Unijna reforma prawa ochrony danych osobowych – nowe obowiązki dla przedsiębiorców

29.01.2018

   Z dniem 25 maja 2018 r. wejdą w życie postanowienia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz.Urz.UE.L Nr 119.

               Z dniem 25 maja 2018 r. wejdą w życie postanowienia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz.Urz.UE.L Nr 119.

                Rozporządzenie to stanowi część unijnej reformy mającej za zadanie zwiększenie zakresu ochrony danych osobowych osób fizycznych. Ze względu na obszerność tematu prawodawca unijny ustalił ponad dwuletni okres na dostosowanie się przedsiębiorców i innych podmiotów do uchwalonych zmian. Wobec faktu nieuchronnego zbliżania się powyższego terminu warto zaznajomić się z najważniejszymi zmianami.

                W praktyce reforma wymusi na administratorach i podmiotach przetwarzających dane wdrożenie odpowiednich polityk ochrony danych osobowych. Konieczne może się także okazać stosowanie zatwierdzonych kodeksów postępowania oraz certyfikacji, które uwiarygodnią wysoki standard ochrony danych osobowych.

Nowa dokumentacja powinna uwzględniać przede wszystkim następujące zagadnienia:

Obowiązki dla administratorów danych:

1. Obowiązek szacowania ryzyka wystąpienia zagrożeń dla praw i wolności osób już na etapie opracowywania rozwiązania biznesowego – obowiązek ten trwa oczywiście również w czasie samego przetwarzania danych i łączy się z nim konieczność wdrażania odpowiednich środków technicznych oraz organizacyjnych, zapewniających ochronę praw osób, których dane podlegają przetwarzaniu.

 2. Obowiązek tworzenia środków technicznych i organizacyjnych gwarantujących maksymalną ochronę – istotne w tym przypadku jest określenie schematu działania powyższych mechanizmów jako domyślnego, co ma w szczególności zapobiec udostępnieniu danych nieokreślonej liczbie osób fizycznych. Ograniczenie domyślnego standardu ochrony może więc odbyć się jedynie przez bezpośrednie działanie osoby fizycznej udostępniającej dane.

 3. Obowiązek niezwłocznego zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu, w terminie do 72 godzin.

 4. Obowiązek informowania osób, których ochrona danych osobowych została naruszona – w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych poinformowanie powinno nastąpić bez zbędnej zwłoki. Jeżeli bezpośrednie poinformowanie rodziłoby zbyt duże koszty przepisy dopuszczają także wydanie komunikatu publicznego.

 5. Obowiązek rozszerzenia formuły zgody na przetworzenie danych – formuła ta przede wszystkim powinna być napisana w sposób jasny i przejrzysty, a poszczególne kwestie uzależnione od wyrażenia zgody muszą być widocznie oddzielone. Istotna jest także możliwość cofnięcia zgody, której dokonanie powinno być tak samo łatwe jak jej wyrażenie. W przypadku przetwarzania na podstawie zgody administrator musi wykazać, że osoba, której dane dotyczą wyraziła zgodę na przetwarzanie.

6. Obowiązek uzyskania zgody opiekuna w przypadku przetwarzania danych osobowych dziecka.

7. Obowiązek informowania osoby fizycznej o przetwarzaniu jej danych w sytuacji gdy dane te nie zostały uzyskane bezpośrednio od niej – poinformowanie musi zawierać m.in. dane kontaktowe, cele przetwarzania i podstawę prawną.

 8. Obowiązek prowadzenia rejestru czynności przetwarzania danych – podmiotem odpowiedzialnym za jego prowadzenie jest administrator, lub jego przedstawiciel, a także podmiot przetwarzający lub jego przedstawiciel. Rejestr ten jest prowadzony w formie pisemnej, w tym elektronicznej.

Prawa osób, których dane podlegają przetwarzaniu:

1. Prawo do „bycia zapomnianym” – wyraża się w możliwości żądania przez osobę do usunięcia jej danych osobowych przez administratora. Sytuację tą obejmuje także usunięcie danych, które zostały upublicznione, gdyż administrator w takiej sytuacji ma obowiązek poinformowania innych administratorów o zgłoszonym żądaniu.

 2. Prawo do niepodlegania profilowaniu – profilowanie to według rozporządzenia zautomatyzowana analiza danych osobowych na podstawie której ustala się określone dane lub prognozy dotyczące osoby. Przytoczone prawo wyraża się w możliwości złożenia w dowolnym momencie sprzeciwu wobec podlegania profilowaniu w oparciu o pewne podstawy przetwarzania danych.

 3. Prawo do przenoszenia danych do innego administratora danych.

 4. Prawo do żądania dostarczenia kopii danych osobowych podlegających przetworzeniu – w szczególności może otrzymać informacje dotyczące m.in. celów przetwarzania, kategorii odnośnych danych osobowych czy kategorii odbiorców.

 5. Prawo do wniesienia skargi  do organu nadzorczego – skorzystanie z tej instytucji prawnej następuje bez uszczerbku dla innych – administracyjnych bądź sądowych środków ochrony prawnej. Skarga jest wnoszona w przypadku uznania przez osobę fizyczną, że dotyczące jej dane osobowe podlegające przetwarzaniu naruszają rozporządzenie.

Inne postanowienia:

1. Zmiana statusu Administratora Bezpieczeństwa Informacji na Inspektora Ochrony Danych – konieczność jego powołania dotyczy jednostek publicznych, a także przetwarzania danych osobowych na dużą skalę.

 2. Kary pieniężne – nakładane przez krajowy organ nadzorczy na administratora danych i osobę, która dokonuje przetwarzania danych na jej zlecenie w przypadku naruszenia obowiązków wynikających z rozporządzenia. Każdy przypadek jest rozpatrywany indywidualnie a kara pieniężna powinna być skuteczna, proporcjonalna i odstraszająca. W związku z naruszeniem przepisów możliwe jest nałożenie kary do 10 000 000 EUR, a przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przypadek nieprzestrzegania nakazu wydanego przez organ nadzorczy wiąże się z kolei z jeszcze bardziej zawyżoną górną granicą kary pieniężnej – do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.