Jakie zmiany czekają przedsiębiorców w związku z ogólnym rozporządzeniem unijnym o ochronie danych osobowych?

29.06.2017 3 minuty na przeczytanie artykułu

Artykuł redakcyjny

pixabay.com

W przyszłym roku przedsiębiorców czekają ogromne zmiany dotyczące przetwarzania danych osobowych, w związku z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”).

 

Przedsiębiorcy mają czas do 25 maja 2018 r. na wdrożenie wymagań RODO, które znajdzie bezpośrednie zastosowanie i zastąpi przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. RODO jest wyzwaniem dla przedsiębiorców, jak również dla wszystkich państw Unii Europejskiej, które powinny uregulować kwestie, w których przyznano im swobodę, w krajowych ustawach o ochronie danych osobowych. Na stronie Ministerstwa Cyfryzacji został udostępniony projekt nowej ustawy o ochronie danych osobowych wraz z wprowadzeniem do tego projektu.

Poniżej przedstawiono jedynie przysłowiowy wierzchołek góry lodowej istotnych zmian i nowości wprowadzonych przez RODO.

W RODO i nowoprojektowanych przepisach krajowych nie będzie katalogu środków zabezpieczeń organizacyjnych lub technicznych danych osobowych, których uwzględnienie gwarantuje zgodność z przepisami. W związku z tym każdy podmiot, który przetwarza dane osobowe będzie musiał na podstawie zdiagnozowanego ryzyka samodzielnie określić katalog takich środków biorąc pod uwagę specyfikę własnej organizacji. Nie pojawią się nowe regulacje krajowe z zakresu bezpieczeństwa danych osobowych, na wzór obecnego Rozporządzenia MSWiA z 2004 r.1)). Krajowy organ nadzorczy będzie badał, czy są wdrożone środki zabezpieczenia danych osobowych,  są zgodne z RODO i adekwatne do wszystkich zagrożeń dotyczących danych osobowych.

Naruszenie RODO wiąże się z ryzykiem nałożenia na przedsiębiorcę wysokiej administracyjnej kary pieniężnej. Kary te są zdecydowanie bardziej dotkliwe niż dotychczas przewidywane przez ustawodawcę polskiego. RODO wyróżnia dwa progi kwotowe kar w zależności od rodzaju naruszenia: 1) 10 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego i 2) 20 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W każdym indywidualnym przypadku kara powinna być skuteczna, proporcjonalna i odstraszająca (vide: art. 83 RODO).

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę i dochodzić ochrony prawnej przed sądem. Należy zwrócić uwagę na odwrócony ciężar dowodu, który spoczywa na administratorze lub podmiocie przetwarzającym. Zostaną oni zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (vide: art. 82 RODO).

Kolejną nowością jest obowiązek administratora uwzględnienia ochrony danych już w fazie projektowania np. aplikacji czy systemu oraz wdrożenia takich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania (zasady privacy by designprivacy by default).

RODO wprowadza również nowe obowiązki informacyjne. Administrator już podczas pozyskiwania danych osobowych będzie zobowiązany podać szereg informacji wskazanych w RODO, w tym cel przetwarzania danych osobowych oraz podstawę prawną przetwarzania, okres przez który dane osobowe będą przechowywane, informacje o zamiarze przekazania danych osobowych do państw trzecich, prawie do przenoszenia danych, o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu (vide: art. 13 RODO).

Jeżeli przetwarzanie danych osobowych odbywa się na podstawie zgody, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Administrator musi być w stanie wykazać, że osoba wyraziła zgodę na przetwarzanie swoich danych osobowych (vide: art. 7 RODO).

Konieczne będzie również wyznaczenie w pewnych przypadkach inspektora ochrony danych, np. gdy główna działalność administratora lub podmiotu przetwarzającego dane wymaga regularnego, systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (vide: art. 37 RODO).

Od 2018 r. zniknie obowiązek rejestracji zbioru danych osobowych, ale pojawi się obowiązek prowadzenia przez administratora rejestru czynności przetwarzania danych osobowych (vide: art. 30 RODO) i zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz w pewnych przypadkach osobie, której dane dotyczą, np. klientowi, bez zbędnej zwłoki (vide: art. 33 i 34 RODO).

Do weryfikacji lub poprawy pozostają umowy powierzenia przetwarzania danych osobowych, których okres obowiązywania przekracza 25 maja 2018 r. RODO określa nowe elementy treściowe, które powinny zostać w nich zawarte (vide: art. 28 RODO).

Anna Karolak, adwokat. Specjalistka z zakresu prawa własności intelektualnej i prawa nowych technologii.

   [ + ]

1.Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024