25 maja 2018 r. wchodzi w życie, także w Polsce, rozporządzenie Komisji Europejskiej, rewolucyjne dla ochrony danych osobowych gromadzonych przez sklepy internetowe, operatorów telefonii komórkowych, banki, ubezpieczycieli, ale także przez pracodawców. Co nas czeka? - zapytał Mateusz Rzemek w #RZECZoPRAWIE Ewę Kurowską-Tober, radcę prawnego z kancelarii DLA PIPER.

- Za rok wszystkie podmioty przetwarzające dane osobowe będą zmuszone stosować przepisy nowego rozporządzenia. Co istotne dla zwykłych obywateli – rozporządzenie będzie bezwzględnie obowiązujące, niezależnie od tego, czy dane państwo wdroży te przepisy do krajowego porządku prawnego. Niemniej jednak jakieś ustawy się pojawią. Ministerstwo Cyfryzacji ogłosiło projekt ustawy o ochronie danych osobowych, która uzupełni przepisy rozporządzenia. Trwają już intensywne prace legislacyjne w różnych ministerstwach, a oprócz tego do nowych wymogów dostosowuje się sektor publiczny i prywatny – powiedziała Ewa Kurowska-Tober.

Do tej pory podmioty takie jak np. banki, firmy ubezpieczeniowe czy sklepy internetowe gromadziły dane o klientach bez żadnych ograniczeń, nie pytając nikogo o zgodę czy zakres zbieranych informacji oraz czas, w jakim dane mogą być przechowywane. Teraz to się zmieni. Będą określone sztywno terminy kasowania zebranych danych, ograniczona zostanie liczba tych informacji.

- Przepisy określą nowe ramy dla profilowania, czyli przetwarzania danych przez systemy informatyczne, które pozwala automatycznie wyciągać pewne wnioski na nasz temat. To mogą być wnioski dotyczące np. oceny zdolności kredytowej. Nowe zasady będą bardziej rygorystyczne. Badanie będzie możliwe, ale obywatel będzie musiał o nim wiedzieć, zostanie poinformowany o jego zakresie, możliwych skutkach i otrzyma prawo do odwołania się od decyzji – mówiła prawniczka.

Pojawi się nowa kategoria danych biometrycznych. Wcześniejsze przepisy także je obejmowały jako dane wrażliwe szczególnej wagi, czyli dotyczące zdrowia czy osobistych cech. Teraz jednak dane biometryczne są wprost wymienione w nowym unijnym rozporządzeniu. Będą mogły być przetwarzane tylko w określonych przypadkach i na podstawie odrębnej zgody osoby, której te dane dotyczą.

- Ważne, żeby rozróżnić, czym są dane biometryczne. Np. nie każdy wizerunek jest traktowany jako dane biometryczne wymagające odrębnej zgody. Chodzi o taki walor wizerunku, który przy przetworzeniu za pomocą specjalnych inteligentnych technologii pozwoli zidentyfikować daną osobę. To nie jest  science fiction. Są już technologie tego typu. Najciekawsze pozwalają identyfikować osoby na podstawie głosu – stwierdziła Ewa Kurowska-Tober.

Unijne rozporządzenie ma chronić nasze dane przed wykorzystaniem przez np. przestępców. Zobowiązuje podmioty do stosowania odpowiednich poziomów zabezpieczeń – im bardziej wrażliwe dane, tym bardziej zaawansowane zabezpieczenia. Zapewniona ma być pełna komunikacja z osobą, której dane dotyczą. Ma dostawać informacje o tym, w jakich celach przetwarza się jej dane i jakie, kto ma do nich dostęp. Klient ma zostać poinformowany, ile czasu jego dane będą przetrzymywane, przy czym czas ten musi być ograniczony.

- Nie będzie można przechowywać danych, bo może się kiedyś do czegoś przydadzą – podkreśliła radca.

Dane osobowe będą łakomym kąskiem nie tylko dla przestępców, ale i dla legalnie działającego biznesu. Rozporządzenie przewiduje więc surową odpowiedzialność za wszelkiego rodzaju naruszenia zasad ochrony danych osobowych. To gigantyczne kary finansowe - do 4 proc. światowego przychodu za poprzedni rok kalendarzowy danego podmiotu lub do 20 mln euro, przy czym stosować się będzie kwotę wyższą.  Kary mają pełnić także funkcję odstraszającą innych. Jednak przy ich wymierzaniu będzie brana pod uwagę także staranność, z jaką dana organizacja wdrożyła procedury ochronne w celu zabezpieczenia danych.

Autopromocja
Nowość!

Trzy dostępy do treści rp.pl w ramach jednej prenumeraty

ZAMÓW TERAZ

Problematyczna jest obecnie kwestia danych osobowych zbieranych przez pracodawców, Katalog takich danych określony w Kodeksie pracy z 1974 r. jest bardzo wąski, dziś już niepraktyczny. Pracodawcy chcą mieć dostęp np. do linii papilarnych. Liczą, że minister pracy rozszerzy katalog danych, które może zbierać pracodawca i że znajdą się w nim także dane wrażliwe.

– Lada moment powstanie projekt regulacji i zobaczymy, czy katalog zostanie rozszerzony zgodnie z oczekiwaniem rynku i realnymi potrzebami – powiedziała Ewa Kurowska-Tober.

#RZECZoPRAWIE: Ewa Kurowska-Tober - Rewolucja w ochronie danych pracowników