Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne UE

 

STRESZCZENIE DOKUMENTÓW:

Rozporządzenie (UE) 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne UE i swobodnego przepływu takich danych

JAKIE SĄ CELE ROZPORZĄDZENIA?

Rozporządzenie:

• określa zasady przetwarzania przez instytucje i organy UE, a także przez jej jednostki organizacyjne danych osobowych* osób fizycznych, które znajdują się w ich posiadaniu;
• gwarantuje podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych i prawo do prywatności;
• dostosowuje przepisy obowiązujące instytucje, organy i jednostki organizacyjne UE do przepisów ogólnego rozporządzenia o ochronie danych (RODO) oraz dyrektywy (UE) 2016/680, znanej jako dyrektywa w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych do celów zapobiegania przestępczości, które mają zastosowanie od maja 2018 r.;
• uchyla dotychczas obowiązujące rozporządzenie (WE) nr 45/2001, które zawierało przepisy dotyczące przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne UE, a także pozwala zapewnić, że spełniają one te same restrykcyjne normy, które określono w RODO;
• uchyla decyzję nr 1247/2002/WE dotyczącą Europejskiego Inspektora Ochrony Danych (EIOD).

KLUCZOWE ZAGADNIENIA

Dane osobowe muszą być:

• przetwarzane zgodnie z prawem, w sposób rzetelny i przejrzysty;
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach;
• adekwatne, stosowne i ograniczone do tego, co niezbędne;
• prawidłowe i w razie potrzeby uaktualniane;
• przechowywane w sposób umożliwiający identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne;
• przetwarzane w sposób zapewniający odpowiednią poufność.

Administrator* odpowiada za przestrzeganie wszystkich wymienionych powyżej zasad dotyczących przetwarzania danych i musi być w stanie wykazać fakt ich przestrzegania.

Ponadto dane osobowe:

• mogą być przesyłane do odbiorcy w UE, który nie jest instytucją, organem lub jednostką organizacyjną UE, jedynie pod warunkiem zastosowania dodatkowych zabezpieczeń;
• mogą być przekazywane poza UE jedynie na ściśle określonych warunkach;
• ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych nie mogą być przetwarzane, a ponadto zabrania się, z wyjątkiem szczególnych okoliczności, przetwarzania danych genetycznych i biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby;
• wymagają odpowiedniego zabezpieczenia w razie ich przechowywania w celu archiwizacji w interesie publicznym lub wykorzystania do celów naukowych, historycznych lub statystycznych.

Zapytania o zgodę osoby fizycznej na wykorzystanie jej danych są przedstawiane w zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka. Zgoda ma być wyrażona w drodze jednoznacznej, potwierdzającej czynności dokonanej przez osobę fizyczną.

Osoby fizyczne (zwane w dyrektywie „osobami, których dane dotyczą”) mają prawo do:

• wycofania w dowolnym momencie wyrażonej zgody, przy czym wycofanie zgody musi być równie łatwe jak jej wyrażenie;
• informacji, czy ich dane osobowe są przetwarzane, czy też nie, a także dostępu do tych danych;
• otrzymania sprostowania wszelkich nieprawidłowych danych osobowych;
• usunięcia danych osobowych lub ograniczenia ich przetwarzania, o ile spełnione są określone warunki;
• otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych ich dotyczących, które dostarczyły administratorowi oraz przesłania tych danych osobowych innemu administratorowi;
• sprzeciwu wobec przetwarzania danych osobowych celem zaspokojenia interesu publicznego z uwagi na ich szczególną sytuację;
• niepodlegania decyzji wywołującej dla nich skutki prawne, która opiera się wyłącznie na przetwarzaniu zautomatyzowanym;
• złożenia skargi do EIOD, jeżeli uważają, że ich dane osobowe są przetwarzane w sposób sprzeczny z przepisami rozporządzenia;
• otrzymania odszkodowania za każdą szkodę majątkową lub niemajątkową wyrządzoną działaniem instytucji, organu lub jednostki organizacyjnej UE;
• umocowania organizacji o charakterze niezarobkowym do wniesienia skargi do EIOD.

Administratorzy:

• informują osoby fizyczne, przy użyciu prostego języka oraz z podaniem informacji faktycznych, takich jak dane kontaktowe administratora danych i cele przetwarzania, o fakcie zbierania danych osobowych;
• odpowiadają na wszystkie wnioski składane przez osobę, której dane dotyczą, na przykład w przedmiocie dostępu do danych osobowych lub ich poprawienia, możliwie jak najszybciej i nie później niż w terminie jednego miesiąca;
• stosują odpowiednie środki techniczne i organizacyjne, w tym pseudonimizację*, w celu zapewnienia, aby przetwarzanie danych osobowych odbywało się w sposób zgodny z rozporządzeniem;
• korzystają wyłącznie z usług tych podmiotów przetwarzających dane, które spełniają wymogi UE;
• prowadzą szczegółowy wykaz czynności przetwarzania, za które odpowiadają;
• współpracują z EIOD;
• możliwie jak najszybciej informują EIOD i, w niektórych przypadkach, zainteresowaną osobę fizyczną o każdym przypadku naruszenia danych osobowych;
• przeprowadzają ocenę skutków dla ochrony danych w przypadku czynności przetwarzania danych osobowych obarczonych wysokim ryzykiem;
• zapewniają poufność i bezpieczeństwo swoich sieci łączności elektronicznej;
• informują EIOD o opracowywanych środkach administracyjnych lub przepisach wewnętrznych dotyczących przetwarzania danych osobowych.

Na podstawie rozporządzenia tworzy się stanowisko Europejskiego Inspektora Ochrony Danych (EIOD). Jest on powoływany na pięcioletnią kadencję, która może być odnowiona jeden raz. Siedziba Europejskiego Inspektora Ochrony Danych mieści się w Brukseli, zaś osoba zajmująca to stanowisko:

• działa w sposób w pełni niezależny;
• podlega obowiązkowi zachowania tajemnicy służbowej w odniesieniu do wszelkich informacji poufnych;
• monitoruje stosowanie przepisów rozporządzenia przez instytucje, organy i jednostki organizacyjne UE;
• upowszechnia w społeczeństwie wiedzę o przetwarzaniu danych osobowych i rozumienie tego zjawiska;
• rozpatruje skargi i prowadzi postępowania;
• udziela administratorom danych ostrzeżeń i nakłada na nich kary;
• przekazuje sprawy do Trybunału Sprawiedliwości, który rozstrzyga wszelkie spory dotyczące rozporządzenia;
• przedkłada roczne sprawozdanie Parlamentowi Europejskiemu, Radzie i Komisji Europejskiej;
• współpracuje z krajowymi organami nadzorczymi w dziedzinie ochrony danych.

Regulamin wewnętrzny EIOD

Na mocy decyzji z dnia 15 maja 2020 r. przyjmuje się regulamin wewnętrzny EIOD. Określa się w nim szczegółowo:

• misję, wytyczne i organizację EIOD;
• sposób monitorowania i zapewnienia stosowania rozporządzenia;
• procedury dotyczące konsultacji w sprawie aktów ustawodawczych, monitorowania technologii, projektów badawczych i postępowań sądowych; oraz
• procedury współpracy z krajowymi organami nadzorczymi i współpracy międzynarodowej.

Przepisy szczególne dotyczące organów i jednostek organizacyjnych UE

Przepisy szczególne mają zastosowanie do organów i jednostek organizacyjnych UE, które przetwarzają operacyjne dane osobowe* w celach związanych ze ściganiem przestępstw (np. Eurojust). Zostały one uwzględnione w odrębnym rozdziale niniejszego rozporządzenia. Te przepisy są dostosowane do wymogów dyrektywy w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych do celów zapobiegania przestępczości. Ponadto w aktach założycielskich tych organów i jednostek organizacyjnych można ustanowić bardziej szczegółowe przepisy w celu uwzględnienia ich specyfiki.

Przetwarzanie operacyjnych danych osobowych przez Europol i Prokuraturę Europejską jest wyłączone z zakresu niniejszego rozporządzenia, podlega natomiast szczególnym przepisom zawartym w aktach prawnych ustanawiających te organy. Z drugiej strony, niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych na potrzeby administracyjne (np. zarządzania personelem).

Inspektorzy ochrony danych

Administratorzy powołują również – na okres od trzech do pięciu lat – inspektora ochrony danych, który:

• udziela niezależnych porad na temat przetwarzania danych osobowych;
• monitoruje przestrzeganie przepisów w dziedzinie ochrony danych.

Sprawozdania

Do 30 kwietnia 2022 r. Komisja Europejska ma przedstawić pierwsze sprawozdanie z zastosowania rozporządzenia.

OD KIEDY ROZPORZĄDZENIE MA ZASTOSOWANIE?

Rozporządzenie ma zastosowanie od 11 grudnia 2018 r., z wyjątkiem przetwarzania danych osobowych przez Eurojust, w którym to przypadku ma ono zastosowanie od 12 grudnia 2019 r.

KONTEKST

Zgodnie z art. 8 Karty praw podstawowych każdy ma prawo do ochrony danych osobowych. Prawo to rozwinięto w artykule 16 Traktatu o funkcjonowaniu Unii Europejskiej. Ten artykuł stanowi podstawę prawną wszystkich aktów prawa UE w dziedzinie ochrony danych.

Więcej informacji:

• Ochrona danych w UE (Komisja Europejska).

KLUCZOWE POJĘCIA

GŁÓWNY DOKUMENT

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39–98).

DOKUMENTY POWIĄZANE

Decyzja Komisji (UE) 2020/969 z dnia 3 lipca 2020 r. określająca przepisy wykonawcze dotyczące inspektora ochrony danych, ograniczeń praw osób, których dane dotyczą, i stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 oraz uchylająca decyzję Komisji 2008/597/WE (Dz.U. L 213 z 6.7.2020, s. 12–22).

Decyzja Europejskiego Inspektora Ochrony Danych z dnia 15 maja 2020 r. w sprawie przyjęcia regulaminu wewnętrznego EIOD (Dz.U. L 204 z 26.6.2020, s. 49–59).

Decyzja Europejskiego Inspektora Ochrony Danych z dnia 2 kwietnia 2019 r. w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście czynności wykonywanych przez Europejskiego Inspektora Ochrony Danych (Dz.U. L 99I z 10.4.2019, s. 1–7).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88).

Kolejne zmiany rozporządzenia (UE) 2016/679 zostały włączone do tekstu podstawowego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89–131).

Zobacz tekst skonsolidowany.

Ostatnia aktualizacja: 14.01.2022