2016-03-17

Co zmieni unijne rozporządzenie o ochronie danych? 10 najważniejszych zmian

1. Przystępny język, zrozumiały dla przeciętnego odbiorcy.

Częścią rozporządzenia jest preambuła, rzadko spotykana w polskich aktach prawnych, która wyjaśnia powody wprowadzenia poszczególnych przepisów oraz wyraźnie definiuje ich cel. Taki wstęp pomaga zrozumieć kontekst całego rozporządzenia. Co warto zaznaczyć, w dalszej części dokumentu język również jest bardzo przystępny, przez co każdy z łatwością zrozumie, jakie ma prawa, obowiązki i jaka odpowiedzialność na nim ciąży.

2.    Przetwarzanie danych przez grupy przedsiębiorstw.

W rozporządzeniu pojawia się pojęcie współadministratorów danych. Wcześniej podmioty te występowały jako odrębni administratorzy danych, z tymi samymi prawami i obowiązkami. Dzięki nowym przepisom, możliwy jest  podział obowiązków pomiędzy poszczególne podmioty. Co więcej, rozporządzenie dostrzega w końcu grupy kapitałowe i ułatwia im przetwarzanie danych, w tym międzynarodową wymianę danych osobowych.

3.    Zgoda na przetwarzanie danych dzieci.

W rozporządzeniu uregulowano zasady przetwarzania danych dzieci, korzystających z tzw. usług społeczeństwa informacyjnego, takich jak Facebook czy Google. Dotąd  jedyną podstawą prawną przetwarzania ich danych była zgoda, ograniczana przez przepisy Kodeksu cywilnego. Obecnie w Polsce dzieci mogą korzystać z takich usług od 16 roku życia lub za zgodą rodziców. Dopilnowanie spełnienia tego spoczywa na podmiocie przetwarzającym dane.

4.    Zgłaszanie incydentów do GIODO.

Nowością jest obowiązek zgłaszania wycieku danych do GIODO. Administrator danych ma obowiązek zrobić to w czasie do 72 godzin od wystąpienia wycieku. Jeśli naruszenie jest poważne, należy o nim poinformować również osoby, których dane są przetwarzane w ramach danego podmiotu.

5.    Dopasowanie wymagań do skali przedsiębiorstwa.

Rozporządzenie jako jeden z nielicznych aktów prawnych, uzależnia stawiane przedsiębiorstwom wymogi od ich wielkości i rodzaju prowadzonej działalności. Przykładowo, małe organizacje nie muszą powoływać inspektora ochrony danych ani prowadzić tzw. rejestru przetwarzania.

6.   Duży nacisk na ochronę prywatności – koncepcja „privacy by design”.

Podczas projektowania systemu ochrony danych osobowych należy wdrażać takie środki, by od samego początku właściwie chronić przetwarzane dane oraz prywatność osób, których dane dotyczą. Zgodne z tym wymogiem, ustawienia aplikacji czy serwisów społecznościowych domyślnie powinny udostępniać minimalną ilość informacji o użytkowniku. Poszerzenie zakresu udostępnianych danych może nastąpić jedynie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Wcześniej takie zagadnienia nie były uregulowane w polskim prawie.

7.    Rejestrowanie czynności przetwarzania.

Rozporządzenie wprowadza obowiązek prowadzenia przez przedsiębiorców dokumentacji czynności przetwarzania. Powinni oni również na bieżąco analizować i przewidywać skutki przetwarzania. Jeśli okazałoby się, że może ono nieść za sobą duże zagrożenie dla prywatności osób, których dane dotyczą, przed rozpoczęciem przetwarzania należy skonsultować się z GIODO z prośbą o poradę. Rejestrowanie czynności przetwarzania ma zastąpić obecną rejestrację zbiorów.

8.    Znacznie większe kary.

Nowe przepisy wprowadzają dużo wyższe, niż obecnie, kary za nieprzestrzeganie przepisów dotyczących ochrony danych. Sankcje mogą sięgać nawet 20 mln euro lub 4% światowego obrotu przedsiębiorstwa. Każdy przypadek ma być jednak rozpatrywany indywidualnie, w zależności od stopnia winy, naprawienia (lub nie) szkody,  tego , czy podobne sytuacje w danym przedsiębiorstwie miały już miejsce w przeszłości, itp.

9.    Inspektor ochrony danych zamiast administratora bezpieczeństwa informacji (ABI).

Rozporządzenie wprowadza nową nazwę dla administratora bezpieczeństwa informacji, który stanie się inspektorem ochrony danych. Inspektor będzie musiał ściśle współpracować z GIODO. Absolutną nowością jest możliwość kontaktowania się z inspektorem osób, których dane są pod jego opieką przetwarzane.

10.    Łatwiejsza procedura składania skarg.

Obecnie, aby złożyć skargę do GIODO, należały wnieść opłatę skarbową w wysokości 10 zł. Rozporządzenie likwiduje wszelkie opłaty. Co więcej, ze względu na obowiązek ścisłej współpracy pomiędzy organami odpowiedzialnymi za nadzór nad ochroną danych osobowych we wszystkich krajach Unii Europejskiej, skargę można złożyć w dowolnym kraju.


Komentarze ekspertów

Zmiana prawa wydaje się ewolucją, ale dla wielu organizacji nowe rozporządzenie może być wręcz rewolucją. Czekają je znaczące i niekiedy kosztowne zmiany. Pracownicy będą musieli zostać zapoznani z nowymi przepisami, trzeba będzie zmodyfikować formularze, na których zbierane są  dane osobowe (dodanie informacji o inspektorze ochrony danych), a także przyjrzeć się, pod kątem nowych przepisów, relacjom z partnerami, którym powierzono przetwarzanie danych.

Ze względu na zagrożenie wysokimi karami, trzeba też będzie przykładać dużo większą wagę do bezpieczeństwa danych, w tym być może również  więcej inwestować w technologie.

Maciej Kaczmarski, prezes zarządu ODO 24

 

Rozporządzenie bardzo wiele zmienia na plus.  Prawo zostaje w końcu ujednolicone, pojawia się wiele udogodnień, zaczynają być zauważani mikro-przedsiębiorcy, współadministratorzy danych oraz grupy kapitałowe, łatwiej też będzie prowadzić międzynarodowy, europejski biznes.  Nowe przepisy zdejmują też wiele ograniczeń administracyjnych, w tym, np. obowiązek zgłaszania zbiorów do rejestracji.

Leszek Kępa, ekspert ds. ochrony danych osobowych, autor wielu książek o tej tematyce.

ODO 24 | Biuro prasowe

Do pobrania

Logo ODO 24

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>