Wrażliwe dane osobowe

Tegoroczne zmiany w ustawie o ochronie danych osobowych  wzmocniły rolę Administratora Bezpieczeństwa Informacji (ABI). Powołanie ABI jest o tyle korzystne, że wtedy nie trzeba rejestrować u GIODO zbiorów danych osobowych, lecz to ABI prowadzi „własny” rejestr takich zbiorów danych osobowych. Nie jest to jednak całkowita prawda. Nie zawsze powołanie ABI zwalnia z obowiązku zgłoszenia zbiorów danych osobowych do GIODO. Wyjątek ten dotyczy tzw. danych wrażliwych (danych sensytywnych), a konkretnie tych wskazanych w art. 27 ust. 1 ustawy o ochronie danych osobowych.

Danymi wrażliwymi są zatem dane o:

  • pochodzeniu rasowym lub etnicznym,
  • poglądach politycznych,
  • przekonaniach religijnych lub filozoficznych,
  • przynależności wyznaniowej, partyjnej lub związkowej,
  • stanie zdrowia,
  • kodzie genetycznym,
  • nałogach,
  • życiu seksualnym
  • skazaniach, orzeczeniach o ukaraniu i mandatach karnych, a także innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym.

Zbiór jakichkolwiek z powyższych danych osobowych trzeba zgłosić do GIODO, nawet jeśli został powołany Administrator Bezpieczeństwa Informacji (ABI).

Powyższy zbiór danych ma istotne znaczenie dla rodzącego się rynku aplikacji, głównie o charakterze zdrowotnych. Konieczność zgłoszenia takich danych do GIODO stanowi tylko jeden z wielu problemów dla świata technologii. Zresztą problem chyba najmniejszy. Więcej napiszę w kolejnym (jutrzejszym) wpisie poświęconym w całości właśnie aplikacjom zdrowotnym w kontekście przetwarzania danych osobowych.

O formie elektronicznej i rozporządzeniu eIDAS

Niedługo nastąpią dwie istotne zmiany dotyczące obrotu elektronicznego, związane w szczególności, ale nie tylko, z dokumentami elektronicznymi i podpisem elektronicznym:

  1. wejdą w życie przepisy zmieniające polski kodeks cywilny w zakresie formy czynności prawnych (tj. ustawa z dnia 10.7.2015 o zmianie ustawy – Kodeks cywilny, ustawy – Kodeks postępowania cywilnego oraz niektórych innych ustaw),
  2. rozpocznie się stosowane unijnego rozporządzenia eIDAS (tj. rozporządzenia nr 910/2014 z 23.7.2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym).

Wskazane regulacje są już uchwalone, a jedynie mają odroczoną w czasie chwilę wejście w życie. Zarówno w przypadku polskiej ustawy, jak i unijnego rozporządzenie rozpoczęcie stosowania poszczególnych przepisów jest rozłożone na kilka lat. Kluczowe przepisy zaczną jednak obowiązywać w połowie 2016 roku.

Obie regulacje mogą sporo zmienić, ale raczej nie będą to zmiany rewolucyjne, lecz ewolucyjne. Przede wszystkim mogą skutkować nowym sposobem interpretacji przepisów. Gdyby literalnie odczytywać dotychczasowe przepisy to nie są one całkowicie nieadekwatne do realiów cyberprzestrzeni. Jednak są one najczęściej interpretowane tak, aby umniejszać znaczenie narzędzi informatycznych.

Biorąc pod uwagę obecny stan rzeczy, wydaje się, że w krótkim okresie czasu największe znaczenie mogą mieć zmiany w polskim kodeksie cywilnym i to im głównie poświęcę niniejszy wpis.

Od razu wyjaśniam jedną rzecz, o którą w ostatnich miesiącach byłem pytany wielokrotnie – mianowicie kwestia zachowania formy pisemnej przy komunikacji elektronicznej. Niektóre przepisy wymagają, aby umowa była zawarta w formie pisemnej. I tutaj jednoznacznie wskazuję: przesłanie wiadomości SMS lub skanów papierowych dokumentów, to nie jest forma pisemna.

Z zasady, aby to co jest w postaci elektronicznej miało formę pisemną, konieczne jest opatrzenie tego bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu. Jedynie czasami ustanawiane są wyjątki, które zrównują z formą pisemną dokumenty nie opatrzone takim podpisem. Przykładem może być prawo telekomunikacyjne, gdzie w art. 56 ust. 2 wskazano, że umowę o świadczenie usług telekomunikacyjnych można zawszeć albo w formie pisemnej, albo formie elektronicznej za pomocą formularza udostępnionego na stronie internetowej dostawcy usług.

Nowe regulacje kodeksu cywilnego ustanawia wprost dwie formy:

  1. formę elektroniczną,
  2. oraz formę dokumentową.

Aby była forma elektroniczna konieczne będzie opatrzenie oświadczenia właśnie bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu. Wtedy takie oświadczenie będzie równoważne z oświadczeniem woli złożonym w formie pisemnej. Identycznie jest obecnie – różnica jest jedynie taka, że aktualne przepisy nie ustanawiają autonomicznej formy elektronicznej (nie posługują się tym pojęciem).

Z kolei całkowitą nowością jest forma dokumentowa. Do jej zachowania wystarczać będzie złożenie oświadczenia woli w postaci dokumentu w sposób umożliwiający ustalenie osoby składającej oświadczenie. Czyli w zasadzie wszystko mające postać elektroniczną i zawierające informację o autorze będzie formą dokumentową. Rozwieje te szereg wątpliwości jak kwalifikować prawnie te co dzieje się w Internecie. Ma to sens, ponieważ aktualnie mamy tylko dwie formy czynności prawnych – formę pisemną i ustną. W efekcie, np. e-mail, który nie jest opatrzony bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu, a tym samym nie ma formy pisemnej, powinien zostać zaliczony do formy ustnej, co jest z kolei nieracjonalne.

Wydaje się jednak, że siatka pojęciowa kodeksu cywilnego powinna zostać dostosowana do tej używanej przez rozporządzenie eIDAS. Nie ma w nim mowy o „bezpiecznym podpisem elektronicznym” i „bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu”, ale o „zaawansowanym podpisie elektronicznym” i „kwalifikowanym podpisie elektronicznym”. „Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu”, o jakim mowa w nowych regulacjach kodeksu cywilnego, to „kwalifikowany podpis elektroniczny” w rozumieniu rozporządzenia eIDAS.

Jeśli interesujesz się rozporządzeniem eIDAS kliknij poniżej w tag eIDAS, aby zapoznać się z pozostałymi wpisami na ten temat.