Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

Dane osobowe: zwiększenie kontroli potencjalnego konsumenta

www.sxc.hu
Nowe regulacje majš zwiększyć kontrolę potencjalnego konsumenta nad jego prywatnoœciš w otoczeniu prywatnym i biznesowym.

Dotychczasowe przepisy ochrony danych osobowych zawarte w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: DzU z 1997 nr 133 poz. 883 ze zm.) już niebawem ulegnš zmianie. 28 marca Ministerstwo Cyfryzacji przedstawiło nowy projekt ustawy o ochronie danych osobowych (dalej: projekt UODO). Powodem powziętych przez Ministerstwo kroków jest zbliżajšcy się termin wejœcia w życie RODO, czyli rozporzšdzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zwišzku z przetwarzaniem danych osobowych i ich swobodnym przepływem (dalej: RODO lub rozporzšdzenie), które zacznie obowišzywać we wszystkich państwach członkowskich Unii Europejskiej już 25 maja 2018 r. Rozporzšdzenie wprowadza szereg zmian, rozszerzajšc zakres obowišzków administratorów i podmiotów przetwarzajšcych dane osobowe. Ponadto, wyposażać ma zarówno osoby fizyczne, jak i organy nadzorujšce w skuteczne narzędzia reagowania na stwierdzone naruszenia przepisów RODO. Za niecałe 14 miesięcy zacznš więc obowišzywać przepisy, majšce na celu wprowadzenie surowszych obowišzków, w tym w szczególnoœci wobec przedsiębiorców. Za niewywišzanie się z nich grozić będš wysokie kary finansowe. Ministerstwo Cyfryzacji opracowało projekt UODO w celu dostosowania polskich przepisów do regulacji unijnych. Ministerstwo wskazało przy tym, ze opracowanie projektu UODO na tak wczesnym etapie ma służyć zapewnieniu całkowitej transparentnoœci tworzenia przepisów o ochronie danych osobowych.

Projekt UODO składa się z przepisów:

- ogólnych,

- dotyczšcych akredytacji i certyfikacji,

- regulujšcych postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,

- regulujšcych europejskš współpracę administracyjnš,

- dotyczšcych postępowania kontrolnego,

- dotyczšcych administracyjnych kar pieniężnych,

- regulujšcych odpowiedzialnoœć cywilnš za dokonanie naruszeń,

- regulujšcych kwestie zwišzane z inspektorami ochrony danych.

Nowe zasady uzyskiwania zgody

Jednš z najdonioœlejszych zmian, jakie przewiduje projekt, jest wprowadzenie nowych zasad uzyskiwania zgody na przetwarzanie danych osobowych, z czym wišże się szereg obowišzków wobec przedsiębiorców i administratorów. Zmiana ta wynika przede wszystkim z potrzeby zapewnienia ochrony danych osobowych już na etapie projektowania wprowadzanych rozwišzań. Mowa tu w szczególnoœci o aplikacjach, portalach społecznoœciowych i konkursach. Chodzi więc o zastosowanie takich zabezpieczeń, które zapewniš ochronę od samego poczštku tworzenia nowych rozwišzań biznesowych. Instrumenty temu służšce, to przede wszystkim: szyfrowanie, pseudonimowanie danych, czy też wprowadzenie rozwišzań pozbawiajšcych danych pewnych istotnych cech umożliwiajšcych identyfikację osoby.

Co istotne, różnice odczujš także konsumenci, którzy uzyskajš m.in. prawo do bycia zapomnianym oraz prawo do uzyskania rzetelnych informacji o tym, jak przetwarzane sš ich dane osobowe. Tym samym zwiększy to kontrolę potencjalnego konsumenta nad jego prywatnoœciš w otoczeniu prywatnym i biznesowym.

Celem rozporzšdzenia jest zagwarantowanie właœciwej ochrony danych osobowych na terenie całej Unii Europejskiej. Jak wskazujš ostatnie wyniki badań statystycznych, istnieje silna potrzeba znowelizowania dotychczasowego systemu. Potwierdza to m.in. fakt, że aż 75 proc. Europejczyków przyznało się do „braku zaufania względem firm internetowych takich jak dostawcy wyszukiwarek, portali społecznoœciowych etc." Co więcej, połowa ankietowanych „obawia się, że stanie się ofiarš oszustwa polegajšcego na niewłaœciwym wykorzystaniu ich danych".

Istotnš zmianš ma być także programowanie systemów ochrony danych osobowych w sposób domyœlny (ang. by default). Oznacza to, że ustawienia dostępnoœci i zakresu pobierania przez firmy naszych danych osobowych, majš być domyœlnie zaprogramowane na minimum. Przedsiębiorcy pozyskujšcy dane będš zatem musieli uwzględnić owš przesłankę niezbędnoœci już na etapie tworzenia usług lub produktów.

Co z czarnymi listami

Wejœcie w życie nowych przepisów ma skutecznie zamknšć furtki dla podmiotów, które nagminnie łamiš prawo. Przykładem takich praktyk, sš m.in. działania firm rekrutacyjnych, które polegajš na tworzeniu tzw. „czarnych list". Czarne listy to zbiory danych osobowych zawierajšce informacje o osobach, które z pewnych powodów sš z góry odrzucane przez rekruterów. Co istotne, osoby takie nie sš o tym informowane. Firmy rekrutujšce tworzš czarne listy pracowników, powodujšc że osoba taka staje się automatycznie „niezatrudnialna" i może w przyszłoœci mieć poważne problemy ze znalezieniem zatrudnienia. Jakie sytuacje mogš powodować, że pewne osoby trafiš na takš listę? Dla przykładu, doprowadzić do tego może zawarcie w swoim CV fałszywych informacji, niewłaœciwe bšdŸ agresywne zachowanie względem rekrutera lub też przyjœcie na rozmowę kwalifikacyjnš pod wpływem alkoholu. Należy pokreœlić, że takie działania firm rekrutujšcych sš niezgodne z obecnymi przepisami o ochronie danych osobowych. Wejœcie w życie nowej regulacji, zarówno UODO jak i RODO, ma jednak skuteczniej wykrywać takie działania, a przy tym zapewnić odpowiednie narzędzia sankcjonowania przypadków łamania prawa w obszarze ochrony danych osobowych.

Przyspieszenie postępowań

Ministerstwo zapowiedziało również plany przyspieszenia postępowań w sprawach dotyczšcych łamania przepisów o ochronie danych, co znaleŸć ma swoje literalne odzwierciedlenie w przepisach samej ustawy. W tym celu planowane jest m.in. zniesienie dwuinstancyjnoœci postępowań w przypadkach zwišzanych z naruszeniem przepisów ochrony danych osobowych. Zmiana w tym zakresie jest konieczna. Jak podaje bowiem Ministerstwo Cyfryzacji, tylko w 2015 r. rozpatrzenie spraw trwało bowiem niekiedy nawet ponad 3 lata.

Likwidacja GIODO

Wyjaœnić należy, że w miejsce obecnego generalnego inspektora ochrony danych osobowych (dalej: GIODO) powołany zostanie nowy organ - prezes Urzędu Ochrony Danych Osobowych (dalej: prezes UODO lub prezes Urzędu). Po dwudziestu latach funkcjonowania GIODO przestanie istnieć. Zmiana ta wynika z wymogów dostosowania prawa polskiego do prawa unijnego i stosowanej w RODO terminologii. Zachowanie obecnej nazwy organu mogłoby bowiem wprowadzać w błšd, w szczególnoœci co do pozycji ustrojowej generalnego inspektora. Z uwagi jednak na fakt, że opracowany przez Ministerstwo Cyfryzacji projekt nie zawiera przepisów przejœciowych i wykonawczych, brak jest na chwilę obecnš informacji, w jaki sposób przebiegnie wyżej wspomniana sukcesja i czy spowoduje ona zmiany kadrowe w GIODO. Samo nazewnictwo przypominać będzie nazewnictwo stosowane w strukturach Urzędu Ochrony Konkurencji i Konsumenta kierowanego przez prezesa. Warto przy tym podkreœlić, że nie jest to jedyne podobieństwo. Kolejne wynika z planów wprowadzenia kar pieniężnych za naruszenie nowej ustawy.

Zdaniem autorki

Aleksandra Berger, prawnik Kancelaria Prawna Schampera, Dubis, Zajšc i Wspólnicy Sp. k.

Warto już dziœ zapoznać się z najważniejszymi zmianami, jakie przyniesie nowa regulacja, modyfikujšca dotychczasowš ustawę o ochronie danych osobowych, aby zabezpieczyć swojš firmę przed ryzykiem kar finansowych.

Najbardziej istotnš zmianš ma być wprowadzenie sankcji finansowych za nieprzestrzeganie przepisów nowej ustawy. Dotychczasowa regulacja przewiduje jedynie sankcje karne, natomiast od momentu wejœcia w życie przepisów unijnych, prezes UODO będzie mógł nałożyć kary finansowe na przedsiębiorców i administratorów. W przypadku przedsiębiorców kary te będš mogły być nakładane aż do wysokoœci około 20 mln euro albo do 4 proc. obrotu przedsiębiorcy. Wyjštek ma stanowić nakładanie kar finansowych na podmioty publiczne. Prezes Urzędu będzie mógł bowiem nałożyć na podmioty publiczne, w drodze decyzji, administracyjne kary pieniężne w wysokoœci do 100 tys. zł.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL