16.08.2017

Hiszpania: Rozporządzenie o ochronie danych

Dnia 25.05.2016 weszło w życie Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 20.04.2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE.

Mimo iż możliwe jest bezpośrednie wprowadzenie rozporządzeń unijnych w państwach członkowskich bez konieczności dostosowania ich do prawa narodowego danego kraju, rząd hiszpański postanowił przerobić dotychczasową Ustawę 15/1999 o ochronie danych osobowych i przedstawić nową Ustawę Konstytucyjną o ochronie danych osobowych, która zastępuje starą Ustawę o ochronie danych i wciela zmiany, które zostały wprowadzone przez Rozporządzenie Unii o ochronie danych.

Dotąd rząd hiszpański zlecił hiszpańskiej Komisji Ustawodawczej opracowanie nowego tekstu ustawy we współpracy z hiszpańskim Urzędem Ochrony Danych (AEPD).

Tekst ten został niedawno przekazany Ministerstwu Sprawiedliwości, które przedłożyło go Radzie Ministrów w dniu 20.06.2017. Do projektu gromadzone są obecnie opinie i raporty oraz rozmowy z obywatelami i podmiotami, których sprawa dotyczy. Nowa ustawa wejdzie w życie jednocześnie z unijnym Rozporządzeniem o ochronie danych w maju 2018 roku.

Ze względu na powyższe, nie możemy Państwu przedstawić zarysu ostatecznych postanowień nowej hiszpańskiej Ustawy o ochronie danych, jednak tekst przedłożony do zatwierdzenia zawiera obecnie następujące ustalenia:

(1) nowa hiszpańska Ustawa o ochronie danych osobowych nie dotyczy przetwarzania następujących danych osobowych:

(A) danych osób fizycznych, które gromadzone są w ramach czysto prywatnych lub prowadzonych w ramach gospodarstwa domowego działań;

(B) danych Dyrekcji Generalnej podczas przeprowadzania czynności, które podlegają pod zakres zastosowania tytułu V rozdział drugi EUV;

(C) danych właściwych organów w celu prewencji, dochodzenia, ustalenia bądź ścigania czynów karalnych lub egzekucji sankcji karnych, włącznie z ochroną i prewencją zagrożeń bezpieczeństwa publicznego;

(D) danych osób zmarłych;

(E) danych z zastrzeżeniem przepisów prawa dotyczących zachowania tajemnicy;

(F) danych do celów statystycznych lub badawczych.

(2) zgoda na przetwarzanie danych osobowych będzie udzielana poprzez dobrowolne, jednoznaczne i kompetentne wskazanie danych osób, których dane osobowe mają być przetwarzane.

(3) przetwarzanie danych osobowych dzieci dozwolone jest wyłącznie w przypadku zgody dziecka od 13 roku życia. W przypadku dzieci poniżej 13 roku życia zgody udzielić musi osoba uprawniona do sprawowania władzy rodzicielskiej.

(4) nowa hiszpańska Ustawa o ochronie danych osobowych obejmuje w szczególności postanowienia dotyczące przetwarzania danych osobowych w związku z niewypełnianiem zobowiązań pieniężnych, finansowych czy kredytowych w systemach wymiany informacji kredytowej oraz przetwarzanie w celach monitorowania kamerami wideo.

(5) przetwarzanie danych osobowych w celu przesyłania reklam nie jest dozwolone, o ile utrzymana została względem tego odmowa lub sprzeciw.

(6) przetwarzanie danych osobowych w związku ze skazaniem i czynami karalnymi, metodami lub środkami profilaktyki i ochrony lub w innych celach prewencji, dochodzenia, ustalenia lub ścigania czynów karalnych lub egzekucji kar może nastąpić tylko wówczas, jeśli jest to jednoznacznie dozwolone. Hiszpańskie Ministerstwo Sprawiedliwości jest odpowiedzialne za zarządzanie systemami informacyjnymi, w których zbierane są wszystkie dane na temat skazania i czynów karalnych, metod lub środków profilaktyki i ochrony.

(7) informacje o tym, jak i które dane ogólne będą gromadzone, muszą być udostępnione w sposób precyzyjny i przejrzysty, w łatwo dostępnej formie, w jasnych i prostych słowach. Informacje te muszą zostać odpowiednio dostosowane, jeżeli skierowane są do dzieci.

(8) podczas zbierania danych osobowych potrzebne są następujące informacje:

  • tożsamość zbierającego lub jego przedstawiciela;
  • cel przetwarzania;
  • dane o wykonywaniu praw zawartych w art. 15-22 europejskiego Rozporządzenia o ochronie danych.

(9) hiszpańskie przepisy regulujące dostęp, korekty, kasację, ograniczenia w przetwarzaniu, transfer danych i zażalenia powinny wynikać z postanowień europejskiego Rozporządzenia o ochronie danych osobowych.

(10) inspektor ochrony danych musi zostać powołany przez następujące firmy:

  • organizacje zawodowe i rady, które wymienione są w hiszpańskiej Ustawie 2/1974 z dnia 13 lutego jako organizacje zawodowe.
  • centra nauczania, które zgodnie z hiszpańską Ustawą 2/2006 z dnia 3 maja o kształceniu, uniwersytetach publicznych i prywatnych nazywane są uczelniami uregulowanymi.
  • firmy, które oferują sieci i elektroniczne usługi komunikacyjne zgodnie z przepisami hiszpańskiej Ustawy 9/2014 z dnia 9 maja.
  • dostawcy usług, którzy gromadzą informacje o użytkownikach swoich usług, niezależnie od tego, czy rejestracja jest obecnie konieczna, czy nie.
  • firmy, które wymienione są w art. 1 hiszpańskiej Ustawy 10/2014 z dnia 26 czerwca o zarządzaniu, nadzorze i niewypłacalności instytucji kredytowych.
  • finansowe instytucje kredytowe, które wymienione są w tytule II hiszpańskiej Ustawy 5/2015 z dnia 24 kwietnia o wspieraniu finansowania przedsiębiorstw.
  • zakłady ubezpieczeń i reasekuracji, które wymienione są w hiszpańskiej Ustawie 20/2015 z dnia 14 lipca o zarządzaniu, kontroli i wypłacalności ubezpieczycieli i reasekuratorów.
  • przedsiębiorstwa świadczące usługi inwestycyjne, które wymienione są w tytule V tekstu skonsolidowanego hiszpańskiej Ustawy o giełdach, zatwierdzony hiszpańskim Królewskim Dekretem Legislacyjnym 4/2015 z października.
  • partnerzy i dystrybutorzy energii elektrycznej zgodnie z przepisami hiszpańskiej Ustawy 24/2013 z dnia 26 grudnia o sektorze energii elektrycznej, dystrybutorzy gazu i przedstawiciele zgodnie z hiszpańską Ustawą 34/1998 z dnia 7 października o sektorach węglowodorów.
  • firmy, które zarządzają wspólnymi aktami w celu oceny wypłacalności kapitału własnego i prewencji oszustwa, włącznie z podmiotami wymienionymi w art. 32 hiszpańskiej Ustawy 10/2018 z dnia 28 kwietnia dotyczącej prania pieniędzy i finansowania terroryzmu.
  • firmy, które rozwijają działalność reklamową, włącznie z komercyjnymi badaniami naukowymi i badaniami rynku.
  • medyczne centra zdrowia, które są zobowiązane ustawowo do dbania o dokumentację medyczną pacjentów zgodnie z przepisami hiszpańskiej Ustawy 41/2002 z dnia 14 listopada o autonomii oraz o prawach i obowiązkach w zakresie informacji i codziennej dokumentacji.
  • firmy, które w komercyjny sposób udostępniają raporty o osobach i firmach.
  • administratorzy gier, którzy udostępniają gry poprzez kanały elektroniczne przy użyciu technologii informacyjnej, telematyki lub w inny interaktywny sposób zgodnie z przepisami hiszpańskiej Ustawy 3/2011 z maja dotyczącej regulacji na temat gier.
  • owe podmioty, które prowadzą działalność regulowaną w tytule II hiszpańskiej Ustawy 5/2014 z dnia 4 kwietnia o bezpieczeństwie w przestrzeni prywatnej.

W przypadku wszystkich innych firm wskazanie pełnomocnika do spraw ochrony danych jest dobrowolne.

(11) Nowa hiszpańska Ustawa o ochronie danych osobowych reguluje wreszcie sankcje w formie kar grzywny, które nakładane będą w następujących przypadkach złamania przepisów:

  • w przypadku ciężkiego naruszenia, ponownego wykorzystania danych, które zostały zebrane w innym celu bez zgody osób, których dotyczą lub bez podstawy prawnej do ich zebrania
  • w przypadku poważnego naruszenia, jak przetwarzanie danych osobowych osoby poniżej 13 roku życia bez deklaracji zgody ze strony osób uprawnionych do sprawowania władzy rodzicielskiej;
  • w przypadku drobniejszych naruszeń, jak żądanie wniesienia opłaty za przygotowanie informacji zgodnie z artykułami 13 i 14 unijnego Rozporządzenia o ochronie danych osobowych.

Jeśli chodzi o wysokość kary grzywny, można zauważyć, że ciężkie naruszenie będzie karane grzywną w wysokości ponad 300 000 euro, poważne grzywną od 40 001 do 300 000 euro, a drobniejsze grzywną do 40 000 euro.

Należy jeszcze trochę poczekać, zanim ogłoszona zostanie ostateczna wersja nowej hiszpańskiej ustawy. Po zatwierdzeniu przez hiszpański rząd ostateczny tekst zostanie opublikowany w hiszpańskim Dzienniku Urzędowym (BO E) i będzie dostępny na następującej stronie internetowej: www.boe.es/diario_boe.

Osoba do kontaktu: Vanessa Sanchez, adwokat w Mireia Serra Advocats w Barcelonie