Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

Zmiana prawa: Ochrona danych osobowych i kary finansowe

Fotolia
Od 25 maja 2018 r. zacznš funkcjonować kary finansowe, które będš mogły sięgać nawet 20 milionów euro albo 4 proc. globalnego obrotu całej grupy kapitałowej.

Rok z niewielkim „hakiem" dzieli nas od dnia, w którym zacznie mieć zastosowanie Rozporzšdzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwišzku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporzšdzenie o Ochronie Danych), czyli tzw. RODO.

Należy zwrócić uwagę, że RODO weszło już w życie, jednak obowišzek zachowania zgodnoœci z jego przepisami zaktualizuje się 25 maja 2018 r. Zdaniem niektórych, nadchodzšce zmiany majš charakter ewolucyjny. Inni twierdzš, że to rewolucja i przestrzegajš przed bagatelizowaniem znaczenia i wpływu nowych regulacji na niemal każdš organizację – przedsiębiorców, spółki, stowarzyszenia, podmioty publiczne itd. Warto wspomnieć o kilku zmianach, które dotyczš wszystkich administratorów.

Obowišzek informacyjny

W porównaniu z obecnie obowišzujšcš ustawš o ochronie danych osobowych („UODO"), przepisy RODO (art. 13 i art. 14) wprowadzajš dużo bardziej rozbudowane wymogi w zakresie informacji przekazywanych podmiotowi danych przez administratora – zarówno w przypadku, gdy dane osobowe zbierane sš bezpoœrednio od osoby, której dotyczš, jak i w sytuacji, gdy pozyskiwane sš z innego Ÿródła. Rozszerzony na gruncie RODO obowišzek informacyjny obejmuje m.in. podanie okresu, przez który dane będš przechowywane, a gdy nie jest to możliwe – kryteriów ustalania tego okresu, danych kontaktowych inspektora ochrony danych (gdy ma to zastosowanie) czy też informacji o zamiarze przekazania danych do państwa trzeciego. Z jednej strony, dšżenie do właœciwego poinformowania podmiotów danych na temat losu ich danych osobowych wydaje się działaniem ze wszech miar słusznym, gdyż wpływa na bardziej œwiadome podejmowanie decyzji odnoœnie dysponowania nimi, ujawniania ich, a także udzielania wszelkich zgód. Z drugiej strony, rozszerzenie obowišzku informacyjnego powoduje, że objętoœć tekstu, który będzie go wypełniał, znaczšco wzroœnie. Czy taka iloœć danych nie zadziała wręcz odstraszajšco? Wkrótce się przekonamy.

Ocena skutków dla ochrony danych

Kolejnym obowišzkiem, który już od przyszłego roku będzie dotyczył wielu administratorów danych, będzie powinnoœć przeprowadzenia oceny skutków przetwarzania dla ochrony danych. Zgodnie z art. 35 RODO jeżeli dany rodzaj przetwarzania – w szczególnoœci z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolnoœci osób fizycznych, administrator przed rozpoczęciem przetwarzania zobowišzany jest dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W praktyce brakuje (na razie) bardziej precyzyjnych wskazówek odnoœnie przeprowadzania oceny skutków (DPIA – Data Protection Impact Assessment), co może powodować, że jakoœć wykonania tej procedury będzie znaczšco różnić się w zależnoœci od administratora. RODO wprowadza przy tym pewne odstępstwa w zakresie administratorów z sektora publicznego, tzn. obowišzek przeprowadzenia DPIA jest wyłšczony, jeżeli przepisy unijne/krajowe regulujš danš operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków tych przepisów. Sšdzšc jednak po stopniu zaawansowania prac legislacyjnych zwišzanych z rozpoczęciem stosowania RODO, wydaje się wštpliwym, czy ustawodawca zdšży znowelizować wszelkie stosowne akty prawne tak, by wyłšczyć obowišzek przeprowadzenia DPIA w przypadku wszystkich podmiotów publicznych.

Jakie kary

Jednš z najistotniejszych zmian, jakie niesie ze sobš RODO, jest możliwoœć nakładania przez organ ochrony danych osobowych bardzo wysokich kar administracyjnych. Na chwilę obecnš GIODO nie dysponuje możliwoœciš stosowania takich sankcji, choć UODO przewiduje odpowiedzialnoœć karnš za nieprawidłowe przetwarzanie danych. Od 25 maja 2018 r. zacznš funkcjonować kary finansowe, które będš mogły sięgać nawet 20 milionów euro albo 4 proc. globalnego obrotu całej grupy kapitałowej. Sšdzi się, że widmo tak poważnej odpowiedzialnoœci finansowej spowoduje, iż kwestie zwišzane z ochronš danych osobowych nabiorš w kontekœcie wielu organizacji należnego im znaczenia, a administratorzy danych zainwestujš właœciwy czas i pienišdze na dostosowanie swojej dokumentacji i procesów do nowej legislacji. W tym kontekœcie warto wspomnieć, że w projekcie nowej ustawy o ochronie danych osobowych, który ukazał się na stronach Ministerstwa Cyfryzacji 28 marca 2017 r., przewidziano ograniczenie odpowiedzialnoœci z tytułu ww. kar dla administratorów będšcych podmiotami publicznymi – w takim wypadku wysokoœć kary nie będzie mogła przekroczyć 100.000 zł. Z rozmów z przedstawicielami ministerstwa wynika jednak, że nie jest całkowicie wykluczone wprowadzenie do nowej ustawy również przepisów o odpowiedzialnoœci karnej.

podstawa prawna: Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jedn. DU z 2016 r. poz. 922)

Magdalena Koniarska, adwokat w zespole ochrony prywatnoœci i technologii informacyjno-komunikacyjnych w kancelarii Wierzbowski Eversheds Sutherland

Gerard Karp, partner kierujšcy zespołem ochrony prywatnoœci i technologii informacyjno-komunikacyjnych w kancelarii Wierzbowski Eversheds Sutherland

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL