Słownik pojęć
Ochrona prywatności w sieci
Ochrona danych już w fazie projektowania oraz ochrona danych jako opcja domyślna (art. 23 projektu Rozporządzenia) – projekt rozporządzenia promuje zasady „privacy by design” i „privacy by default”, co oznacza, że ustawienia prywatności w urządzeniach, produktach lub usługach mają być nakierowane na maksymalną ochronę użytkownika. Dzięki temu, użytkownicy nie będą musieli przedzierać się przez gąszcz skomplikowanych ustawień, aby jak najlepiej chronić i kontrolować informacje na swój temat. Do obywatela będzie należała decyzja czy i jakie dane chce udostępnić.
Podejście oparte na ryzyku (ang. risk based approach) – koncepcja dyskutowana obecnie w Radzie Unii Europejskiej, zgodnie z którą zakres obciążeń dotyczących ochrony danych osobowych spoczywających na administratorze danych lub podmiocie, zależałby od ryzyka, jakie może powstać w związku z przetwarzaniem tych danych. Zgodnie z tą koncepcją, im mniej potencjalnych niebezpieczeństw dla danych osobowych, tym mniej obowiązków spoczywałoby na podmiocie administrującym lub przetwarzającym dane. Takie podejście może w szczególności ograniczyć obciążenia małych i średnich przedsiębiorców przetwarzających dane osobowe np. tylko w celu realizacji zawieranych umów, bez szczególnego zagrożenia dla tych danych.
Prawo do bycia zapomnianym (art. 17 ust. 2 projektu Rozporządzenia) – dające obywatelowi, przy spełnieniu określonych warunków, prawo do usunięcia swoich danych z sieci. Obecne brzmienie tego przepisu nakłada na administratora przetwarzającego dane osobowe, w przypadku otrzymania odpowiedniego żądania obywatela, obowiązek usunięcia danych, poinformowania osób trzecich przetwarzających te dane o tym żądaniu oraz usunięcia wszelkich linków do danych, kopii lub replikacji tych danych osobowych.To prawo miałoby pozwalać obywatelowi chronić swoje dane, ale może być trudne lub niemożliwe do wyegzekwowania w realizacji (stanowisko Fundacji Panoptykon i PKPP Lewiatan). Usunięcie danych osobowych obywatela upublicznionych już w sieci jest bowiem techniczne skomplikowane i kosztowne do wprowadzenia. Proponowana treść przepisu nie uwzględnia też specyfiki różnych branż (np. bankowej), gdzie prawo do bycia zapomnianym może powodować usunięcie danych historycznych obywatela, niezbędnych np. do oceny jego wiarygodności kredytowej, co spowoduje poważne zagrożenie udzielenia kredytu osobom „bez historii kredytowej”. Dlatego rozważana jest modyfikacja tego zapisu.
Profilowanie (art. 20 projektu Rozporządzenia) – przepis dotyczący profilowania jest jednym z kluczowych elementów projektowanego rozporządzenia o ochronie danych. Projekt Komisji Europejskiej dopuszcza profilowanie opierające się na automatycznym przetwarzaniu danych jedynie w ściśle określonych sytuacjach: w trakcie zawierania lub wykonania umowy, na podstawie przepisów prawa lub po uzyskaniu zgody obywatela (tzw. podmiotu danych). Przepis wprowadza również obowiązek poinformowania o tym osoby, która podlega profilowaniu. Profilowanie co do zasady polega m.in. na zbieraniu danych o obywatelu z różnych źródeł. Profil to obraz obywatela w oczach firm, do którego dopasowywane są reklamy produktów i usług. Dzięki profilowaniu reklamy i same usługi mogą być „szyte na miarę”. Profilowanie może więc przynieść obywatelom wiele korzyści: na podstawie profili są podejmowane ważne dla nas decyzje (np. o przyznaniu ubezpieczenia lub kredytu). Z drugiej strony profilowanie rodzi obawy, że użytkownik może otrzymywać wyłącznie informacje odpowiadające jego dotychczasowym zainteresowaniom (jego profilowi), lub – gdy profilowanie okaże się niewłaściwe – obywatelowi przypisane zostaną preferencje, które go nie dotyczą.
Samoregulacja – projektowane Rozporządzenie daje administratorom i podmiotom przetwarzającym dane pewną dowolność co do środków, za pomocą których wdrożą przepisy. Na szczególną uwagę zasługują tu narzędzia umożliwiające przekazywanie danych osobowych do państw trzecich: standardowe klauzule umowne (zatwierdzone przez Komisję Europejską klauzule, których zastosowanie w umowie o przekazywaniu danych gwarantuje odpowiedni poziom ochrony danych – art. 42 projektu Rozporządzenia) i wiążące reguły korporacyjne (zatwierdzone przez organ ochrony danych reguły, których wdrożenie przez daną korporację sprawia, że cała międzynarodowa korporacja jest traktowana jako bezpieczny obszar przetwarzania danych – art. 43 projektu Rozporządzenia). Rozporządzenie wspiera także tworzenie narzędzi samoregulacji dla poszczególnych sektorów rynku, m.in. kodeksów dobrych praktyk i mechanizmów certyfikacji (art. 38 i 39 projektu Rozporządzenia).
System „one stop shop” (art. 51 Rozporządzenia) – zgodnie z tym rozwiązaniem w przypadku, gdy administrator prowadzi działalność w kilku państwach UE, podlega nadzorowi tylko jednego inspektora ochrony danych osobowych – w państwie gdzie znajduje się jego główna siedziba. Dotychczas tacy przedsiębiorcy w każdym państwie UE odpowiadali przed innym organem i musieli spełniać warunki przewidziane w prawie każdego państwa, w którym prowadzili działalność.
Uzasadniony (słuszny) interes administratora danych – (art. 6 projektu Rozporządzenia) – samodzielna podstawa umożliwiająca przetwarzanie danych osobowych przez ich administratora, gdy nie może on powołać się na jedną z pozostałych podstaw prawnych przetwarzania danych, takich jak np. zgoda, wykonanie umowy czy przepis prawa. Aby administrator mógł powołać się na tę podstawę, musi udowodnić, że istnieje potrzeba przetwarzania danych w zakresie niezbędnym do osiągnięcia prawnie dozwolonego celu. Powołanie się na uzasadniony interes administratora nie można mieć miejsca w sytuacji, gdy nadrzędny charakter mają interes lub podstawowe prawa i wolności obywatela, w szczególności, gdy podmiotem danych jest dziecko. Podstawa ta istnieje już w obowiązującej ustawie o ochronie danych osobowych i jako przykłady prawnie usprawiedliwionego interesu wymienione są: marketing własnych produktów administratora i dochodzenie roszczeń z prowadzonej działalności. Obywatel będzie mógł w każdej chwili sprzeciwić się przetwarzaniu jego danych na tej podstawie, a na administratora ma zostać nałożony obowiązek szczegółowego udokumentowania, że spełnił warunki i poinformował obywatela o takim przetwarzaniu.
Wyjątek domowy (art. 2 projektu Rozporządzenia) – wyłącza spod zakresu obowiązywania Rozporządzenia przetwarzanie danych przez obywateli w ramach własnych działań o charakterze osobistym. Dzięki niemu obywatele mogą mieć pewność, że działania, które podejmują w celach nie związanych z ich działalnością zawodową czy publiczną (np. aktywność na portalach społecznościowych, gromadzenie kontaktów w telefonie) nie będą podlegać przepisom rozporządzenia.
Zgoda na przetwarzanie danych (art. 4 pkt 8 projektu Rozporządzenia) – projekt rozporządzenia wzmacnia znaczenie zgody, jako podstawy do przetwarzania danych. Według projektu rozporządzenia zgoda obywatela musi być udzielana wyraźnie, tzn. w postaci jednoznacznego oświadczenia lub działania potwierdzającego istnienie zgody danej osoby. Zgoda musi być też dobrowolna. Z jednej strony zgoda powinna być wyrażona w sposób wyraźny, nie powinna być milcząca czy dorozumiana, a także nie powinna stanowić podstawy przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych a administratorem. Jednak praktyczne stosowanie tego przepisu może być uciążliwe dla internautów, zmuszonych do wyrażania zgody przy każdorazowym skorzystaniu z nowej usługi. W związku z tym przedstawiciele biznesu opowiadają się za wprowadzeniem tzw. zgody kontekstowej, uzyskiwanej w oparciu o faktyczne działania podmiotu danych, a nie jedynie jego wyraźne oświadczenie.
- Ostatnia modyfikacja:
- 31.08.2017 10:45 Joanna Marczak-Redecka
- Pierwsza publikacja:
- 22.11.2017 13:18 Joanna Marczak-Redecka