Firma

Dane osobowe: zwiększenie kontroli potencjalnego konsumenta

www.sxc.hu
Nowe regulacje mają zwiększyć kontrolę potencjalnego konsumenta nad jego prywatnością w otoczeniu prywatnym i biznesowym.

Dotychczasowe przepisy ochrony danych osobowych zawarte w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: DzU z 1997 nr 133 poz. 883 ze zm.) już niebawem ulegną zmianie. 28 marca Ministerstwo Cyfryzacji przedstawiło nowy projekt ustawy o ochronie danych osobowych (dalej: projekt UODO). Powodem powziętych przez Ministerstwo kroków jest zbliżający się termin wejścia w życie RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (dalej: RODO lub rozporządzenie), które zacznie obowiązywać we wszystkich państwach członkowskich Unii Europejskiej już 25 maja 2018 r. Rozporządzenie wprowadza szereg zmian, rozszerzając zakres obowiązków administratorów i podmiotów przetwarzających dane osobowe. Ponadto, wyposażać ma zarówno osoby fizyczne, jak i organy nadzorujące w skuteczne narzędzia reagowania na stwierdzone naruszenia przepisów RODO. Za niecałe 14 miesięcy zaczną więc obowiązywać przepisy, mające na celu wprowadzenie surowszych obowiązków, w tym w szczególności wobec przedsiębiorców. Za niewywiązanie się z nich grozić będą wysokie kary finansowe. Ministerstwo Cyfryzacji opracowało projekt UODO w celu dostosowania polskich przepisów do regulacji unijnych. Ministerstwo wskazało przy tym, ze opracowanie projektu UODO na tak wczesnym etapie ma służyć zapewnieniu całkowitej transparentności tworzenia przepisów o ochronie danych osobowych.

Projekt UODO składa się z przepisów:

- ogólnych,

- dotyczących akredytacji i certyfikacji,

- regulujących postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,

- regulujących europejską współpracę administracyjną,

- dotyczących postępowania kontrolnego,

- dotyczących administracyjnych kar pieniężnych,

- regulujących odpowiedzialność cywilną za dokonanie naruszeń,

- regulujących kwestie związane z inspektorami ochrony danych.

Nowe zasady uzyskiwania zgody

Jedną z najdonioślejszych zmian, jakie przewiduje projekt, jest wprowadzenie nowych zasad uzyskiwania zgody na przetwarzanie danych osobowych, z czym wiąże się szereg obowiązków wobec przedsiębiorców i administratorów. Zmiana ta wynika przede wszystkim z potrzeby zapewnienia ochrony danych osobowych już na etapie projektowania wprowadzanych rozwiązań. Mowa tu w szczególności o aplikacjach, portalach społecznościowych i konkursach. Chodzi więc o zastosowanie takich zabezpieczeń, które zapewnią ochronę od samego początku tworzenia nowych rozwiązań biznesowych. Instrumenty temu służące, to przede wszystkim: szyfrowanie, pseudonimowanie danych, czy też wprowadzenie rozwiązań pozbawiających danych pewnych istotnych cech umożliwiających identyfikację osoby.

Co istotne, różnice odczują także konsumenci, którzy uzyskają m.in. prawo do bycia zapomnianym oraz prawo do uzyskania rzetelnych informacji o tym, jak przetwarzane są ich dane osobowe. Tym samym zwiększy to kontrolę potencjalnego konsumenta nad jego prywatnością w otoczeniu prywatnym i biznesowym.

Celem rozporządzenia jest zagwarantowanie właściwej ochrony danych osobowych na terenie całej Unii Europejskiej. Jak wskazują ostatnie wyniki badań statystycznych, istnieje silna potrzeba znowelizowania dotychczasowego systemu. Potwierdza to m.in. fakt, że aż 75 proc. Europejczyków przyznało się do „braku zaufania względem firm internetowych takich jak dostawcy wyszukiwarek, portali społecznościowych etc." Co więcej, połowa ankietowanych „obawia się, że stanie się ofiarą oszustwa polegającego na niewłaściwym wykorzystaniu ich danych".

Istotną zmianą ma być także programowanie systemów ochrony danych osobowych w sposób domyślny (ang. by default). Oznacza to, że ustawienia dostępności i zakresu pobierania przez firmy naszych danych osobowych, mają być domyślnie zaprogramowane na minimum. Przedsiębiorcy pozyskujący dane będą zatem musieli uwzględnić ową przesłankę niezbędności już na etapie tworzenia usług lub produktów.

Co z czarnymi listami

Wejście w życie nowych przepisów ma skutecznie zamknąć furtki dla podmiotów, które nagminnie łamią prawo. Przykładem takich praktyk, są m.in. działania firm rekrutacyjnych, które polegają na tworzeniu tzw. „czarnych list". Czarne listy to zbiory danych osobowych zawierające informacje o osobach, które z pewnych powodów są z góry odrzucane przez rekruterów. Co istotne, osoby takie nie są o tym informowane. Firmy rekrutujące tworzą czarne listy pracowników, powodując że osoba taka staje się automatycznie „niezatrudnialna" i może w przyszłości mieć poważne problemy ze znalezieniem zatrudnienia. Jakie sytuacje mogą powodować, że pewne osoby trafią na taką listę? Dla przykładu, doprowadzić do tego może zawarcie w swoim CV fałszywych informacji, niewłaściwe bądź agresywne zachowanie względem rekrutera lub też przyjście na rozmowę kwalifikacyjną pod wpływem alkoholu. Należy pokreślić, że takie działania firm rekrutujących są niezgodne z obecnymi przepisami o ochronie danych osobowych. Wejście w życie nowej regulacji, zarówno UODO jak i RODO, ma jednak skuteczniej wykrywać takie działania, a przy tym zapewnić odpowiednie narzędzia sankcjonowania przypadków łamania prawa w obszarze ochrony danych osobowych.

Przyspieszenie postępowań

Ministerstwo zapowiedziało również plany przyspieszenia postępowań w sprawach dotyczących łamania przepisów o ochronie danych, co znaleźć ma swoje literalne odzwierciedlenie w przepisach samej ustawy. W tym celu planowane jest m.in. zniesienie dwuinstancyjności postępowań w przypadkach związanych z naruszeniem przepisów ochrony danych osobowych. Zmiana w tym zakresie jest konieczna. Jak podaje bowiem Ministerstwo Cyfryzacji, tylko w 2015 r. rozpatrzenie spraw trwało bowiem niekiedy nawet ponad 3 lata.

Likwidacja GIODO

Wyjaśnić należy, że w miejsce obecnego generalnego inspektora ochrony danych osobowych (dalej: GIODO) powołany zostanie nowy organ - prezes Urzędu Ochrony Danych Osobowych (dalej: prezes UODO lub prezes Urzędu). Po dwudziestu latach funkcjonowania GIODO przestanie istnieć. Zmiana ta wynika z wymogów dostosowania prawa polskiego do prawa unijnego i stosowanej w RODO terminologii. Zachowanie obecnej nazwy organu mogłoby bowiem wprowadzać w błąd, w szczególności co do pozycji ustrojowej generalnego inspektora. Z uwagi jednak na fakt, że opracowany przez Ministerstwo Cyfryzacji projekt nie zawiera przepisów przejściowych i wykonawczych, brak jest na chwilę obecną informacji, w jaki sposób przebiegnie wyżej wspomniana sukcesja i czy spowoduje ona zmiany kadrowe w GIODO. Samo nazewnictwo przypominać będzie nazewnictwo stosowane w strukturach Urzędu Ochrony Konkurencji i Konsumenta kierowanego przez prezesa. Warto przy tym podkreślić, że nie jest to jedyne podobieństwo. Kolejne wynika z planów wprowadzenia kar pieniężnych za naruszenie nowej ustawy.

Zdaniem autorki

Aleksandra Berger, prawnik Kancelaria Prawna Schampera, Dubis, Zając i Wspólnicy Sp. k.

Warto już dziś zapoznać się z najważniejszymi zmianami, jakie przyniesie nowa regulacja, modyfikująca dotychczasową ustawę o ochronie danych osobowych, aby zabezpieczyć swoją firmę przed ryzykiem kar finansowych.

Najbardziej istotną zmianą ma być wprowadzenie sankcji finansowych za nieprzestrzeganie przepisów nowej ustawy. Dotychczasowa regulacja przewiduje jedynie sankcje karne, natomiast od momentu wejścia w życie przepisów unijnych, prezes UODO będzie mógł nałożyć kary finansowe na przedsiębiorców i administratorów. W przypadku przedsiębiorców kary te będą mogły być nakładane aż do wysokości około 20 mln euro albo do 4 proc. obrotu przedsiębiorcy. Wyjątek ma stanowić nakładanie kar finansowych na podmioty publiczne. Prezes Urzędu będzie mógł bowiem nałożyć na podmioty publiczne, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 tys. zł.

Źródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL