„Szkolenia e-learningowe nic nie dają"
Jesteś tego pewien?
Po czterech latach wspólnych prac instytucji UE, 14 kwietnia 2016 roku Parlament Europejski przyjął Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, tzw. Ogólne Rozporządzenie o Ochronie Danych Osobowych.
Rozporządzenie wejdzie w życie po 20 dnach od jego publikacji w Dzienniku Urzędowym UE, a zacznie obowiązywać po dwuletnim „okresie przygotowawczym”. W czasie tych dwóch lat państwa członkowskie mają za zadanie dostosować do Rozporządzenia swoje przepisy krajowe. W przypadku Polski ustawodawca będzie musiał znowelizować ponad sto ustaw branżowych. Do zmian będą się musiały dostosować również wszystkie firmy i organizacje.
Warto dodać, iż Rozporządzenie będzie miało zastosowanie również w przypadku podmiotów, które przetwarzają dane poza Unią Europejską, ale swoją siedzibę mają na jej terenie, a także tych, które oferują towary czy usługi osobom fizycznym lub też badają ich zachowania, np. z wykorzystaniem geolokalizacji, na terenie UE, choćby ich siedziba znajdowała się poza wspólnotą.
Unijne rozporządzenie przyznało Generalnemu Inspektorowi Ochrony Danych Osobowych bardzo szerokie uprawnienia, w tym możliwość nakładania wysokich administracyjnych kar pieniężnych. W zależności od rodzaju przewinienia, kary mogą wynosić 10 000 000 euro lub 2% całkowitego światowego obrotu z poprzedniego roku obrotowego, bądź nawet 20 000 000 euro lub 4% całkowitego światowego obrotu z poprzedniego roku obrotowego.
Co więcej, biuro GIODO zostanie zapewne rozbudowane i dofinansowane. Rozporządzenie zobowiązuje bowiem każde państwo członkowskie do zapewnienia właściwych zasobów kadrowych, technicznych i finansowych, niezbędnych do właściwej realizacji swoich uprawnień nadzorczych. Wygląda więc na to, że już niedługo przedsiębiorcy będą się musieli liczyć z GIODO tak samo jak obecnie z Komisją Nadzoru Finansowego czy Urzędem Ochrony Konkurencji i Konsumentów.
Organizacje przetwarzające dane osobowe będą musiały dokonać zmian w klauzulach informacyjnych, co spowoduje znaczne rozbudowanie ich treści. Obecnie, w przypadku zbierania danych osobowych od osoby, której dane dotyczą, administrator danych ma obowiązek poinformować tę osobę o swojej nazwie danych kontaktowych, celu przetwarzania danych, ich odbiorcach lub kategoriach odbiorców oraz o prawach podmiotu danych (prawo dostępu do danych i ich poprawiania oraz dobrowolność lub obowiązek ich podania). Nowe przepisy obligują administratora danych do podania również:
• danych kontaktowych inspektora ochrony danych (o ile został powołany),
• nazwy i danych przedstawiciela ADO (jeżeli istnieje),
• podstawy prawnej przetwarzania danych,
• uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,
• informacji o zamiarze przekazywania danych do państw trzecich,
• okresu przechowywania danych lub, jeśli nie ma takiej możliwości, kryteriów ustalania tego okresu.
Ponadto należy podać również kolejne informacje o prawach podmiotu danych, tj. o.:
• prawie do usunięcia danych,
• prawie do ograniczenia przetwarzania,
• prawie wniesienia sprzeciwu,
• prawie do przenoszenia danych,
• prawie do cofnięcia zgody (gdy podmiot danych udziela zgody na przetwarzanie danych),
• prawie wniesienia skargi do organu nadzorczego.
W przypadku istnienia obowiązku podania danych, należy również wskazać ewentualne konsekwencje ich niepodania oraz informację o zautomatyzowanym podejmowaniu decyzji w tym profilowaniu.
W Rozporządzeniu zrezygnowano z obowiązku rejestrowania zbiorów danych osobowych. Zastąpiono go jednak obowiązkiem prowadzenia, przez niektórych administratorów danych, rejestru czynności przetwarzania. Będzie on musiał zawierać:
• nazwy oraz dane kontaktowe administratora oraz współadministratorów, inspektora ochrony danych oraz przedstawiciela administratora (jeżeli istnieją),
• cele przetwarzania,
• opis kategorii podmiotów danych oraz kategorii danych osobowych,
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
• planowane terminy usunięcia poszczególnych kategorii danych,
• ogólny opis techniczny i organizacyjny środków bezpieczeństwa,
• informację o przekazaniach danych do państwa trzeciego lub organizacji międzynarodowej.
Wraz z nowymi przepisami, znacznie zwiększy się nacisk na zapewnienie danym właściwego bezpieczeństwa. Szczególnie istotne będą zabezpieczenia danych przetwarzanych elektronicznie. Każda organizacja będzie zobowiązana do wdrożenia odpowiednich środków, zapewniających poziom bezpieczeństwa, odpowiadający potencjalnym zagrożeniom. Rozporządzenie wymienia katalog czynności, które administrator danych powinien zastosować, w tym zapewnienie możliwości szybkiego przywrócenia dostępności danych w razie incydentu fizycznego lub technicznego. Mowa tu przede wszystkim o zapewnieniu ciągłości działania poprzez stworzenie i wdrożenie odpowiednich procedur awaryjnych i odtworzeniowych. Organizacja będzie także musiała zapewnić regularne testowanie, mierzenie i ocenianie skuteczności wykorzystywanych środków technicznych i organizacyjnych. mających zapewnić bezpieczeństwo przetwarzania. Wymóg ten będzie można spełnić m.in. przez organizowanie regularnych kontroli, audytów czy testów penetracyjnych systemów IT.
Najbliższe dwa lata zapowiadają się jako pełne wyzwań tak dla ustawodawcy jak i dla organizacji przetwarzających dane osobowe. Ustawodawca będzie musiał przede wszystkim dostosować przepisy branżowe w zakresie ochrony danych osobowych do rozwiązań ujętych w unijnym Rozporządzeniu. Organizacje z kolei będą musiały odpowiednio dostosowywać funkcjonujący u siebie model przetwarzania danych osobowych. W pierwszej kolejności będą one musiały zająć się takimi kwestiami jak: bezpieczeństwo przetwarzania, wdrożenie stosownych środków organizacyjnych, dostosowanie treści klauzul informacyjnych przekazywanych podczas zbierania danych osobowych, a także zadecydować o konieczności powołania inspektora ochrony danych (Rozporządzenie ustanawia katalog sytuacji, w których będzie to obligatoryjne).
adw. Anna Dmochowska, specjalista ds. ochrony danych
Założeniem europejskiej reformy przepisów o ochronie danych osobowych były wyższe standardy ochrony danych obywateli UE oraz wspólne reguły dla biznesu. To drugie na pewno się udało – takie same przepisy na terenie całej UE, to duże ułatwienie dla biznesu. Czy uda się poprawić standardy ochrony danych, to zależy już od przedsiębiorców przetwarzających te dane. Moim zdaniem tak właśnie się stanie. W końcu GIODO będzie miał zasoby i instrumenty, żeby wymóc na przedsiębiorcach właściwe przetwarzanie danych osobowych na terenie UE.
adw. Marcin Zadrożny, specjalista ds. ochrony danych
„Szkolenia e-learningowe nic nie dają"
Jesteś tego pewien?
Potwierdź adres e-mail i pobierz przewodnik
Kliknij w link w e-mailu – od razu pobierzesz przewodnik
„Jak skutecznie wdrożyć NIS2".
Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.
Zapisz się na biuletyn ODO 24
Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Potwierdź swój adres e-mail
Kliknij w link w e-mailu – od razu pobierzesz przewodnik „Jak skutecznie wdrożyć NIS2". Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.