REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Rewolucyjne zmiany w ochronie danych osobowych od 2018 r.

Rafał Osiński
Rewolucyjne zmiany w ochronie danych osobowych od 2018 r./ Fot. Fotolia
Rewolucyjne zmiany w ochronie danych osobowych od 2018 r./ Fot. Fotolia

REKLAMA

REKLAMA

Od maja 2018 roku będą obowiązywały nowe przepisy dotyczące ochrony danych osobowych. Zmiany będą istotne dla firm komercyjnych. Zniesiony zostanie obowiązek zgłaszania rejestru danych do Generalnego Inspektora Ochrony Danych Osobowych. Nieprzestrzeganie nowych zapisów będzie się wiązać z dotkliwymi karami.

Unia Europejska przyjęła nowe przepisy dotyczące ochrony danych osobowych. Będą one jednolite dla wszystkich krajów członkowskich i zaczną obowiązywać począwszy od maja 2018 r. Proponowane zapisy powinny wzbudzić zainteresowanie przedsiębiorców, ale także jednostek administracji różnego szczebla.

REKLAMA

Nowe prawo wejdzie w życie 25 maja 2018 r. Pojawia się w nim kilka wartych wspomnienia kwestii, których nieprzestrzeganie będzie się wiązać z dotkliwymi karami.

Nowe przepisy obowiązywać będą w sposób bezpośredni, co oznacza, że nie będą wymagać krajowej implementacji. Zasadniczo wzmacniają one pozycję osób fizycznych, nakładając jednocześnie nowe obowiązki na przedsiębiorców i administrację.

Polecamy produkt: Gazeta Samorządu i Administracji

REKLAMA

Zmiany będą istotne dla firm komercyjnych. Szczególnego podkreślenia wymaga fakt, że zdecydowano się na wprowadzenie rozróżnienia na małe oraz większe jednostki. Dotychczasowe regulacje odnosiły się do obu grup podmiotów jednocześnie, co niejednokrotnie utrudniało tym najmniejszym wdrażanie regulacji w praktyce.

Dalszy ciąg materiału pod wideo

Wprowadzane przepisy odnosić się będą nie tylko do firm unijnych, ale również do takich, których siedziba jest poza Unią Europejską. Będzie to miało miejsce w sytuacji, gdy oferowane będą przez nie obywatelom UE dobra lub usługi, a także, gdy monitorowane będą przez te podmioty zachowania mieszkańców Wspólnoty (oznacza to, że będą musiały się do nich stosować takie znane korporacje amerykańskie, jak Google czy Facebook).

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Nowe regulacje wskazują na to, że podmiot będący w posiadaniu danych prywatnych musi domyślnie je chronić, bez konieczności podejmowania działań w tym zakresie przez osobę, do której te informacje się odnoszą. Odpowiednie starania muszą być podejmowane już na etapie kreowania produktów i usług dla klientów. Kolejny wymóg to wdrożenie rejestru czynności związanych z przetwarzaniem danych. Zniesiony zostanie obowiązek zgłaszania rejestru danych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Do tej instytucji będą jednak musiały być zgłaszane przez przedsiębiorców naruszenia danych osobowych. W poważniejszych przypadkach powstanie również obowiązek informowania tych, których taka sytuacja dotyczy.

Nowe regulacje przewidują również możliwości interwencji w dane osobiste. Wśród nich wymienić można prawo do bycia zapomnianym, przenoszenie danych, ich profilowanie itp. Ułatwiony zostanie również transfer tych danych do państw trzecich. Rozszerzony ma zostać też obowiązek informacyjny w trakcie zbierania informacji o charakterze prywatnym. Konsekwencją będzie znacznie większa objętość klauzul informacyjnych.

Dotychczasowa funkcja Administratora Bezpieczeństwa Danych (ABI) zostanie zniesiona – w jej miejsce powstanie obligatoryjna instytucja Inspektora Ochrony Danych (IOD).

Nieprzestrzeganie nowych zapisów będzie się wiązać z bardzo dotkliwymi sankcjami. Przetwarzanie danych w sposób niezgodny z prawem będzie zagrożone karą do 20 mln euro. W przypadku samych przedsiębiorców sankcje będą wynosić do 4% wartości światowych obrotów z poprzedniego roku obrotowego. Skargi do krajowych instytucji zajmujących się ochroną danych osobowych będą darmowe. Firmy uzyskają również możliwość potwierdzenia wysokiej jakości ochrony danych osobowych poprzez możliwość pozyskania odpowiednich certyfikatów oraz znaków jakościowych.

Podstawa prawna:

● rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L 119 z 4 maja 2016 r.)

Wywiad

W życie weszło rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Jego rozwiązania będą stosowane w Polsce za niecałe dwa lata. Będzie to rewolucja – obywatele zyskają nowe narzędzia ochrony zaś na administrację publiczną nałożone zostaną nowe obowiązki.

Z dr Edytą Bielak-Jomaa, Generalnym Inspektorem Ochrony Danych Osobowych (GIODO) rozmawia Rafał Osiński

Czy rozporządzenie PE i Rady UE z kwietnia 2016 r. w istotny sposób zmieni sposób postępowania administratorów danych? Jakie narzędzia zyska GIODO, by chronić nas przed nieuczciwymi praktykami z ich strony?

– Rozporządzenie wprowadza wiele nowych rozwiązań, jak np. prawo do bycia zapomnianym czy prawo do przenoszenia danych. Ustanawia też nowy sposób dopełniania obowiązku informacyjnego, a także obowiązek prowadzenia rejestru czynności (operacji) przetwarzania danych osobowych. Ponadto, wprowadzając generalną zasadę uwzględniania zasad ochrony danych już w fazie projektowania procesów przetwarzania danych osobowych, przenosi ciężar odpowiedzialności za niezgodne z prawem przetwarzanie danych osobowych na administratorów danych.


REKLAMA

Z kolei GIODO, gdy dane osobowe będą przetwarzane niezgodnie z przepisami, będzie miał prawo nakładania administracyjnych kar pieniężnych. Z samego założenia mają one być skuteczne, proporcjonalne i odstraszające. W mojej ocenie, świadomość, że można zapłacić bardzo wysoką karę za niewłaściwe przetwarzanie danych, będzie mobilizowała do większej dbałości o nie.

Zgodnie z rozporządzeniem, skargi będą mogły być składane do krajowych inspektorów, bez względu na siedzibę firmy, która jest skarżona. Jakie narzędzia będzie posiadał GIODO, by wyegzekwować ochronę polskich obywateli? Jak będzie wyglądała zacieśniona współpraca między GIODO i analogicznymi instytucjami w innych krajach UE?

– Rozporządzenie – dzięki temu, że będzie stosowane bezpośrednio, bez konieczności implementacji do krajowych porządków prawnych – doprowadzi do unifikacji zasad ochrony danych osobowych we wszystkich państwach UE. Ułatwieniem będzie możliwość składania skargi bezpośrednio do krajowego organu ds. ochrony danych osobowych – w Polsce do GIODO. Rozporządzenie stanowi zaś, że nasza instytucja będzie przekazywała ją do organu ochrony danych tego kraju UE, w którym znajduje się główna jednostka organizacyjna administratora lub podmiotu przetwarzającego. Zagraniczny organ będzie miał obowiązek współpracować z nami w zakresie rozpatrywania skargi. Z kolei GIODO, w ramach uprawnień, oprócz prawa do otrzymywania informacji i wydawania opinii dotyczących projektu decyzji, będzie miał również kompetencje do kształtowania jej treści. Jeżeli bowiem projekt decyzji byłby niezadowalający, Generalny Inspektor będzie uprawniony do złożenia sprzeciwu.

Ponadto, w wyjątkowych okolicznościach, jeżeli GIODO uzna, że istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą, będzie mógł przyjąć środki tymczasowe, które na terenie Polski wywołają skutki prawne przez określony czas.

Jeśli zaś chodzi o współpracę unijnych organów ds. ochrony danych osobowych, to będą one zobowiązane do przekazywania sobie informacji i świadczenia wzajemnej pomocy. Ponadto rozporządzenie daje im możliwość prowadzenia wspólnych operacji (np. postępowań i egzekucji).

Jakie narzędzia ochrony zyskają polscy i unijni obywatele dzięki rozporządzeniu?

– W tym względzie warto wskazać na dwa mechanizmy mające na celu zwiększenie ochrony naszej prywatności – privacy by design (prywatność w fazie projektowania), zakładający, że narzędzia i usługi powinny być tak konstruowane, by od samego początku uwzględniały potrzebę ochrony prywatności obywateli, oraz privacy by default (prywatność w ustawieniach domyślnych). Mechanizm ten wskazuje, iż podstawowe ustawienia powinny chronić prywatność użytkownika, gromadzić minimalny zakres danych osobowych i dawać mu swobodę decydowania w tym zakresie.

Rozwinięciem praktycznych aspektów ochrony prywatności w fazie projektowania jest zaś dokonywanie oceny ryzyka i skutków wpływu projektu na prywatność oraz poziom ochrony danych (privacy impact assessment). Do jej przeprowadzania administrator danych lub podmiot przetwarzający są zobowiązani wówczas, gdy operacje przetwarzania stwarzają szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru, zakresu lub celów. Żeby przynosiła ona oczekiwane rezultaty, powinna być przeprowadzana jeszcze zanim jakieś urządzenia czy systemy zostaną wprowadzone do użycia. Duże znaczenie może też mieć przyjęcie koncepcji risk based approach, która zakłada, że im większe jest ryzyko związane z przetwarzaniem danych osobowych, tym większy powinien być zakres obowiązków ciążących na administratorze. W tym kontekście do zwiększonej dbałości o dane osobowe będą zobowiązani administratorzy korzystający z takich rozwiązań technologicznych, jak np. Big Data czy chmura obliczeniowa (cloud computing). O wymogu przywiązywania szczególnej wagi do zabezpieczenia danych decydowała będzie również sama treść gromadzonych informacji. Im zakres przetwarzanych danych jest szerszy bądź znajdują się w nim dane osobowe wrażliwe, tym poziom zabezpieczenia danych powinien być wyższy.

Jakie są plany kontroli GIODO w najbliższym czasie w sferze samorządu terytorialnego? Z czego wynikają takie plany?

– W planie kontroli sektorowych GIODO na 2016 rok znalazło się m.in. przeprowadzenie kontroli w starostwach powiatowych w zakresie przetwarzania danych osobowych w ewidencji gruntów i budynków. Kontrole takie odbyły się w 10 jednostkach, ale obecnie postępowania wszczęte na ich skutek są jeszcze w toku.

W tym roku planujemy też skorzystać z narzędzia, jakim są sprawdzenia dla GIODO, o których mowa w art. 19b ustawy o ochronie danych osobowych. Są one przeprowadzane przez administratorów bezpieczeństwa informacji (ABI) na wniosek GIODO. W tegorocznym harmonogramie takich sektorowych sprawdzeń przewidziane jest zbadanie realizacji przez gminy obowiązków informacyjnych wskazanych w art. 24 i art. 33 ustawy o ochronie danych osobowych.


Trzeba jednak zaznaczyć, że GIODO może też inicjować kontrole doraźne. W ostatnim okresie impulsem do rozpoczęcia takiej kontroli w jednostce samorządu terytorialnego stały się publikacje prasowe dotyczące upublicznienia na stronie internetowej urzędu miasta odpowiedzi na interpelację radnych, która zawierała imiona i nazwiska, numery PESEL, adresy oraz zarobki stażystów Miejskiego Ośrodka Pomocy Społecznej.

Jak samorząd terytorialny radzi sobie z przestrzeganiem przepisów o ochronie danych osobowych? Czy postępująca informatyzacja sprzyja ochronie?

– W mojej ocenie jest lepiej niż było i warto pochwalić urzędników za chęć pogłębiania wiedzy na temat ochrony danych osobowych, co potwierdza m.in. coraz częstsze i liczniejsze ich uczestnictwo w szkoleniach organizowanych przez GIODO. Niemniej nie osiągnęliśmy jeszcze stanu, który mógłby w pełni zadowalać. Częściowo jest to spowodowane tym, że kwestie przetwarzania danych osobowych w jednostkach samorządu reguluje wiele przepisów szczególnych, a ich interpretacja i właściwe zastosowanie przysparza niekiedy problemów.

Jeśli zaś chodzi o informatyzację urzędów, to z pewnością jest to proces nieuchronny, stanowiący jednocześnie duże wyzwanie: z jednej strony pomaga w codziennym życiu, zarówno petentom, jak i urzędnikom, z drugiej zaś – powoduje także zagrożenia w dziedzinie ochrony danych osobowych i prywatności.

Jakie problemy związane z ochroną danych osobowych rodzi program 500+? Czy zgłaszane wcześniej przez GIODO wątpliwości zostały przez ustawodawcę wyjaśnione?

– Na etapie prac legislacyjnych nad projektem ustawy o pomocy państwa w wychowywaniu dzieci, GIODO zgłaszał zastrzeżenia, wskazując m.in., że przyjmowane rozwiązania, zwłaszcza odnoszące się do zmian dotyczących administratora danych oraz instytucji powierzenia przetwarzania danych, będą rodziły wątpliwości interpretacyjne i mogą spowodować trudności w praktycznym stosowaniu przepisów. Uwagi te nie zostały jednak uwzględnione.

W związku z tym GIODO, dążąc do wsparcia administratorów danych przy realizacji programu i do zapewnienia poszanowania praw osób, których dane są przetwarzane, wydał komunikat mający na celu wyjaśnienie wątpliwości interpretacyjnych i przedstawienie stanowiska organu w tej sprawie.

Kolejny z komunikatów odnosił się do wątpliwości, jakie pojawiły się w kwestii zgłaszania do rejestracji GIODO zbiorów danych tworzonych w związku z realizacją Programu Rodzina 500+. Zawarte w nim wyjaśnienia stanowiły istotne wsparcie dla podmiotów zaangażowanych w realizację Programu.

Ponadto GIODO udzielał indywidualnych wyjaśnień zgłaszającym się do niego podmiotom, m.in. co do możliwości udostępniania danych pomiędzy urzędem gminy a ośrodkiem pomocy społecznej.

Należy podkreślić, że GIODO nie prowadzi żadnych postępowań skargowych związanych z Programem Rodzina 500+. Niemniej, na podstawie pozyskiwanych sygnałów, kataloguje zakres zagadnień, które mogą być przedmiotem ewentualnych prac legislacyjnych zmierzających do doskonalenia przepisów ustawy o pomocy państwa w wychowywaniu dzieci np. na etapie ich ewaluacji.

Jak zmienia się w Polsce podejście do ochrony danych osobowych? Czy jest lepiej czy wręcz przeciwnie?

– Biorąc pod uwagę badania Eurobarometru oraz rosnącą z roku na rok liczbę kierowanych do GIODO skarg, można by przypuszczać, że świadomość Polaków w zakresie ochrony danych osobowych i prywatności jest coraz wyższa. Jednak w mojej opinii, jest ona bardzo powierzchowna. Chciałabym, żeby Polacy nauczyli się widzieć związek przyczynowo-skutkowy między swoim zachowaniem a naruszaniem ich prywatności, żeby wiedzieli, kiedy mogą odmówić podania swoich danych, a kiedy nie; żeby mieli świadomość ryzyka kradzieży tożsamości i potrafili je minimalizować. Wiedza na ten temat wciąż jest zbyt mała.

GIODO od lat prowadzi szeroko zakrojoną działalność edukacyjną skierowaną do różnych grup odbiorców. Z myślą o najmłodszych realizowany jest ogólnopolski program edukacyjny dla szkół i nauczycieli „Twoje dane – Twoja sprawa”. Dla administratorów bezpieczeństwa informacji (ABI) utworzyliśmy serwis, w którym znajdują się informacje i porady dotyczące m.in. powołania i rejestracji ABI oraz wykonywania przez niego jego ustawowych obowiązków. Warto też wspomnieć o platformie edukacyjno-informacyjnej eduGIODO, czyli internetowym serwisie, adresowanym zarówno do administratorów danych, jak również do każdej osoby, której dane dotyczą.

Jakie zmiany prawne należałoby wprowadzić, w szczególności w sferze samorządu terytorialnego, by ochrona danych osobowych była jeszcze lepsza?

– Obecnie największym wyzwaniem będzie przygotowanie się do stosowania przepisów ogólnego rozporządzenia o ochronie danych osobowych. Mimo że będzie ono stosowane bezpośrednio, to do jego przepisów musimy dostosować całe polskie prawo. W tym celu konieczne będzie dokonanie przeglądu wielu aktów prawnych, m.in. po to, aby ujednolicić definicje i wprowadzić nowe. Ponadto rozporządzenie przewiduje także przypadki, kiedy poszczególne kwestie pozostawione są do uregulowania lub doprecyzowania przez prawo krajowe. Przykładowo są to m.in. takie szczegółowe zagadnienia sektorowe, jak chociażby przetwarzanie danych osobowych na potrzeby zatrudnienia czy ochrony zdrowia.

Z kolei podmioty przetwarzające dane muszą przygotować się m.in. do zmian w procedurach i zasadach przetwarzania danych. Dla podmiotów z sektora publicznego istotny może być zaś obowiązek zatrudnienia Data Protection Officera, czyli inspektora ochrony danych. Taką funkcję pełni obecnie administrator bezpieczeństwa informacji (ABI) – jednak jego powołanie jest dobrowolne. Po wejściu w życie unijnego rozporządzenia, wszystkie instytucje publiczne będą musiały mieć w swoich strukturach DPO.

Dziękuję za rozmowę.

Zobacz serwis: Ubezpieczenia społeczne

Autopromocja

REKLAMA

Źródło: Gazeta Samorządu i Administracji

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Sektor publiczny
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Tutaj lepiej nie jechać na Wielkanoc. Zatrzęsienie turystów

    Planujesz Wielkanoc we Włoszech? Spodziewaj się tłumów. Od Wielkiej Soboty do poświątecznego wtorku turyści zarezerwowali we Włoszech ponad 7 milionów noclegów. To więcej niż w poprzednich latach. 

    Wybory samorządowe 2024. 29 marca upływa ważny termin dla niepełnosprawnych i starszych wyborców

    Piątek to ostatni dzień, w którym wyborcy z niepełnosprawnością i osoby starsze mogą złożyć wniosek o głosowanie przez pełnomocnika w wyborach samorządowych.

    Jak stosować rozporządzenie o pracach domowych? Co jest jasne? Co budzi wątpliwości? [min B. Nowacka, 1 kwietnia 2024 r.]

    Wątpliwości dotyczą trzech definicji wykorzystanych w rozporządzeniu - nauczyciela i uczniowie nie mają wskazówek jak je rozumieć i stosować.

    Rozbijanie garnka na plecach i chłostanie rózgą. Znasz te stare kaszubskie zwyczaje wielkanocne?

    Jak kiedyś obchodzono Wielkanoc na Kaszubach? Czym był tzw. Płaczëbóg? Co jadano na świąteczne śniadanie? 

    REKLAMA

    Znasz te wielkanocne zwyczaje z Górnego Śląska? Jeden z nich jest na krajowej liście niematerialnego dziedzictwa kulturowego

    Jakie zwyczaje wielkanocne panują na Górnym Śląsku? Niektóre z nich znane są tylko w jednej miejscowości. Słyszeliście o paleniu żuru, kulaniu jaj czy bramie z wydmuszek? 

    Dentysta na NFZ 2024 – jakie zabiegi? Jeszcze w tym roku więcej świadczeń gwarantowanych! [projekt rozporządzenia]

    Chyba większość osób leczy w Polsce zęby prywatnie, ale trzeba wiedzieć, że można to zrobić również w ramach ubezpieczenia zdrowotnego, czyli – jak to się mówi potocznie „na NFZ”. Lista takich refundowanych świadczeń stomatologicznych jest całkiem długa. Trzeba tylko znaleźć dentystę (stomatologa), który ma podpisaną umowę z NFZ na udzielanie świadczeń stomatologicznych. Przedstawiamy listę świadczeń gwarantowanych (refundowanych przez NFZ) z zakresu leczenia stomatologicznego obowiązujących teraz, a także informujemy o projekcie rozporządzenia, które ma wydłużyć listę tych świadczeń - najprawdopodobniej jeszcze w 2024 roku.

    Bilety na EURO 2024 dla kibiców z Polski - sprzedaż od 28 marca. Gdzie można kupić? Jakie ceny?

    W dniu 28 marca 2024 r. o godzinie 14.00 rozpocznie się sprzedaż biletów dla kibiców reprezentacji Polski na turniej finałowy piłkarskich mistrzostw Europy Euro 2024. Sprzedaż potrwa do 8 kwietnia i prowadzona jest wyłącznie przez UEFA. Będzie dostępna na portalu euro2024.com.

    Rusza program "Aktywna Szkoła" 2024

    Rusza program "Aktywna Szkoła" 2024 - informuje Ministerstwo Sportu i Turystyki. Wnioski samorządy przygotują we współpracy ze szkołami. Program ma na celu aktywizację społeczności wokół obiektów sportowych, które były dotychczas niedostępne.

    REKLAMA

    Rząd: Dyplom MBA z Collegium Humanum nie pozwoli zasiąść w radzie nadzorczej spółki Skarbu Państwa

    Centrum Informacyjne Rządu poinformowało 27 marca 2024 r., że w procesie opiniowania kandydatów do rad nadzorczych dyplomy MBA uzyskane w Collegium Humanum nie będą uznawane przez Radę ds. spółek z udziałem Skarbu Państwa i państwowych osób prawnych.

    Prof. Szukalski: Łódź i Poznań już są na etapie demograficznego zjazdu

    Prof. Piotr Szukalski, demograf z Uniwersytetu Łódzkiego w rozmowie z PAP o kondycji polskich miast i ich przyszłości demograficznej. 

    REKLAMA