Egzamin dla menedżerów z danych osobowych

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: DzU 1997 Nr 133 poz. 883 ze zm.) w obecnym kształcie, już niebawem ulegnie gruntownej zmianie, a to wszystko za sprawą zbliżającego się terminu wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (dalej: RODO lub Rozporządzenie). RODO wejdzie w życie już 25 maja 2018 r.

Ministerstwo Cyfryzacji przygotowało w tym zakresie projekt nowej ustawy o ochronie danych osobowych (dalej: „Projekt UODO"). Projekt UODO dostosowuje polskie prawo do unijnego i wprowadza w tym celu istotne zmiany, m.in. w zakresie obowiązków dla podmiotów przetwarzających dane osobowe oraz w zakresie nowych instrumentów do nakładania sankcji za naruszenia prawa. Nowa regulacja stanowić ma ważny krok w kierunku wzmocnienia praw obywateli w erze cyfryzacji i uproszczenia działalności gospodarczej dzięki ujednoliceniu zasad dla administratorów rynku w całej Unii Europejskiej.

Dostosowanie polskich przepisów do regulacji unijnych to jedno, natomiast dostosowanie do nowych realiów prawnych firm czy instytucji to drugie. Osoby zarządzające firmą czy instytucjami oraz podejmujące w nich kluczowe decyzje powinne być świadome zmian, jakie w obszarze ochrony danych osobowych nastąpią od 25 maja przyszłego roku. To samo dotyczy osób fizycznych, które już dziś powinny poznać swoje nowe prawa i obowiązki.

Jakie korzyści dla osób fizycznych

Przede wszystkim Rozporządzenie wprowadza szereg instrumentów ochrony danych osobowych dla osób, których te dane dotyczą. Są to w szczególności:

1. Obowiązek poinformowania o naruszeniu danych osobowych

Administratorzy będą zobowiązani poinformować o naruszeniu danych organ nadzorczy oraz w wyszczególnionych przypadkach osobę, której dane dotyczą.

2. Prawo do bycia zapomnianym

Dotyczy przypadków, w których brak jest podstaw legitymujących przetwarzanie danych osobowych konkretnej osoby, a osoba ta nie chce, aby jej dane były wykorzystywane. Komisja Europejska podkreśla, że uprawnienie to nie ma prowadzić do eliminowania niewygodnych informacji na temat danej osoby, a jedynie ma na celu zapewnienie większej ochrony prywatności.

3. Dostęp do informacji o stanie przetwarzania danych

Chodzi o zapewnienie zainteresowanej osobie szybszego i łatwiejszego dostępu do informacji o stanie przetwarzania jej danych osobowych.

4. Domyślna ochrona danych osobowych

Zmiana ta wynika z potrzeby zapewnienia ochrony danych osobowych już na etapie tworzenia danej usługi internetowej. Chodzi o zastosowanie takich zabezpieczeń, które zapewnią ochronę od samego początku tworzenia nowych rozwiązań biznesowych. Instrumenty, jakie zapewnia nowa regulacja to przede wszystkim szyfrowanie, pseudonimowanie danych oraz wprowadzenie rozwiązań pozbawiających dane pewnych istotnych cech umożliwiających identyfikację osoby.

5. Kary finansowe za nieprzestrzeganie przepisów

Polski organ ochrony danych będzie wyposażony w możliwość nakładania administracyjnych kar pieniężnych aż do wysokości około 20 mln euro albo do 4 proc. obrotu przedsiębiorcy. Wyjątek ma stanowić nakładanie kar finansowych na podmioty publiczne. Prezes Urzędu będzie mógł nałożyć na podmioty publiczne, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 tys. zł.

6. Przyspieszenie postępowań w sprawach dotyczących łamania przepisów

Polski organ ochrony danych przedstawi w tym zakresie plan zniesienia dwuinstancyjności postępowań w przypadkach związanych z naruszeniem przepisów ochrony danych osobowych.

Jakie korzyści dla przedsiębiorców

Należy pamiętać, że w erze globalizacji pozyskiwanie danych osobowych ma coraz większe znaczenie ekonomiczne, szczególnie w obszarze tzw. Big Data. Rozporządzenie ma na celu zapewnić nowe perspektywy biznesowe i przyspieszyć obszar innowacyjności. Najistotniejsze zmiany z perspektywy przedsiębiorców to:

Jeden kontynent, jedno prawo

Nowa regulacja ma zapewnić te same reguły prowadzenia biznesu w zakresie ochrony danych osobowych na obszarze całej Unii Europejskiej.

Mechanizm One-stop-shop

Chodzi o zagwarantowanie przedsiębiorcom możliwości zgłaszania wszelkich nieprawidłowości i egzekwowania swoich praw w jednym wyspecjalizowanym do tego organie, zamiast kilku oddzielnych instytucji i instancji. Instrument ten, jak przekonuje Komisja Europejska, ma zapewnić również większe szanse dochodzenia roszczeń przez obywateli polskich wobec przedsiębiorców z innych krajów członkowskich UE.

Likwidacja GIODO

W konsekwencji w miejsce obecnego generalnego inspektora ochrony danych osobowych powołany zostanie nowy organ - prezes Urzędu Ochrony Danych Osobowych.

Unijne prawo dla firm spoza Unii Europejskiej

Firmy z państw trzecich, które oferują swoje usługi na terenie wspólnoty europejskiej, będą zmuszone stosować się do przepisów Rozporządzenia.

Prawo do transferu danych

Nowe firmy (start-upy) oraz mniejsze przedsiębiorstwa będą mogły uzyskać dostęp do rynków danych obleganych przez firmy będące gigantami w obszarze cyfryzacji.

Reguła rozliczalności

Nowa zasada ma zapewnić, że ciężar dowodu w zakresie zapewnienia zgodności z przepisami RODO będzie spoczywał na barkach administratorów.