Krótka historia ochrony danych osobowych

Historia ochrony danych osobowych to fascynująca opowieść o rozwoju społeczeństwa, technologii i norm etycznych. To podróż od prymitywnych kartotek po dzisiejsze zaawansowane systemy cyberbezpieczeństwa, gdy to podejście do prywatności ewoluowało wraz z postępem technologicznym.

Początki ochrony danych osobowych

Początki historii ochrony danych sięgają okresu, gdy informacje o jednostkach były rejestrowane ręcznie na kartkach (proste rejestry tworzono w medycynie i wymianie handlowej). Kontrola dostępu była relatywnie łatwa, a prywatność opierała się na fizycznej ochronie dokumentów. Zawsze istniały obszary, w których dane osobowe podlegały specjalnym zasadom poufności. Klasycznymi przykładami są przysięga Hipokratesa składana przez lekarzy oraz stosowana w kościele rzymskokatolickim „tajemnica spowiedzi”.

Prawo do „prywatności” lub „poszanowania życia prywatnego” zostało zabezpieczone we wprowadzonych po II wojnie światowej międzynarodowych traktatach o prawach człowieka, Międzynarodowym Pakcie Praw Obywatelskich i Politycznych (ICCPR, art. 17) oraz Europejskiej Konwencji Praw Człowieka (ETPC, art. 8). Chroni ono przede wszystkim przed zbędną interwencją państwa w życie prywatne jednostki, taką jak przerywanie komunikacji przez agencje państwowe lub uznanie prywatnych aktów seksualnych za przestępstwa. Prawo to zostało także zinterpretowane przez Europejski Trybunał Praw Człowieka jako wymóg ochrony jednostek przez państwo przed publikacją ich zdjęć zrobionych przez podmioty prywatne bez ich zgody w prywatnych okolicznościach.

Lata 60. i rewolucja komputerowa

Lata 60. przyniosły ze sobą rewolucję komputerową, a wraz z nią pojawienie się elektronicznych baz danych. To okres, w którym zbieranie, przechowywanie i przetwarzanie danych zaczęło przenosić się do świata cyfrowego. Pojawiły się pierwsze systemy zabezpieczeń, ale również wzrastały obawy związane z bezpieczeństwem danych. W świetle wyżej wspomnianych zmian pod koniec lat 60. I na początku lat 70. XX wieku debaty w związku z ochroną danych zaczęły toczyć w Niemczech (w szczególności w landzie Hessen w sprawie akt policyjnych), Norwegii, Szwecji i Francji (w szczególności ze względu na pamięć o nadużyciach rejestrów populacji i innych rejestrów publicznych przez okupantów nazistowskich w czasie II wojny światowej), Zjednoczonym Królestwie, Stanach Zjednoczonych itd., a także w OECD i Radzie Europy. Na początku debaty te prowadzone były pomiędzy specjalistami podlegającymi obowiązkom etycznym (w Stanach Zjednoczonych w szczególności pomiędzy lekarzami i inżynierami informatykami, którzy jako pierwsi opracowali wytyczne dotyczące „uczciwych praktyk informacyjnych”) oraz pomiędzy politykami, którzy obawiali się ryzyka nadużyć lub niewłaściwego zastosowania oraz zabezpieczenia przetwarzanych automatycznie danych osobowych.

Pierwsze ustawy o ochronie danych

Pierwszą ustawą o ochronie danych na świecie była przyjęta we wrześniu 1970 roku Datenschutzgesetz niemieckiego landu Hessen. Ustawa ta wprowadziła również pierwszy niezależny organ ochrony danych. W tej samej dekadzie, po ustawie o ochronie danych z Hessen, w Europie przyjęto krajowe (ogólnokrajowe) ustawy o ochronie danych w Szwecji (1973), pierwszą niemiecką federalną ustawę o ochronie danych (koniec 1977) (która obejmowała przetwarzanie danych osobowych przez agencje federalne i sektor prywatny), francuską ustawę o informatyce, aktach i wolnościach z 6 stycznia 1978 r., ustawy w Austrii, Danii i Norwegii (wszystkie w 1978 r.) oraz w Luksemburgu (1979). Chociaż niektóre z nich, jak na przykład niemiecka ustawa federalna, przewidywały osobne zestawy zasad dla sektora publicznego (federalnego) i prywatnego, w dalszym ciągu stanowiły przepisy „zbiorcze”, ponieważ zasady dla obydwu sektorów oparte były na takich samych podstawowych zasadach i prawach, często wynikających z konstytucji.

Konwencja nr 108 z 1981 roku

Pierwszym wiążącym instrumentem międzynarodowym w obszarze ochrony danych była przyjęta w 1981 roku przez Radę Europy Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, znana lepiej jako Konwencja o ochronie danych lub „Konwencja nr 108”, zgodnie z jej numerem w serii traktatów europejskich. Jako konwencja Rady Europy (a nie „konwencja europejska”), Konwencja o ochronie danych może być ratyfikowana – w oparciu o zaproszenie – także przez państwa niebędące członkami Rady Europy (art. 23). Konwencja została ratyfikowana przez wszystkie 47 państw członkowskich Rady Europy oraz przez kraje spoza Europy takie jak: Urugwaj, Mauritius, Senegal, Tunezja, Republika Zielonego Przylądka czy Meksyk.

Konwencja zawierała zasady ochrony danych – zasadę ograniczenia zbierania, zasadę jakości danych, zasadę określenia celu i zasadę ograniczenia użycia, które zostały określone w art. 5 Konwencji z 1981 roku (bez stosowania tych terminów – Konwencja wymienia te zasady łącznie pod nagłówkiem „Jakość danych”). Zasada bezpieczeństwa danych (zwana w Konwencji Zasadą zabezpieczeń) została wymieniona w art. 7, a zasady jawności i zasada udziału jednostki zostały określone w art. 8 (pod nagłówkiem „Dodatkowe prawa osób, których dane dotyczą”).

Konwencja dodała do tego specjalny artykuł o przetwarzaniu „szczególnych kategorii danych”, tj. „danych osobowych ujawniających pochodzenie rasowe, poglądy polityczne, przekonania religijne lub inne, jak również danych osobowych dotyczących stanu zdrowia lub życia seksualnego” oraz „danych dotyczących skazujących wyroków karnych” (art. 6). Artykuł ten przewiduje, że dane takie, powszechnie zwane „wrażliwymi danymi”, „nie mogą być przetwarzane automatycznie, chyba że prawo wewnętrzne zawiera odpowiednie gwarancje ochrony”.

Dyrektywa 95/46/WE

Przez pewien czas Wspólnota Europejska (ówczesna nazwa Unii Europejskiej) uważała, że Konwencja Rady Europy o ochronie danych z 1981 roku zapewniała w tym obszarze wystarczającą ochronę. Jednak pod koniec dekady stało się jasne, że Konwencja nie doprowadziła do szerokiej lub szeroko zharmonizowanej ochrony danych osobowych we Wspólnocie, gdyż do września 1990 roku została ratyfikowana przez zaledwie siedem państw członkowskich WE (z czego jedno faktycznie jeszcze nie przyjęło odpowiednich przepisów), a prawo tych państwach członkowskich różniło się znacząco w istotnych aspektach.

Taka różnorodność wpasowała się ówczesne założenie Wspólnoty Europejskiej, by zharmonizować wszystkie rodzaje zasad i przepisów w celu uproszczenia procesu otwierania rynku wewnętrznego, który miał zapewniać swobodny przepływ towarów, usług, kapitału i osób. A konkretnie, w trakcie międzynarodowej konferencji organów ochrony danych, która miała miejsce w 1989 roku w Berlinie zgromadzeni przedstawiciele zostali poinformowani przez Komisję Europejską o konieczności harmonizacji zasad dla sektora telekomunikacyjnego. Pokazało to, że posiadanie właściwie stosowanych i silnych przepisów o ochronie danych we wszystkich państwach członkowskich nabrało istotnego znaczenia.

W efekcie, zdecydowano przyjąć  Dyrektywę 95/46/WE, pełna nazwa, której brzmi Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem tych danych, była jednym z kluczowych dokumentów prawnych dotyczących ochrony danych osobowych w Unii Europejskiej. Głównym celem dyrektywy było zapewnienie wysokiego poziomu ochrony prywatności w związku z przetwarzaniem danych osobowych. Dyrektywa zawierała precyzyjne definicje kluczowych pojęć związanych z ochroną danych osobowych, takich jak „dane osobowe”, „administrator danych”, „przetwarzanie danych” itp. Określała podstawowe zasady przetwarzania danych osobowych, w tym zasadę przejrzystości, zgodności z prawem, celowości, minimalizacji danych, dokładności, ograniczenia przechowywania oraz integralności i poufności danych. Ustanawiała również podstawy prawne przetwarzania  – w większości przypadków przetwarzanie niewrażliwych danych osobowych było dopuszczalne albo na podstawie prawa, umowy lub zgody osoby, której dane dotyczą, albo na podstawie uzasadnionego interesu administratora, nad którym nie przeważały interesy lub podstawowe prawa i wolności osób, których dane dotyczą. Ustanawiała prawa jednostek związane z przetwarzaniem ich danych osobowych, takie jak prawo dostępu do danych, prawo do poprawiania błędów, prawo do usunięcia danych czy prawo do sprzeciwu wobec przetwarzania danych. Określała zasady dotyczące transferu danych osobowych poza obszar Unii Europejskiej, mające na celu zapobieżenie niekontrolowanemu przepływowi danych do krajów trzecich. Dyrektywa wymagała, aby państwa członkowskie ustanowiły niezależne organy nadzorcze ds. ochrony danych, które miały monitorować przestrzeganie przepisów dotyczących ochrony danych. Określała możliwe sankcje za naruszenie przepisów dotyczących ochrony danych, w tym grzywny finansowe.

Ogólne rozporządzenie o ochronie danych (RODO)

W 2012 roku Komisja Europejska zaproponowała przyjęcie Ogólnego rozporządzenia o ochronie danych (RODO), by sprostać wyzwaniom nakładanym przez nowe technologie i usługi. Komisja postrzegała silną ochronę danych jako zasadniczy warunek zdobycia zaufania w środowisku internetowym, które samo w sobie jest kluczem do rozwoju gospodarczego. Ogólne rozporządzenie o ochronie danych zostało przyjęte częściowo dlatego że Dyrektywa o ochronie danych z 1995 roku nie zapewniła wystarczającego poziomu harmonizacji przepisów w państwach członkowskich, częściowo w odpowiedzi na masową ekspansję przetwarzania danych osobowych od momentu wprowadzenia Dyrektywy o ochronie danych z 1995 roku, a częściowo w odpowiedzi na orzecznictwo Trybunału Sprawiedliwości UE.

Rozporządzenie bazuje na Dyrektywie o ochronie danych z 1995 roku, jednak znacząco ją poszerza i jednocześnie zdecydowanie wzmacnia główny system ochrony danych w UE. Wprowadza większą harmonizację, silniejsze prawa osób, których dane dotyczą, bliższą transgraniczną współpracę pomiędzy organami ochrony danych czy silniejsze uprawnienia egzekucyjne.

RODO jest rozporządzeniem, tzn. prawem UE, które ma bezpośrednie zastosowanie w porządku prawnym państw członkowskich UE (oraz państw EOG niebędących członkami UE) bez konieczności transponowania na prawo krajowe, jak ma to miejsce w przypadku dyrektyw, takich jak Dyrektywa o ochronie danych z 1995 roku. Ustawodawca unijny wybrał tą drogę celowo, ponieważ wdrożenie Dyrektywy z 1995 rok było nierówne – została ona różnie wdrożona w różnych państwach członkowskich, co doprowadziło do braku harmonizacji.

