W związku ze zbliżającym się terminem rozpoczęcia stosowania Ogólnego rozporządzenia o ochronie danych specjalnie powołany zespół Grupy Roboczej art. 29 (zrzeszający europejskie organy i rzeczników ds. ochrony danych) wydał wytyczne, które mają ułatwić i usprawnić przygotowania podmiotów do nowych przepisów. Wytyczne obejmują kwestie prawa do przenoszenia danych, inspektorów ochrony danych (dalej: DPO) oraz wiodącego organu nadzorczego.

Generalny Inspektor Ochrony Danych Osobowych zainicjował konsultacje, które zakończyły się 15 lutego 2017 r.

Podmioty, które wzięły udział w konsultacjach jasno wskazały, iż pomimo wydania wytycznych nadal wiele norm z rozporządzenia wymaga doprecyzowania. Wiele uwag zostało zaadresowanych pod kątem wytycznych dotyczących inspektorów ochrony danych. W toku konsultacji pojawiły się głosy, iż należy doprecyzować, z jaką częstotliwością powinna być sporządzana przez podmiot analiza dotycząca konieczności/braku konieczności powołania DPO. Samo pojęcie „głównej działalności” zostało zinterpretowane w wytycznych zbyt szeroko, co zdaniem głosów pojawiających się w toku konsultacji spowoduje, iż obowiązek wyznaczenia własnego DPO mógłby objąć zbyt dużą ilość podmiotów.

reklama

Respondenci uznali za problematyczną kwestię wyznaczania DPO dla grupy przedsiębiorstw. Zarzuca się mianowicie, iż w Wytycznych nie został określony dokładny sposób jego powoływania. Jest to kwestia tego, czy ma być on wyznaczany tylko przez podmiot nadrzędny, czy udział w wyznaczeniu ma mieć każdy z podmiotów. Doprecyzowania wymaga również sformułowanie „grupa podmiotów” – jest to kwestia wyznaczenia, dla jakiej liczby podmiotów może być wskazany jeden inspektor ochrony danych. Nacisk w trakcie konsultacji położony był również na doprecyzowanie przepisu odnoszącego się do kwalifikacji zawodowych inspektora oraz przymiotu niezależności. Wyjaśnienia wymaga również obowiązek zachowania tajemnicy oraz poufności – powinno się określić, czym różnią się te pojęcia, jaki zakres obejmują oraz czy istnieją wyjątki od ich stosowania.

Podmioty, które wzięły udział w konsultacjach podniosły również, iż należy doprecyzować niektóre kompetencje, jakie na mocy rozporządzenia posiada inspektor ochrony danych. Chodzi tu o takie obowiązki, jak informowanie podmiotu o zobowiązaniach, jakie nakłada rozporządzenie, współpracę z organem nadzorczym oraz kwestię monitorowania w ramach wiążących reguł korporacyjnych. Wymagają one uszczegółowienia, co umożliwi ich wdrożenie. Rozwinięcia wymaga również kwestia powołania ewentualnego zespołu DPO. W tym przypadku należałoby określić sprawię odpowiedzialności oraz wymagań stawianych członkom takiego zespołu.

Przedmiotem krytyki była również zbyt szeroka interpretacja pojęcia danych osobowych w kontekście prawa do przenoszenia danych. W wytycznych prawem tym objęte są również takie informacje, jak lista zakupów, czy lista muzyczna użytkownika. Zdecydowany głos sprzeciwu pochodził przede wszystkim od przedsiębiorców telekomunikacyjnych i handlowych. W ich ocenie tak szeroki zakres danych objęty prawem do przenoszenia może naruszyć tajemnicę telekomunikacyjną i handlową oraz znacznie przekracza definicję zawartą w art. 4 pkt. 1 rozporządzenia.

Duży nacisk położono w trakcie konsultacji na ograniczenie zakresu danych, które prawo do przenoszenia obejmuje do tej kategorii danych, które osoba udostępniła administratorowi. Niewłaściwie, zdaniem respondentów, twierdzi się, iż prawo do przenoszenia obejmuje również dane uzyskane na podstawie np. aktywności użytkownika, czy  w związku z korzystaniem z usługi.  Zwraca się uwagę, że należy doprecyzować kiedy i w jaki sposób należy informować użytkowników o tym prawie. W przypadku rozszerzenia wykładni przenoszalności danych na bazy danych zawierające informacje o osobach trzecich sprecyzowania wymaga kwestia poinformowania ich o przetwarzaniu ich danych.

reklama

Podmioty biorące udział w konsultacjach zwróciły uwagę również na konieczność doprecyzowania, jakie środki bezpieczeństwa powinien podjąć administrator przesyłający dane do drugiego administratora celem przeprowadzenia bezpiecznej transmisji danych. Powinno zostać określone postępowanie w przypadkach, kiedy obaj administratorzy używają środków o różnych stopniach zabezpieczenia.

Warto zaznaczyć, iż przedmiotem konsultacji były również pojęcia „przedsiębiorstwa” oraz „grupy przedsiębiorstw” – należy doprecyzować te pojęcia i określić ich wzajemne relacje. Problematyczny jest w tym kontekście fakt, iż w rozumieniu Traktatu o funkcjonowaniu Unii Europejskiej przedsiębiorstwo oznacza również grupę kapitałową.

Kontrowersje w trakcie konsultacji wzbudziła również kwestia wyznaczenia organu wiodącego. Chodzi o kwestię, czy procedura wyznaczania ma zastosowanie również do przypadków, gdzie np. jedynie spółka matka jest administratorem i decyduje o przetwarzaniu danych. Należy doprecyzować również pojęcie „głównych czynności przetwarzania”. Należy wskazać postępowanie, które pozwoli określić, jakie prawo materialne oraz procedura będzie właściwa dla postępowania przed danym organem wiodącym.

reklama

Źródło: http://www.giodo.gov.pl/1520281/id_art/9826/j/pl/?utm_content=buffer14210&utm_medium=social&utm_source=linkedin.com&utm_campaign=buffer

Przeczytaj również: