fbTrack
REKLAMA
REKLAMA

Rzecz o prawie

Ochrona danych osobowych w nowym unijnym rozporządzeniu

123RF
Uważna lektura nowego unijnego rozporządzenia prowadzi do wniosku, że czasy, w których ochrona danych osobowych traktowana była przez wielu przedsiębiorców z przymrużeniem oka, dobiegają końca – twierdzą prawnicy.

Po kilku latach intensywnych prac legislacyjnych Parlament Europejski uchwalił ostateczną treść rozporządzenia ogólnego o ochronie danych osobowych. Nowe przepisy będą obowiązywać w Polsce już za dwa lata, a dla wielu przedsiębiorców dostosowanie działalności do nowego prawa w tak krótkim czasie może być dużym wyzwaniem. Najważniejsze wnioski z lektury rozporządzenia można sprowadzić do dwóch zasadniczych tez. Przede wszystkim w ocenie unijnego ustawodawcy ochrona prywatności jest fundamentalnym prawem każdego, kogo dane te dotyczą, a rolą organów ochrony danych jest maksymalizowanie tej ochrony za pomocą narzędzi przyznanych na mocy nowych przepisów. Jednocześnie jednak rozporządzenie otwiera przed przedsiębiorcami nowe możliwości przetwarzania danych do celów biznesowych – precyzyjnie wskazując np., w jaki sposób profilować klientów, choćby na potrzeby zwiększenia sprzedaży, jak przetwarzać dane osobowe dzieci albo jak dokonywać oceny skutków przetwarzania na prywatność.

W porównaniu z obecnie obowiązującą ustawą rozporządzenie wymaga przede wszystkim znacznie większej odpowiedzialności oraz dojrzałości przy przetwarzaniu danych osobowych, zarówno od administratorów danych, jak i podmiotów przetwarzających dane na zlecenie.

W myśl nowego prawa administratorzy danych zostali zobowiązani do zawierania umów o powierzenie przetwarzania danych jedynie z tymi podmiotami, które gwarantują właściwe wdrożenie przepisów rozporządzenia, w tym zaimplementowali środki bezpieczeństwa adekwatne do ryzyka związanego z przetwarzaniem, na przykład poprzez szyfrowanie danych, ale też regularne ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo. Co ważne, zmieniła się także minimalna treść umowy powierzenia, która będzie musiała regulować kwestię transferu danych poza Europejski Obszar Gospodarczy, czy też obowiązki podmiotu przetwarzającego dane na zlecenie w zakresie realizacji uprawnień osób, których dane są przetwarzane w imieniu administratora.

Więcej zadań dla administratora

Unijny ustawodawca postawił mocniej na przejrzystość przetwarzania danych i realne informowanie osoby o gromadzeniu i wykorzystywaniu jej danych osobowych. Do tej pory wystarczyło posługiwać się krótką, zestandaryzowaną klauzulą zawierającą obligatoryjne informacje wynikające z ustawy. Już jednak niedługo wykonywanie obowiązku informacyjnego będzie wymagało od administratora istotnie większego wysiłku organizacyjnego. To administrator będzie musiał zadbać, aby informacja była zrozumiała, zwięzła i przedstawiona w łatwo dostępnej formie.

Co ciekawe, będzie można wykorzystywać standardowe znaki graficzne, które w zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania danych. Dodatkowo zakres informacji przekazywanych osobie przez administratora zostanie zwiększony. Przykładowo administrator powinien wskazywać dane kontaktowe inspektora ochrony danych czy też szczegółową informację o profilowaniu, o prawie do przenoszenia danych i prawie do cofnięcia zgody albo informację o okresie przechowywania danych osobowych.

Jednocześnie administrator zyska aż miesiąc po pozyskaniu danych na wykonanie obowiązku informacyjnego w przypadku zbierania danych pośrednio oraz dłuższą niż w ustawie listę wyjątków pozwalającą na odstąpienie od obowiązku informowania o przetwarzaniu danych osoby.

Istotnie zmieni się również rola administratora bezpieczeństwa informacji. Zastąpi go inspektor ochrony danych, któremu poświęcono całą sekcję czwartą rozporządzenia. W zamierzeniu ustawodawcy inspektor ma realnie wykonywać swoje obowiązki przy wsparciu administratora.

Jeden inspektor, kilka firm

Inspektor nadal będzie mógł działać w więcej niż jednej firmie, ale przykładowo wyznaczenie inspektora dla grupy firm będzie dopuszczalne tylko wtedy, gdy możliwe będzie łatwe nawiązywanie z nim kontaktu z każdej z nadzorowanych firm. Rzetelność wykonywania zadań jest bowiem priorytetem dla ustawodawcy, a czasy „ABI nadzorującego na papierze dziesiątki firm" właśnie dobiegły końca.

Co równie ważne, skoro inspektor ma reagować na kontakt ze strony osób, których dane są przetwarzane, administrator powinien zapewnić mu odpowiednie zasoby organizacyjne i finansowe oraz niezależność (zakaz otrzymywania instrukcji dotyczących wykonywania zadań) powiązaną tylko z odpowiedzialnością przed zarządem firmy. Potwierdzenie zmiany odzwierciedlone zostało w poszerzonym katalogu zadań inspektora.

Obok tych standardowych związanych z monitorowaniem przestrzegania rozporządzenia pojawiły się nowe – współpraca z GIODO i pełnienie funkcji punktu kontrolnego dla GIODO lub udzielanie zaleceń co do oceny skutków dla ochrony danych osobowych.

Szeroki wachlarz kar

Rozporządzenie daje organowi nadzorczemu wiele możliwości przymuszania przedsiębiorców przetwarzających dane do przestrzegania nowych przepisów. Umożliwia nakładanie kar finansowych w prawie 30 przypadkach, w tym w razie niedochowania obowiązków związanych z warunkami uzyskania zgody na przetwarzanie danych, niedoinformowaniem organu nadzoru o wycieku danych albo korzystaniu z usług podmiotu przetwarzającego, który nie gwarantował właściwego zastosowania przepisów rozporządzenia. Kary finansowe są przy tym niezwykle wysokie – nawet 20 mln euro albo 4 proc. globalnego, rocznego obrotu z poprzedniego roku finansowego (zależnie od tego, która z tych kwot jest wyższa). Oczywiście podmiot, na który może być nałożona tego typu kara, będzie uprawniony do wykazania, że np. posiada odpowiednią certyfikację albo że podjął działania w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą – to w celu zmniejszenia kary. Co również ciekawe, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego dane na zlecenie odszkodowanie za poniesioną szkodę. Mając na uwadze wysokość i charakter sankcji, wydaje się, że stosunek przedsiębiorców do ochrony danych powinien się diametralnie zmienić. Podobnie zresztą jak katalog usług z tym związanych – od usług certyfikacyjnych po ubezpieczenie od wycieku danych osobowych.

Żarty się skończyły

Biorąc pod uwagę zakres zmian, proces implementacji rozporządzenia powinien rozpocząć się niezwłocznie wszędzie tam, gdzie dane osobowe stanowią istotną wartość dla przedsiębiorstwa, a więc na pewno w sektorze bankowym, ubezpieczeniowym, telekomunikacyjnym czy szeroko rozumianym handlu elektronicznym. Ważne jest rozpoczęcie wdrożenia nowych przepisów od precyzyjnego zmapowania procesów biznesowych, które wiążą się z przetwarzaniem danych, jak też nałożenie na te procesy nowych regulacji. Pozwoli to łatwiej zidentyfikować potencjalne ryzyka związane z przetwarzaniem i zareagować na nie z odpowiednim wyprzedzeniem. W praktyce niezmiernie istotna jest także komunikacja z zarządem, w sprawach procesu wdrożenia nowego prawa – zarówno pod kątem korzyści, takich jak np. wzrost zaufania klientów, jak i ryzyka prawnego czy finansowego, a także nowych potrzeb, na przykład zespołu odpowiedzialnego za terminowe przeprowadzenie wdrożenia. Uważna lektura rozporządzenia prowadzi do wniosku, że czasy, gdy ochrona danych osobowych traktowana była przez wielu przedsiębiorców z przymrużeniem oka, dobiegają końca. Nacisk unijnego ustawodawcy na staranne wybieranie podmiotów przetwarzających dane, rzetelne i pełne informowanie klientów o przetwarzaniu ich danych, jak też realny nadzór inspektora ochrony danych nad ochroną prywatności klientów (ale też pracowników) pozwalają sądzić, że poziom bezpieczeństwa znacząco wzrośnie. Szczególnie że praca, która jest do wykonania przez przedsiębiorców w związku z rozporządzeniem, będzie stymulowana potencjalnie ogromnymi karami finansowymi.

Tomasz Koryzma jest partnerem, radcą prawnym w zespole prawa nowych technologii CMS. Marcin Lewoszewski jest starszym prawnikiem, radcą prawnym w zespole prawa nowych technologii CMS

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
REKLAMA
REKLAMA