Nowe zasady ochrony danych osobowych dla firm

Rozporządzenie o ochronie danych osobowych, które zacznie obowiązywać w maju 2018 r., wprowadzi nowe wymogi i obostrzenia oraz wysokie kary pieniężne za ich lekceważenie. Choć zakres zmian powoduje, że firmy mogą postrzegać regulację jako kolejną uciążliwość w swobodnym prowadzaniu działalności biznesowej, wiele zmieni się na lepsze.

Publikacja: 20.01.2017 05:40

Nowe zasady ochrony danych osobowych dla firm

Foto: 123RF

Celem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych (RODO) jest zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi. Rozporządzenie ujednolica zasady, zgodnie z którymi dane będą przetwarzane na terenie Unii Europejskiej, a jednocześnie ma zapewnić ich bezpieczeństwo i zagwarantować nienaruszalność prawa do prywatności.

Wspólne zasady dla całej Unii

Wspólne zasady dotyczące ochrony danych osobowych we wszystkich państwach UE zdecydowanie ułatwią funkcjonowanie firm działających na wielu rynkach. W obecnym porządku prawnym każde z państw członkowskich UE operuje wedle swoich wewnętrznych regulacji (własnej wersji implementacji Dyrektywy 95/46/WE). Łatwo sobie wyobrazić jakie utrudnienia to powoduje.

Dzięki RODO podmioty operujące na terenie kilku państw UE, będą mogły również skorzystać z mechanizmu „one-stop-shop". Oznacza to, że główna jednostka organizacyjna będzie mogła wybrać organ ochrony danych osobowych, właściwy dla całej grupy kapitałowej. Będzie także możliwe powołanie jednego inspektora ochrony danych dla całej grupy (dotychczas w systemie ochrony danych osobowych funkcjonuje Administrator Bezpieczeństwa Informacji – ABI). Zmodyfikowano także koncepcję uzasadnionego interesu administratora jako przesłanki przetwarzania danych. Rozporządzenie wśród przykładowych prawnie uzasadnionych interesów administratorów wskazuje m.in. udostępnianie danych innym jednostkom w ramach grupy przedsiębiorstw, którzy mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach tej grupy do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych klientów lub pracowników (pozostaje to bez wpływu na ogólne zasady przekazywania danych poza EOG, także w ramach grupy). Takie unormowanie daje zatem podstawę do przekazywania danych spółkom z grupy kapitałowej, jako niezależnym administratorom danych.

W pogoni za rozwojem nowych technologii

Dotychczasowe regulacje w zakresie ochrony danych osobowych, implementujące Dyrektywę 95/46/WE z 1995 r. (zarówno krajowe, jaki i unijne) dawno przestały przystawać do zdigitalizowanej rzeczywistości. Ustawodawca to dostrzegł i przygotowując RODO uregulował m.in. zagadnienia przetwarzania nowych kategorii danych, które pojawiły się wraz z rozwojem technologii. Wraz z nową regulacją ochronie będą podlegały nowe kategorie danych takie jak IP, cookie ID, czy user ID wykorzystywany w Google Analytics.

Zmianie ulegnie także forma wyrażania zgody na przetwarzanie danych wrażliwych. Funkcjonująca dziś nomenklatura dotycząca danych szczególnie wrażliwych stanowi, że są one zaliczane do grupy szczególnie chronionych danych osobowych, a zgodnie z brzmieniem ustawowym ich katalog jest zamknięty. Przetwarzanie danych wrażliwych jest co do zasady zabronione, chyba że osoba, której dotyczą pozyskane dane, wyrazi na to pisemną zgodę. Tego typu zapisy, zwłaszcza w przypadku biznesów działających na rynku online, de facto uniemożliwiały przetwarzanie danych szczególnie wrażliwych, często ze szkodą dla klientów.

Ustawodawca unijny zauważył na szczęście tę skostniałość sytemu i w odpowiedzi na coraz bardziej zinformatyzowane środowisko prawne i biznesowe zredagował odpowiednie przepisy. W myśl nowych regulacji, tak jak do tej pory, dane te będą mogły być przetwarzane jedynie za zgodą ich właściciela (podmiotu danych). Zrezygnowano jednak z wymogu pisemności przy zgodzie, co jest bardzo istotną zmianą dla wszystkich administratorów. Państwa członkowskie będą mogły doprecyzować stosowanie przepisów rozporządzenia w zakresie przetwarzania danych wrażliwych. Co więcej będą miały możliwość zaostrzenia rygorów przetwarzania danych genetycznych, biometrycznych i o stanie zdrowia.

Nowe standardy zabezpieczeń

Wart uwagi jest także fakt odejścia od dotychczasowych standardów zabezpieczeń systemów informatycznych, w których są przetwarzane dane osobowe.

Administrator nie będzie już musiał rejestrować zbiorów danych osobowych, wdrażać polityki bezpieczeństwa i instrukcji zarządzania, ani odpowiednich środków bezpieczeństwa w systemie informatycznym w zależności od poziomu bezpieczeństwa. Moc straci rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Stanie się tak również z rozporządzeniem ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Zgodnie z nowymi zapisami, zabezpieczenia będą dobierane indywidualnie w oparciu o ocenę ryzyka przeprowadzoną przez administratora. Nie oznacza to odejścia od wdrażania jakiejkolwiek dokumentacji w tym zakresie. Nowa regulacja wymaga od administratora danych przyjęcia rejestru czynności przetwarzania danych oraz wdrożenia odpowiednich środków technicznych i organizacyjnych. Nie będą jednak one z góry narzucone przez ustawodawcę. Administrator będzie musiał sam ocenić ryzyko związane z przetwarzaniem danych w prowadzonym przez siebie przedsiębiorstwie. W tym celu powinien ustawicznie testować, analizować oraz usprawniać stosowane w firmie środki organizacyjno-techniczne. Generalnie zaimplementowane zmiany, w tym rezygnację z dotychczasowych regulacji, należy ocenić pozytywnie, jednak należy mieć na uwadze, że nie uwzględniają one zaawansowanych technologicznie infrastruktur przetwarzających dane, np. aplikacji mobilnych.

Większa świadomość konsumentów

Wraz z reformą przepisów dotyczących ochrony danych osobowych, wzrosną prawa podmiotów danych – przede wszystkim konsumentów. Nowe regulacje mogą mieć znaczny wpływ na zwiększenie ich świadomości w zakresie bezpiecznego przetwarzania dotyczących ich informacji. Osoby fizyczne będą miały prawo do dostępu do swoich danych, ich prostowania, żądania ograniczenia przetwarzania oraz zgłaszania sprzeciwu. Rozporządzenie wprowadzi także nowe regulacje dotyczące m.in. oczekiwanego prawa do „bycia zapomnianym" (tj. prawo do żądania usunięcia danych) czy żądania przeniesienia danych od jednego administratora do drugiego. Oznacza to, że klient banku, instytucji płatniczej czy pożyczkowej zyska uprawnienie do żądania przeniesienia jego danych i przekazania ich innemu podmiotowi. Przepis ten nie precyzuje pomiędzy jakimi administratorami powinno dochodzić do przekazywania danych. Nie można zatem wykluczyć sytuacji, w której klient zażąda, aby jego dane zostały przekazane przez instytucję płatniczą czy pożyczkową np. do urzędu czy operatora komórkowego.

PSD2 a ochrona danych klientów

Innym istotnym aspektem zastosowania tego uprawnienia będzie jego relacja do nowego rodzaju instytucji płatniczych wprowadzonych dyrektywą PSD2. Podmioty te opierają zasadniczą część swoich usług na przetwarzaniu danych klientów, np. oferują usługę dostępu do informacji o rachunku. Polega ona na dostarczaniu skonsolidowanych informacji na temat co najmniej jednego rachunku płatniczego posiadanego przez danego użytkownika u innego dostawcy usług płatniczych. W tym kontekście pojawia się pytanie: komu i jaki zakres danych o kliencie powinien być przekazywany zgodnie z żądaniem klienta i w jaki sposób przesyłane powinny być dane stanowiące tajemnicę bankową? Kwestię tę powinny uregulować przepisy krajowe implementujące unijną dyrektywę.

Zwiększono także obowiązki informacyjne. Już na etapie pozyskiwania danych ich administrator będzie zobowiązany do podania informacji o prawie do wspomnianego powyżej przenoszenia, okresie przechowywania, a także o zamiarze ich przekazania do państw trzecich etc. W razie wycieku danych osobowych w określonych przypadkach ich administratorzy będą zobowiązani zgłaszać ten fakt do organu nadzorczego i informować osoby, których dane wyciekły. W tym zakresie administratorzy danych będą mogli odebrać cenną lekcję od przedsiębiorców telekomunikacyjnych, na których już teraz ciąży obowiązek zgłaszania do GIODO wszystkich przypadków naruszenia ochrony danych osobowych.

Obowiązuje bezpośrednio

Po czterech latach negocjacji Komisji Europejskiej, Parlamentu Europejskiego oraz Rady Europejskiej 4 maja 2016 roku w Dzienniku Urzędowym Unii Europejskiej opublikowano ostateczną wersję Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Wraz z rozporządzeniem w ramach tzw. pakietu przyjęto także dyrektywę w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych, rozporządzenia ogólnego oraz dyrektywy. Rozporządzenie zacznie obowiązywać od 25 maja 2018 roku, zastępując Dyrektywę 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Rozporządzenie będzie obowiązywać w polskim porządku prawnym bezpośrednio bez potrzeby jego implementacji.

Zuzanna Kopaczyńska- -Grabiec, dyrektor Departamentu Prawnego i Regulacyjnego w Wonga.com

Rygorystyczny system kar

Wraz z nową regulacją znacząco rozbudowano sankcje za niewłaściwe przetwarzanie danych osobowych. Maksymalna kara może wynieść nawet do 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku. Rygorystyczny system kar z pewnością zmobilizuje administratorów do wdrażania dobrych praktyk w zakresie ochrony danych osobowych. Na uznanie zasługuje każda inicjatywa związana z zapewnieniem jak największej transparentności rynku. Nowe standardy pozwolą na zwiększenie zaufania do administratorów danych osobowych oraz na wprowadzenie wyższych standardów dotyczących prawidłowego przetwarzania danych. Mając na uwadze zarówno szeroki zakres nowej regulacji, jak i surowe sankcje za jej nieprzestrzeganie, przygotowania do wejścia w życie RODO warto zacząć już dziś.

Celem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych (RODO) jest zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi. Rozporządzenie ujednolica zasady, zgodnie z którymi dane będą przetwarzane na terenie Unii Europejskiej, a jednocześnie ma zapewnić ich bezpieczeństwo i zagwarantować nienaruszalność prawa do prywatności.

Wspólne zasady dla całej Unii

Pozostało 96% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe