Urugwaj oraz zasady bezpiecznego transferu danych osobowych Departamentu Handlu USA.

OCHRONA DANYCH PRZEZ INSTYTUCJE I ORGANY WSPÓLNOTY

Rozporządzenie 45/2001/WE Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie danych [Dz.U. L 8 z 12.01.2001].

To rozporządzenie ma na celu ochronę danych osobowych w instytucjach i organach Unii Europejskiej. Tekst przewiduje:

• przepisy gwarantujące wysoki poziom ochrony danych osobowych przetwarzanych przez instytucje i organy wspólnotowe,
• ustanowienie niezależnego organu nadzoru mającego kontrolować stosowanie tych przepisów.

Ostatnia aktualizacja: 08.03.2014