Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Dane osobowe

Ochrona danych osobowych: w 2018 r. wejdzie w życie nowe rozporzšdzenie Parlamentu Europejskiego

123RF
W 2018 r. wejdzie w życie nowe rozporzšdzenie Parlamentu Europejskiego ws. ochrony danych osobowych. Już teraz wszyscy musimy się przygotować na nadchodzšce zmiany. Czekajš nas ciekawe czasy – ocenia mec. Izabela Kowalczuk-Pakuła z kancelarii Bird & Bird.
Rozporzšdzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwišzku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE wejdzie w życie 25 maja 2018 r.

„Kiedy przyjmowano dyrektywę 95/46/WE, założyciel Facebooka Mark Zuckerberg miał 13 lat, Google dopiero co został założony, a cloud computing raczkował. Rozporzšdzenie uchwalone w 2016 r. jest o wiele bardziej dostosowane do obecnego, zdigitalizowanego œwiata" – mówi PAP Technologie radca prawny Izabela Kowalczuk-Pakuła, kierujšca praktykš ochrony danych osobowych i prywatnoœci w kancelarii Bird & Bird.

Nowe przepisy we wszystkich państwach członkowskich zajmš miejsce dotychczas obowišzujšcych 28 odpowiedników polskiej ustawy o ochronie danych osobowych. „Rozporzšdzenie będzie jednolicie obowišzywać – niestety z wieloma wyjštkami – we wszystkich krajach członkowskich UE. To ułatwi stosowanie prawa przez podmioty o zasięgu międzynarodowym" – uważa Kowalczuk-Pakuła.

„Zmienia się paradygmat podejœcia do ochrony danych osobowych. Ucišżliwe i biurokratyczne zgłoszenia zbiorów danych osobowych zostanš zastšpione koncepcjš domyœlnej ochrony danych – +data protection by design+, czyli obowišzkiem dbania o ochronę danych osobowych już od rozpoczęcia procesów biznesowych zwišzanych z przetwarzaniem danych" – tłumaczy mecenas.

W obliczu nowych przepisów organizacje będš musiały przeprowadzać analizę skutków operacji przetwarzania dla ochrony danych osobowych, a także będš miały obowišzek uwzględniania ich ochrony już w fazie projektowania usługi. Zaostrzone zostanš także warunki powołania się przez organizacje na niektóre podstawy prawne przetwarzania danych, jak np. zgodę osoby, której dane dotyczš.

Jak wskazuje Kowalczuk-Pakuła, „rozporzšdzenie nadaje daleko idšce uprawnienia osobom fizycznym, jak np. prawo do bycia zapomnianym czy prawo do przenoszalnoœci danych". „Organizacje będš musiały być o wiele bardziej transparentne co do sposobu przetwarzania danych osobowych oraz informować osoby, których dane dotyczš, o takich szczegółach, jak okres retencji danych czy kryteria jego ustalenia, jak również o prawie wniesienia skargi do organu nadzorczego. Ponadto w razie wycieku danych osobowych, w kwalifikowanych wypadkach administratorzy danych będš zobowišzani zgłaszać to do GIODO oraz informować osoby, których dane wyciekły" – dodaje.

Rozporzšdzenie będzie miało zastosowanie do wszystkich biznesowych organizacji przetwarzajšcych dane osobowe, jednak szczególnie mocno wpłynie na podmioty prowadzšce analizę Big Data, zwłaszcza w kontekœcie profilowania konkretnych osób fizycznych. „Istotnym aspektem w kontekœcie profilowania w drodze analizy Big Data będš zapewne obostrzone kryteria dla uzyskania zgody na profilowanie od osób, których dane dotyczš – w tym bardzo rozbudowany obowišzek informacyjny – oraz obowišzek zgłaszania naruszeń ochrony danych do organów nadzorczych, takich jak GIODO" – uważa Kowalczuk-Pakuła.

Ekspertka przyznaje, że "wielu przedsiębiorców kwestionuje niektóre zapisy rozporzšdzenia jako za mało uwzględniajšce interesy biznesu, a zbyt dalece chronišce osobę fizycznš, i to w większoœci przypadków niezależnie od tego czy majš miejsce stałego zamieszkania w UE czy nie". W egzekwowaniu nowego prawa ma pomóc zaostrzenie sankcji. „Kary będš o wiele bardziej dotkliwe – do 20 mln euro, a w przypadku przedsiębiorstwa nawet do 4 proc. całkowitego rocznego œwiatowego obrotu z poprzedniego roku obrotowego" – przestrzega Kowalczuk-Pakuła.

„Bioršc pod uwagę szeroki zakres zmian, już teraz warto rozpoczšć przygotowania do wejœcia w życie nowych przepisów. Przede wszystkim organizacje powinny dokonać analizy luk i uchybień przepisów rozporzšdzenia, zaplanować œrodki naprawcze i kolejnoœć ich wdrażania oraz zastanowić siš nad celowoœciš powołania inspektora ochrony danych (chyba, że takie powołanie jest obowišzkowe na podstawie rozporzšdzenia)" – wylicza Kowalczuk-Pakuła. Jej zdaniem „warto także zastanowić się nad przeglšdem i uaktualnianiem polityk prywatnoœci i klauzul informacyjnych czy zgód, a także umów z dostawcami".

„Rozporzšdzenie jest dobrš okazjš do zrobienia przez organizacje porzšdków na własnych podwórkach i ustalenia kategorii danych na potrzeby mapowania (identyfikacji danych), identyfikacji podstaw przetwarzania i przekazywania danych oraz œrodków zapewniajšcych odpowiedni poziom bezpieczeństwa transferu danych, okresy lub kryteria retencji, itd." – wymienia.

„Wszyscy musimy się przygotować na nadchodzšce zmiany – duzi i mali gracze, biznes i podmioty publiczne. Nie tylko europejskie, ale także wiele podmiotów spoza Unii, np. usługodawcy, którzy na co dzień œwiadczš usługi rezydentom UE. Żarty z ochronš danych osobowych się skończyły. Czekajš nas ciekawe czasy" – przewiduje Kowalczuk-Pakuła.

ródło:

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL