25 maja 2018 r. wejdzie w życie ogólne rozporządzenie o ochronie danych (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych).

Ogólne rozporządzenie o ochronie danych w praktyce przyniesie duże zmiany zarówno dla przedsiębiorców przetwarzających dane osobowe, jak i dla ich klientów, których dane powinny być znacznie lepiej chronione niż teraz, a dodatkowo zyskają oni dodatkowe prawa w zakresie przetwarzania ich danych. Zastosowanie rozporządzenia do uregulowania kwestii ochrony danych osobowych powoduje, że jest ono stosowane bezpośrednio we wszystkich Państwach Członkowskich Unii Europejskiej.

Ochrona danych osobowych – zmiany 2017/2018

Prawa osoby fizycznej i zwiększenie ochrony jego danych spowoduje nałożenie na przedsiębiorców szeregu nowych obowiązków – najważniejsze z nich postaramy się omówić poniżej.

1) konieczność  samodzielnej oceny ryzyka i dostosowania do niego odpowiednich środków ochronnych 

To administrator będzie samodzielnie wdrażał oraz w razie potrzeby aktualizował odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z  rozporządzeniem i aby móc to wykazać w razie kontroli. Rozporządzenie nie określa, tak jak dotychczasowa ustawa o ochronie danych osobowych, listy środków i poziomów bezpieczeństwa, które obowiązani są przestrzegać administratorzy danych. Rozporządzenie podaje jedynie przykładowe rozwiązania, które powinny być zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takie jak pseudonimizacja, szyfrowanie czy minimalizacja danych, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. Rozporządzenie wskazuje cel, a dobór konkretnych środków pozostawia w dużej mierze administratorowi danych. Zgodnie z rozporządzeniem domyślnie mają być przetwarzane wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

Z jednej strony może to powodować początkową dezorientację przedsiębiorców, ale z drugiej nikt lepiej niż oni nie zna konkretnych warunków prowadzonej przez siebie działalności oraz możliwych zagrożeń z tym związanych. Konsekwencją powyższej zasady będzie też z pewnością ocena przez przedsiębiorców zakresu i celu przetwarzanych danych osobowych oraz ich minimalizowanie do koniecznych z punktu widzenia prowadzonej działalności gospodarczej.

2) rozbudowane obowiązki informacyjne wobec osób, których dane są przetwarzane, w tym informowanie o profilowaniu

Każdy administrator będzie musiał spełnić rozbudowane obowiązki informacyjne – między innymi będzie musiał podać

  • (1) cel przetwarzania,
  • (2) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; informację,
  • (3) czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • (4) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz
  • (5) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim.

3) obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych

Każdy administrator będzie miał obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada.

W rejestrze tym zamieszcza się między innymi takie informacje jak dane administratora, cele przetwarzania oraz opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych. Jest to nowy obowiązek w porównaniu do obecnych przepisów, choć można go porównać do wymogu stosowania dotychczasowej dokumentacji ochrony danych osobowych (np. Polityki bezpieczeństwa).  Prowadzenie tego rejestru z pewnością pozwoli administratorom uporządkować kwestie przetwarzania danych osobowych oraz dostosowania się do wymogów rozporządzenia.

Obowiązki prowadzenie rejestru nie będzie miał jednak zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych wskazane w rozporządzeniu.

4) zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – ma obowiązek jego zgłoszenia organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

5) zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

W przypadku jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

6) konieczność oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych związanych z dużym ryzykiem naruszenia praw osób fizycznych

W przypadku jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania będzie zobowiązany dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Dodatkowo jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

7) obowiązek wyznaczenia inspektora ochrony danych

Zgodnie z rozporządzeniem obowiązkiem niektórych administratorów i przetwarzających będzie powołanie Inspektora ochrony danych. Taki obowiązek będzie miał miejsce w przypadku wszystkich organów i podmiotów publicznych (niezależnie od zakresu przetwarzanych danych), jak również w stosunku do podmiotów, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby lub jeżeli działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Zgodnie z wytycznymi Grupy Roboczej Art. 29 ds. Ochrony Danych powyższe przesłanki mogą być rozumiane bardzo szeroko – dla przykładu określenia „Głównej działalności” nie należy interpretować w sposób wyłączający działalność w zakresie przetwarzania danych nierozerwalnie związaną z działalnością główną. Dla przykładu działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania DPO. Kolejnym przykładem może być spółka świadcząca usługi ochrony mienia, prowadząca monitoring w szeregu prywatnych centrów handlowych i przestrzeni publicznej. Jej działalnością główną jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że takie spółki również muszą powołać DPO.

Z kolei do przykładów „przetwarzania na dużą skalę” zgodnie z wytycznymi zaliczyć można: (1) Przetwarzanie danych geo-lokalizacyjnych w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych; (2) Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności; (3) Przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki; (4) Przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Przykładami dla „Regularne i systematyczne monitorowanie” są zgodnie z wytycznymi: obsługa sieci telekomunikacyjnej; świadczenie usług telekomunikacyjnych; przekierowywanie e-mail; profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy); śledzenie lokalizacji, na przykład w aplikacjach telefonicznych; programy lojalnościowe; reklama behawioralna; monitorowanie danych o stanie zdrowia.

Powyższe rozumienie przesłanek zawarych w rozporządzeniu powoduje, że bardzo duża grupa podmiotów może być zobowiązana do powołania swoich inspektorów ochrony danych osobowych.

8) obowiązki związane z prawami osób fizycznych

Rozporządzenie przyznaje szereg prawa osobom fizycznych dotyczących przetwarzania ich danych osobowych – na przykład

  • (1)„prawo do bycia zapomnianym” czyli prawo do żądania usunięcia wszelkich danych dotyczących danej osoby,
  • (2) prawo do niepodlegania profilowaniu;
  • (3)prawo do przenoszenia danych osobowych do innego administratora danych; oraz
  • (4)prawo żądania dostarczenia kopii danych osobowych podlegających przetwarzaniu.

Wykonywanie przez administratorów danych osobowych obowiązków z tym związanych z pewnością będzie się wiązało z koniecznością dostosowania swoich procedur i systemów służących do przetwarzania danych osobowych tak aby efektywnie móc je wykonać.

Sankcje za nieprzestrzeganie nowych przepisów

Rozporządzenie za nie przestrzeganie jego przepisów przewiduje znaczące kary finansowe. W zależności od rodzaju naruszenia, kara pieniężna będzie mogła zostać nałożona w wysokości do 10 000 000 EUR lub do 20 000 000 EUR, a w przypadku przedsiębiorstw – w wysokości do 2 % lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Podsumowanie

Do wejścia w życie nowych przepisów mamy jeszcze trochę czasu, warto jednak już teraz pomyśleć o przystosowaniu swojej działalności do zmian dotyczących ochrony danych osobowych. Pierwsze miesiące, a nawet lata z pewnością pokażą jak w praktyce będą stosowane nowe przepisy – pozostaje mieć nadzieje, że przynajmniej początkowo przepisy o karach pieniężnych nie będą zbyt często stosowane – sama kara powinna być środkiem, a nie celem jakim jest zapewnienie należytej ochrony danych osobowych.

 

5.00 avg. rating (99% score) - 8 votes

Zapisz się na nasz bezpłatny newsletter prawny dla Sprzedawców i otrzymaj poradnik

Przygotuj się do zmian przepisów od 2023 - ponad 35 stron treści od doświadczonych prawników dla Ciebie!

SUKCES - zapisałeś się!