RODO a dyrektywa o prywatności i łączności elektronicznej
26.11.2019
Autor: Michał Madecki
Warto pamiętać że RODO nie obejmuje całości unijnych przepisów dotyczących ochrony danych osobowych. Szczególne przypadki przetwarzania danych osobowych w sektorze łączności elektronicznej regulowane są przepisami Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), dalej zwaną „Dyrektywą”.
15 marca 2019 r. Europejska Rada Ochrony Danych (EROD) opublikowała Opinię 5/2019 w sprawie wzajemnego oddziaływania między dyrektywą o prywatności i łączności elektronicznej a RODO. Jak wskazuje EROD, w związku z krzyżowaniem się zakresu przedmiotowego RODO i Dyrektywy, mogą mieć miejsce następujące sytuacje:
Dyrektywę stosuje się do przetwarzania danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności w UE. Przykładami procesów przetwarzania, które mogą wchodzić w zakres obu omawianych aktów prawnych są tzw. pliki cookies czy też wtyczki społecznościowe.
Zgodnie z art. 1 ust. 2 Dyrektywy, jej przepisy dookreślają i uzupełniają RODO. Na podstawie tego przepisu EROD wskazuje, że Dyrektywę należy traktować jako lex specialis w stosunku do RODO, czyli w konkretnym przypadku objętym zakresem zarówno RODO, jak i Dyrektywy, należy w pierwszej kolejności stosować przepisy Dyrektywy. Szczegółowe regulacje Dyrektywy polegają m.in. na tym, że zawężają możliwe podstawy prawne, które legalizują przetwarzanie danych osobowych. Taka sytuacja ma miejsce w odniesieniu do plików cookies, ponieważ na podstawie Dyrektywy korzystanie z nich wymaga uzyskania uprzedniej zgody użytkownika, zatem administrator nie może powołać się na inne, określone w RODO podstawy przetwarzania danych osobowych, jak np. jego prawnie uzasadniony interes.
Zgodnie z art. 95 RODO rozporządzenie nie nakłada dodatkowych obowiązków na osoby fizyczne ani prawne, co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel, określonym w Dyrektywie. Europejska Rada Ochrony Danych wskazuje, że powyższy przepis znajduje zastosowanie m.in. w odniesieniu do obowiązku zgłaszania naruszenia ochrony danych osobowych, który przewidziany jest zarówno w RODO, jak i w Dyrektywie. Art. 95 RODO należy rozumieć tak, że w razie zawiadomienia odpowiedniego organu o naruszeniu ochrony danych zgodnie z przepisami Dyrektywy oraz przepisami państwa członkowskiego wdrażającymi Dyrektywę, spełnienie obowiązku zawiadamiania organu nadzorczego w myśl art. 33 RODO nie będzie już konieczne.
Podsumowując, znajomość przepisów RODO nie jest wystarczająca, aby stwierdzić, czy dane procesy przetwarzania danych osobowych są zgodne z prawem. Należy zwracać uwagę na szczegółowe regulacje zawarte w innych aktach prawnych, które uszczegóławiają przepisy rozporządzenia, w pewnych sytuacjach stawiają zaś administratorom bardziej rygorystyczne wymogi do spełnienia, od tych określonych w RODO.
Źródła:
https://uodo.gov.pl/pl/138/766,
Autor
Michał Madecki
Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!