Rozporządzenie Ogólne o Ochronie Danych (RODO) jest zagadnieniem poważnym i istotnym z punktu widzenia ochrony prywatności, ale istnieją także pewne ciekawostki związane z tym regulacyjnym aktem. Oto kilka interesujących faktów na temat RODO:

  • nazwa „RODO” – choć w Polsce powszechnie używamy skrótu „RODO”, oficjalna nazwa brzmi „Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE”. Skrót „RODO” wywodzi się z polskiego tłumaczenia tej długiej nazwy,
  • wartość maksymalna kar finansowych – RODO wprowadziło możliwość nałożenia kar finansowych na organizacje, które naruszają przepisy o ochronie danych. Maksymalna kara wynosi 20 milionów euro lub 4% rocznego światowego obrotu firmy, w zależności od tego, która kwota jest wyższa,
  • prawo do bycia zapomnianym – jednym z istotnych elementów RODO jest wprowadzenie prawa jednostek do bycia zapomnianym. Oznacza to, że osoba ma prawo żądać usunięcia swoich danych osobowych, a administrator danych jest zobowiązany do spełnienia tego żądania w określonych przypadkach.
  • wpływ na firmy spoza UE – mimo że RODO jest regulacją Unii Europejskiej, ma wpływ na firmy spoza obszaru UE. Jeśli firma spoza UE przetwarza dane obywateli UE, to również musi przestrzegać zasad RODO, co sprawia, że regulacje mają zasięg globalny,
  • prawo do przenoszenia danych – RODO wprowadza prawo do przenoszenia danych, co oznacza, że osoba ma prawo otrzymać od administratora danych swoje dane w formie elektronicznej i przesłać je do innego administratora danych,
  • Ocena Skutków Dla Ochrony Danych (DPIA) – RODO wprowadza mechanizm Oceny Skutków Dla Ochrony Danych (DPIA), który ma na celu ocenę wpływu przetwarzania danych na ochronę prywatności. To narzędzie pomaga identyfikować i minimalizować ryzyka dla danych osobowych,
  • obowiązek powiadomienia o naruszeniach – RODO nakłada obowiązek na administratorów danych, aby powiadomili organ nadzorczy o naruszeniach ochrony danych w ciągu 72 godzin od ich stwierdzenia, chyba że naruszenie nie ma wpływu na prawa i wolności jednostek,
  • nowe podejście do zgody – RODO wprowadza bardziej rygorystyczne zasady dotyczące uzyskiwania zgody na przetwarzanie danych osobowych. Zgoda musi być udzielona w sposób jednoznaczny i jasny, a jednostka ma prawo ją wycofać w każdej chwili,
  • edukacja i świadomość – RODO zainspirowało szereg kampanii edukacyjnych i inicjatyw mających na celu zwiększenie świadomości społecznej na temat ochrony danych osobowych. Organizacje oraz organy nadzorcze starają się edukować obywateli na temat ich praw i odpowiedzialności.

Jednym z przykładów szerzenie wiedzy na temat ochrony danych osobowych jest Europejski Dzień Ochrony Danych Osobowych! W ramach naszego cyklu wpisów związanych z obchodami tego dnia już jutro dowiecie, się czym są dane osobowe i czy warto je chronić!

Źródło: Korff D., Georges M. Podręcznik Inspektora Ochrony Danych. Wytyczne dla inspektorów ochrony danych w sektorze publicznym i quasi-publicznym dotyczące sposobu zapewnienia zgodności z europejskim ogólnym rozporządzeniem o ochronie danych.

Centrum Audytu Bezpieczeństwa Sp. z o.o. to firma doradczo-szkoleniowa zajmująca się szeroko rozumianym wsparciem sektora publicznego i prywatnego w zakresie bezpieczeństwa. Działamy na terenie całej Polski od 2019 roku świadcząc usługi związane z ochroną sygnalistów (whistleblowing), bezpieczeństwem i higieną pracy, ochroną danych osobowych (RODO) oraz kompleksowymi audytami, obejmującymi obszary bezpieczeństwa oraz normy ISO.

Dane kontaktowe

Obserwuj nas