Przepisy rozporządzenia nie będą stosowane wobec instytucji i organów Unii Europejskiej. Zwolnione z ich stosowania będą też państwa członkowskie, gdy wykorzystywanie danych osobowych będzie wiązało się z bezpieczeństwem narodowym, obronnością, bezpieczeństwem publicznym, interesem ekonomicznym lub fiskalnym, zdrowiem publicznym, opieką społeczną lub innym ważnym interesem publicznym. Przepisów rozporządzenia nie będą musiały stosować też osoby fizyczne w ramach działalności osobistej lub domowej oraz właściwe organy powołane do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, ich wykrywania lub ścigania, wykonywania sankcji karnych lub ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
9 najważniejszych propozycji Rady UE do unijnej reformy ochrony danych
W ostatnich dniach Rada Unii Europejskiej przyjęła ogólne podejście do rozporządzenia o ochronie danych. Dzięki temu będą mogły rozpocząć się negocjacje z Parlamentem Europejskim i Komisją Europejską odnośnie tego aktu. Przeczytaj szczegółową analizę propozycji Rady UE.
1. Wyłączenia w stosowaniu rozporządzenia
2. ADO nie musi mieć siedziby w UE
Przepisy rozporządzenia będą stosowane wobec podmiotów, które mają siedzibę na terenie UE. Jednak także ADO, który nie ma siedziby w Unii, ale przetwarza dane osobowe obywatela UE będzie im podlegał. Będzie tak, jeżeli przetwarzanie wiąże się z:
a) oferowaniem towarów lub usług takim podmiotom danych w Unii – niezależnie od tego, czy wymaga się od tych podmiotów płatności,
b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej.
Także administratorzy niemający siedziby w Unii, ale mającego siedzibę w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo krajowe państwa członkowskiego, będą musieli stosować te przepisy.
3. Kiedy można przetwarzać dane
Przetwarzanie danych osobowych będzie dozwolone, jeśli:
a) podmiot danych udzielił jednoznacznej zgody na przetwarzanie swoich danych osobowych w jednym lub większej liczbie konkretnych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest podmiot danych, lub do podjęcia działań na wniosek podmiotu danych przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów podmiotu danych lub innej osoby;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności podmiotu danych wymagające ochrony danych osobowych, w szczególności gdy podmiotem danych jest dziecko.
Rada UE dopuściła możliwość zmiany celu przetwarzania danych w oparciu o tzw. uzasadniony interes administratora lub „strony trzeciej”
4. Przetwarzanie danych w celach archiwizacyjnych i naukowych
Rada UE uznała, że dalsze przetwarzanie danych osobowych do celów archiwizacyjnych w interesie publicznym lub do celów naukowych, statystycznych lub historycznych nie jest niezgodne z pierwotnymi celami. W tych celach będzie też można przechowywać dane dłużej, niż jest to niezbędne dla pierwotnych celów przetwarzania. Z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności podmiotów danych.
5. Zgoda podmiotów danych
Zgoda według Rady UE powinna być jednoznaczna i wyraźna. Rada dopuszcza, że zgoda może być udzielona w pisemnym oświadczeniu, które dotyczy także innych kwestii. Jednak zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
6. Dane wrażliwe
Nowością odnośnie przetwarzania danych wrażliwych jest możliwość ich wykorzystywania w zasadzie bez ograniczeń, jeśli osoba, której te dane dotyczą, sama je upubliczniła.
7. Prawo do bycia zapomnianym
Obywatele UE będą mieli prawo spowodować, by administrator bez zbędnej zwłoki usunął dane osobowe ich dotyczące, jeżeli dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
8. Kary
Projekt Rady UE zakłada nakładanie kar w wysokości 1 mln euro lub w przypadku przedsiębiorstw 2% całkowitego rocznego obrotu. Tak dotkliwe kary będzie można dostać np. za przetwarzanie danych bez podstawy prawnej lub nie ostrzegają lub nie powiadamiają organu nadzorczego lub podmiotu danych o naruszeniu ochrony danych osobowych.
9. Inspektor ochrony danych
Administrator danych lub podmiot przetwarzający będzie mógł wyznaczyć inspektora ochrony danych osobowych. Grupa przedsiębiorstw będzie mogła wyznaczyć jednego inspektora. Podobnie w powiązanych podmiotach publicznych. Trzeba będzie powiadomić organ nadzorczy o tym, że inspektor został powołany. Do zadań inspektora będzie należało m.in.:
-
informowanie administratora lub podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach związanych z ochroną danych, które na nich spoczywają;
-
monitorowanie przestrzegania niniejszego przepisów o ochronie danych oraz strategii administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych;
-
udzielanie porad na żądanie co do oceny skutków pod kątem ochrony danych oraz monitorowanie jej wykonania;
-
monitorowanie odpowiedzi na wnioski organu nadzorczego oraz – w ramach kompetencji inspektora ochrony danych – współpraca z organem nadzorczym na żądanie tego organu lub z inicjatywy inspektora ochrony danych;
-
pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.
Rada Unii Europejskiej
Zobacz także:
Tagi: dane osobowe
