RODO a dyrektywa o prywatności i łączności elektronicznej

Warto pamiętać że RODO nie obejmuje całości unijnych przepisów dotyczących ochrony danych osobowych. Szczególne przypadki przetwarzania danych osobowych w sektorze łączności elektronicznej regulowane są przepisami Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), dalej zwaną „Dyrektywą”.

 

15 marca 2019 r. Europejska Rada Ochrony Danych (EROD) opublikowała Opinię 5/2019 w sprawie wzajemnego oddziaływania między dyrektywą o prywatności i łączności elektronicznej a RODO. Jak wskazuje EROD, w związku z krzyżowaniem się zakresu przedmiotowego RODO i Dyrektywy, mogą mieć miejsce następujące sytuacje:

  1. Przetwarzanie danych osobowych jest objęte zarówno przepisami RODO jak i Dyrektywy.
  2. Brak wzajemnych powiązań z uwagi na to, że przetwarzanie nie wchodzi w zakres RODO.
  3. Brak powiązań, ponieważ przetwarzanie nie wchodzi w zakres Dyrektywy, lecz jedynie RODO.

Dyrektywę stosuje się do przetwarzania danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności w UE. Przykładami procesów przetwarzania, które mogą wchodzić w zakres obu omawianych aktów prawnych są tzw. pliki cookies czy też wtyczki społecznościowe.

Zgodnie z art. 1 ust. 2 Dyrektywy, jej przepisy dookreślają i uzupełniają RODO. Na podstawie tego przepisu EROD wskazuje, że Dyrektywę należy traktować jako lex specialis w stosunku do RODO, czyli w konkretnym przypadku objętym zakresem zarówno RODO, jak i Dyrektywy, należy w pierwszej kolejności stosować przepisy Dyrektywy. Szczegółowe regulacje Dyrektywy polegają m.in. na tym, że zawężają możliwe podstawy prawne, które legalizują przetwarzanie danych osobowych. Taka sytuacja ma miejsce w odniesieniu do plików cookies, ponieważ na podstawie Dyrektywy korzystanie z nich wymaga uzyskania uprzedniej zgody użytkownika, zatem administrator nie może powołać się na inne, określone w RODO podstawy przetwarzania danych osobowych, jak np. jego prawnie uzasadniony interes.

Zgodnie z art. 95 RODO rozporządzenie nie nakłada dodatkowych obowiązków na osoby fizyczne ani prawne, co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel, określonym w Dyrektywie. Europejska Rada Ochrony Danych wskazuje, że powyższy przepis znajduje zastosowanie m.in. w odniesieniu do obowiązku zgłaszania naruszenia ochrony danych osobowych, który przewidziany jest zarówno w RODO, jak i w Dyrektywie. Art. 95 RODO należy rozumieć tak, że w razie zawiadomienia odpowiedniego organu o naruszeniu ochrony danych zgodnie z przepisami Dyrektywy oraz przepisami państwa członkowskiego wdrażającymi Dyrektywę, spełnienie obowiązku zawiadamiania organu nadzorczego w myśl art. 33 RODO nie będzie już konieczne.

Podsumowując, znajomość przepisów RODO nie jest wystarczająca, aby stwierdzić, czy dane procesy przetwarzania danych osobowych są zgodne z prawem. Należy zwracać uwagę na szczegółowe regulacje zawarte w innych aktach prawnych, które uszczegóławiają przepisy rozporządzenia, w pewnych sytuacjach stawiają zaś administratorom bardziej rygorystyczne wymogi do spełnienia, od tych określonych w RODO.

 

 

Źródła:

https://uodo.gov.pl/pl/138/766,

https://edpb.europa.eu/.

Autor

Michał Madecki

Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.