Zmiany w prawie dotyczącym ochrony danych osobowych

O tym co to jest RODO, jakie są jego główne założenia i jak wpłynie na nasze życie rozmawiamy z adwokatem Wojciechem Powroźnikiem.

Panie Mecenasie, 25 maja 2018 r. zaczną obowiązywać nowe przepisy w zakresie ochrony danych osobowych, które są wynikiem wejścia w życie unijnego rozporządzenia o  ochronie danych osobowych, zwanego RODO. Na czy polega zmiana i z czym się ona wiąże?


Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) wprowadzi bardzo dużo zmian w obszarze ochrony danych osobowych we wszystkich państwach członkowskich Unii Europejskiej. Jest to pierwsza tak znacząca nowelizacja tych przepisów od ponad 20 lat. RODO to przede wszystkim akt prawny, który wprowadza kompleksową regulację ochrony danych osobowych oraz ujednolicenie tych przepisów we wszystkich krajach UE. W porównaniu do obecnie obowiązującej Dyrektywy i polskiej ustawy o ochronie danych osobowych, nowe rozporządzenie pozostawia znacznie większą swobodę co do środków zapewniania bezpieczeństwa danych osobowych. Rozporządzenie nakłada za to na administratorów danych obowiązek dokonania samodzielnego wyboru odpowiednich i skutecznych środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych, a których wprowadzenie powinno być poprzedzone oszacowaniem ryzyka jakie niesie ze sobą przetwarzanie danych w tym konkretnym podmiocie. Rozporządzenie rezygnuje również z obowiązku posiadania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, co nie oznacza, że podmioty będą zwolnione z obowiązku posiadania wewnętrznych polityk. Zmiana polega na tym, że każda organizacja będzie mogła samodzielnie zadecydować jakie rodzaje polityk i procedur powinny zostać wprowadzone. Znika również obowiązek zgłaszania zbiorów danych do GIODO, ale za to konieczne będzie stworzenie i prowadzenie rejestru czynności przetwarzania, który będzie podlegał ujawnieniu organowi nadzoru na każde jego żądanie. Przepisy RODO umożliwiające dostosowanie środków do rzeczywistych potrzeb danej organizacji, wymagają jednocześnie, aby administrator danych był w stanie wykazać zgodność przyjętych rozwiązań z regulacjami prawa unijnego.


Czy RODO odnosi się do praw osób, których dane są przetwarzane?

RODO zakłada znaczne poszerzenie praw osób, których dane dotyczą. Nowością będzie prawo do bycia zapomnianym oraz prawo do przenoszenia danych. Kształt pozostałych praw tj. prawo do ograniczenia przetwarzania, prawo dostępu do danych również ulegnie zmianie. Rozporządzenie kładzie bowiem duży nacisk na zapewnienie osobom, których dane dotyczą kontroli nad ich danymi oraz na zwiększenie ich świadomości prawnej związanej z przetwarzaniem danych. W celu zapewnienia realizacji tych założeń RODO statuuje zasadę przejrzystości, która wprowadza wymóg, aby wszystkie informacje i komunikaty związane z przetwarzaniem danych były łatwo dostępne, przekazywane w jasny i zrozumiały sposób. Zmianą, która może być kosztowna dla podmiotów przetwarzających dane, jest rozszerzenie obowiązku informacyjnego, co pociągnie za sobą konieczność wymiany formularzy zawierających klauzule zgody. Ilość informacji, które trzeba będzie przekazać osobie wyrażającej zgodę znacznie wzrośnie. Podmioty świadczące usługi społeczeństwa informacyjnego będą musiały zmienić sposób odbierania zgody od dzieci poniżej 16 roku życia, która będzie musiała być wyrażona lub zaaprobowana przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem. Zmiany nie ominął również regulacji dotyczącej tzw. danych wrażliwych, które rozporządzenie nazywa „danymi szczególnych kategorii”. Poszerzony został katalog tych danych, wprowadzono definicje legalne oraz zmieniono wymagania co do sposobu wyrażania zgody na przetwarzanie takich danych. Oczywiście to tylko część zmian jakie wprowadza rozporządzenie unijne. Nie można też zapomnieć, że zakres stosowania przepisów rozporządzenia będzie różny w zależności od rodzaju podmiotu przetwarzającego dane oraz kategorii przetwarzanych danych. Aktualnie trwają prace nad nową ustawą o ochronie danych osobowych. Jednakże nie należy odkładać rozpoczęcia procesu wdrażania nowych zasad do swojej organizacji do tego czasu, gdyż większość obowiązków podmiotów przetwarzających dane wynika bezpośrednio z Rozporządzenia i to ono będzie najważniejszym aktem prawnym z dziedziny ochrony danych osobowych.


Do jakich podmiotów są adresowane nowe regulacje unijne? Czy dotyczy to wszystkich podmiotów, które przetwarzają dane osobowe, bez względu na branżę w jakiej działają?


Co do zasady ci administratorzy danych osobowych oraz te podmioty przetwarzające dane, prowadzący działalność na terenie Unii Europejskiej, którzy aktualnie objęci są zakresem Dyrektywy podlegać będą również regulacjom ogólnego rozporządzenia o ochronie danych osobowych. RODO określa obowiązki każdego podmiotu, który przetwarza lub przechowuje dane osobowe, niezależnie od sektora prowadzonej działalności czy formy własności. Przepisy RODO dotyczą zarówno podmiotów z sektora publicznego, jak i prywatnego np. sklepów internetowych, instytucji finansowych, podmiotów świadczących usługi medyczne. Najważniejszą zmianą w tym zakresie jest to, że przepisy Rozporządzenia będą stosowane we wszystkich państwach członkowskich Unii Europejskiej. Od maja 2018 r. krajowe regulacje prawne dotyczące ochrony danych osobowych funkcjonujące obecnie w państwach członkowskich, zostaną zastąpione przez postanowienia unijnego rozporządzenia, które obowiązywać będzie w całej Unii Europejskiej.

Co się stanie jeśli jakiś podmiot nie dostosuje się do nowej rzeczywistości prawnej w tym zakresie?


Unijny ustawodawca przewidział dwuletni okres przejściowy, który upływa 25 maja 2018 r. W tym czasie państwa członkowskie powinny dokonać weryfikacji krajowych porządków prawnych w celu zapewnienia ich zgodności z unijnym rozporządzeniem oraz podjąć prace nad nowymi ustawami o ochronie danych osobowych. Rozporządzenie unijne ma wprawdzie charakter aktu prawnego bezpośrednio stosowanego i nie wymaga implementacji go do porządków krajowych, jednak RODO pozostawia szereg kwestii, które państwa członkowskie mogą uregulować odmiennie niż uczynił to unijny ustawodawca. Państwa członkowskie mogą zdecydować m.in. czy wprowadzić  ograniczenia wysokości kar finansowych w stosunku do organów i podmiotów publicznych oraz czy ograniczyć zakres obowiązków i praw np. prawa do bycia zapomnianym.


Czas pomiędzy wejściem w życie a rozpoczęciem stosowania rozporządzenia jest również okresem, w którym wzmożoną pracę muszą podjąć wszystkie podmioty przetwarzające dane osobowe. Krótko mówiąc już 25 maja 2018 r. podmioty przetwarzające dane osobowe muszą mieć gotowe mechanizmy i procedury ochrony danych zgodne z  wymaganiami wprowadzonymi przez RODO. Po tej dacie nie będzie już żadnego dodatkowego okresu „ochronnego”. Należy bowiem pamiętać, że również od tej daty organ nadzorczy będzie mógł rozpocząć stosowanie nowych, bardziej dotkliwych sankcji.


Jak wysokie są kary i kto może je nakładać?


Rozporządzenie unijne wprowadza rewolucję w zakresie sankcji za naruszenie obowiązków związanych z ochroną danych osobowych. W aktualnym stanie prawnym kary, które mógł stosować GIODO były niskie. W celu zapewnienia większej skuteczności prewencyjnej funkcji prawa, RODO zmienia zarówno wysokość kar oraz sposób odnotowania powstałych naruszeń. Najważniejszą zmianą jaką wprowadza RODO jest wysokość kar pieniężnych jakie mogą zostać nałożone na podmioty przetwarzające dane osobowe. Rozporządzenie przewiduje dwie grupy naruszeń, które zagrożone są różnymi karami:


1. Kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa, do 2 proc. światowego obrotu w poprzednim roku m.in. w przypadku nie zgłoszenia naruszenia ochrony danych organowi nadzoru oraz osobie, której naruszenie dotyczyło, naruszenia obowiązku rejestracji czynności przetwarzania czy niepowołania Inspektora Ochrony Danych
2. Kary w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa do 4 proc. całkowitego światowego obrotu z poprzedniego roku m.in. za naruszenie praw osób, których dane dotyczą tj. prawa dostępu do danych czy prawa do bycia zapomnianym, naruszenie podstawowych zasad przetwarzania, w tym warunków uzyskania zgody.


RODO wskazuje jedynie maksymalny próg kary grzywny, która może zostać nałożona, natomiast nie określa stawek za konkretne przewinienia, wskazując jednak przesłanki, którymi powinien kierować się organ nadzorczy przy ustalaniu wymiaru kary. Wysokość kary grzywny będzie ustalana indywidualnie przez organ nadzorczy w zależności od rodzaju ukaranego podmiotu, charakteru i okoliczności naruszenia, kategorii przetwarzanych danych, działań podjętych w celu zminimalizowania szkody itp. Obecnie kary za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych są względnie niskie - maksymalnie 10 000 zł w stosunku do osób fizycznych i 50 000 zł wobec osób prawnych, natomiast grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 000 zł, a w stosunku do osób prawnych 200 000 zł.


Istotne znaczenie w procesie wykrywania i karania naruszeń będzie miał również zupełnie nowy obowiązek nałożony na wszystkie podmioty przetwarzające dane osobowe jakim jest obowiązek notyfikowania naruszeń. Jeżeli naruszenie ochrony danych osobowych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, konieczne będzie zgłoszenie tego naruszenia organowi nadzorczemu bez zbędnej zwłoki, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator o takim naruszeniu powinien zawiadomić bez zbędnej zwłoki także osobę, której dane dotyczą. Zaniechanie zgłoszenia naruszenia zagrożone będzie karą do 10 000 000 euro (lub do 2  proc. światowego obrotu przedsiębiorstwa), natomiast prawidłowe wywiązanie się z tego obowiązku organ nadzorczy powinien wziąć pod uwagę jako przesłankę obniżającą wysokość ewentualnej kary pieniężnej. Bardzo ważne będzie stworzenie we wszystkich podmiotach przetwarzających dane odpowiednich mechanizmów szybkiego wykrywania naruszeń, rejestru wykrytych naruszeń (także tych niepodlegających zgłoszeniu) oraz procedur ich notyfikacji np. w postaci odpowiedniej wewnętrznej polityki.


Jak powinien przebiegać proces przygotowania organizacji na RODO?


Nowe regulacje unijne nakładają na podmioty przetwarzające dane wiele nowych obowiązków i rozwiązań, które muszą zostać wdrożone w stosunkowo krótkim czasie (rozporządzenie zacznie być stosowane już za rok). Konieczne jest przyjęcie nie tylko odpowiednich środków technicznych i organizacyjnych, ale także przygotowanie wszystkich pracowników na funkcjonowanie w nowej rzeczywistości ochrony danych osobowych. Warto rozważyć również podjęcie współpracy z zewnętrznym podmiotem zajmującym się przeprowadzaniem audytów. W sytuacji tak znacznej nowelizacji audyt należy potraktować jako narzędzie pozwalające dokonać oceny aktualnie funkcjonujących w organizacji mechanizmów ochrony danych osobowych i wskazania działań jakie powinny zostać podjęte przed 25 maja 2018 r. Wcześniej należy również przeanalizować potrzebę powołania Inspektora Ochrony Danych (który będzie następcą ABI). Konieczne będzie zdecydowanie się czy do pełnienia funkcji IOD wyznaczymy jednego z naszych pracowników (po uprzednim przeszkoleniu takiej osoby) czy powierzymy to zadanie na podstawie umowy o świadczenie usług zewnętrznemu podmiotowi.

Rozmawiał Piotr Żołądkowski

Oceń artykuł:
zobacz ranking »
49%
51%
Autor
Zaloguj się i komentuj pod swoim nickiem, jeśli nie masz jeszcze konta zarejestruj się
Treść
Obrazek
Podaj kod
 
Copyright © ForumBiznesu.pl 2012-2017 - Design & Engine - portale internetowe - FineCMS.pl
Korzystanie z witryny forumbiznesu.pl oznacza zgodę na wykorzystywanie plików cookie, z których niektóre mogą być już zapisane w folderze przeglądarki. Więcej informacji można znaleźć w Polityce plików cookies.