REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Sektor publiczny » Organizacja » RODO 2018 » Rewolucyjne zmiany w ochronie danych osobowych od 2018 r.

Rewolucyjne zmiany w ochronie danych osobowych od 2018 r.

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
02 listopada 2016, 15:40
[Data aktualizacji 03 października 2017, 08:19]
Rafał Osiński
Rewolucyjne zmiany w ochronie danych osobowych od 2018 r./ Fot. Fotolia
Rewolucyjne zmiany w ochronie danych osobowych od 2018 r./ Fot. Fotolia

REKLAMA

REKLAMA

Od maja 2018 roku będą obowiązywały nowe przepisy dotyczące ochrony danych osobowych. Zmiany będą istotne dla firm komercyjnych. Zniesiony zostanie obowiązek zgłaszania rejestru danych do Generalnego Inspektora Ochrony Danych Osobowych. Nieprzestrzeganie nowych zapisów będzie się wiązać z dotkliwymi karami.

Unia Europejska przyjęła nowe przepisy dotyczące ochrony danych osobowych. Będą one jednolite dla wszystkich krajów członkowskich i zaczną obowiązywać począwszy od maja 2018 r. Proponowane zapisy powinny wzbudzić zainteresowanie przedsiębiorców, ale także jednostek administracji różnego szczebla.

REKLAMA

Nowe prawo wejdzie w życie 25 maja 2018 r. Pojawia się w nim kilka wartych wspomnienia kwestii, których nieprzestrzeganie będzie się wiązać z dotkliwymi karami.

Nowe przepisy obowiązywać będą w sposób bezpośredni, co oznacza, że nie będą wymagać krajowej implementacji. Zasadniczo wzmacniają one pozycję osób fizycznych, nakładając jednocześnie nowe obowiązki na przedsiębiorców i administrację.

Polecamy produkt: Gazeta Samorządu i Administracji

REKLAMA

Zmiany będą istotne dla firm komercyjnych. Szczególnego podkreślenia wymaga fakt, że zdecydowano się na wprowadzenie rozróżnienia na małe oraz większe jednostki. Dotychczasowe regulacje odnosiły się do obu grup podmiotów jednocześnie, co niejednokrotnie utrudniało tym najmniejszym wdrażanie regulacji w praktyce.

Dalszy ciąg materiału pod wideo

Wprowadzane przepisy odnosić się będą nie tylko do firm unijnych, ale również do takich, których siedziba jest poza Unią Europejską. Będzie to miało miejsce w sytuacji, gdy oferowane będą przez nie obywatelom UE dobra lub usługi, a także, gdy monitorowane będą przez te podmioty zachowania mieszkańców Wspólnoty (oznacza to, że będą musiały się do nich stosować takie znane korporacje amerykańskie, jak Google czy Facebook).

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Nowe regulacje wskazują na to, że podmiot będący w posiadaniu danych prywatnych musi domyślnie je chronić, bez konieczności podejmowania działań w tym zakresie przez osobę, do której te informacje się odnoszą. Odpowiednie starania muszą być podejmowane już na etapie kreowania produktów i usług dla klientów. Kolejny wymóg to wdrożenie rejestru czynności związanych z przetwarzaniem danych. Zniesiony zostanie obowiązek zgłaszania rejestru danych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Do tej instytucji będą jednak musiały być zgłaszane przez przedsiębiorców naruszenia danych osobowych. W poważniejszych przypadkach powstanie również obowiązek informowania tych, których taka sytuacja dotyczy.

Zobacz również:

Nowe regulacje przewidują również możliwości interwencji w dane osobiste. Wśród nich wymienić można prawo do bycia zapomnianym, przenoszenie danych, ich profilowanie itp. Ułatwiony zostanie również transfer tych danych do państw trzecich. Rozszerzony ma zostać też obowiązek informacyjny w trakcie zbierania informacji o charakterze prywatnym. Konsekwencją będzie znacznie większa objętość klauzul informacyjnych.

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie
Autopromocja

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie

Sprawdź

Dotychczasowa funkcja Administratora Bezpieczeństwa Danych (ABI) zostanie zniesiona – w jej miejsce powstanie obligatoryjna instytucja Inspektora Ochrony Danych (IOD).

Nieprzestrzeganie nowych zapisów będzie się wiązać z bardzo dotkliwymi sankcjami. Przetwarzanie danych w sposób niezgodny z prawem będzie zagrożone karą do 20 mln euro. W przypadku samych przedsiębiorców sankcje będą wynosić do 4% wartości światowych obrotów z poprzedniego roku obrotowego. Skargi do krajowych instytucji zajmujących się ochroną danych osobowych będą darmowe. Firmy uzyskają również możliwość potwierdzenia wysokiej jakości ochrony danych osobowych poprzez możliwość pozyskania odpowiednich certyfikatów oraz znaków jakościowych.

Podstawa prawna:

● rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L 119 z 4 maja 2016 r.)

Wywiad

W życie weszło rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Jego rozwiązania będą stosowane w Polsce za niecałe dwa lata. Będzie to rewolucja – obywatele zyskają nowe narzędzia ochrony zaś na administrację publiczną nałożone zostaną nowe obowiązki.

Z dr Edytą Bielak-Jomaa, Generalnym Inspektorem Ochrony Danych Osobowych (GIODO) rozmawia Rafał Osiński

Czy rozporządzenie PE i Rady UE z kwietnia 2016 r. w istotny sposób zmieni sposób postępowania administratorów danych? Jakie narzędzia zyska GIODO, by chronić nas przed nieuczciwymi praktykami z ich strony?

– Rozporządzenie wprowadza wiele nowych rozwiązań, jak np. prawo do bycia zapomnianym czy prawo do przenoszenia danych. Ustanawia też nowy sposób dopełniania obowiązku informacyjnego, a także obowiązek prowadzenia rejestru czynności (operacji) przetwarzania danych osobowych. Ponadto, wprowadzając generalną zasadę uwzględniania zasad ochrony danych już w fazie projektowania procesów przetwarzania danych osobowych, przenosi ciężar odpowiedzialności za niezgodne z prawem przetwarzanie danych osobowych na administratorów danych.

REKLAMA

Z kolei GIODO, gdy dane osobowe będą przetwarzane niezgodnie z przepisami, będzie miał prawo nakładania administracyjnych kar pieniężnych. Z samego założenia mają one być skuteczne, proporcjonalne i odstraszające. W mojej ocenie, świadomość, że można zapłacić bardzo wysoką karę za niewłaściwe przetwarzanie danych, będzie mobilizowała do większej dbałości o nie.

Zgodnie z rozporządzeniem, skargi będą mogły być składane do krajowych inspektorów, bez względu na siedzibę firmy, która jest skarżona. Jakie narzędzia będzie posiadał GIODO, by wyegzekwować ochronę polskich obywateli? Jak będzie wyglądała zacieśniona współpraca między GIODO i analogicznymi instytucjami w innych krajach UE?

– Rozporządzenie – dzięki temu, że będzie stosowane bezpośrednio, bez konieczności implementacji do krajowych porządków prawnych – doprowadzi do unifikacji zasad ochrony danych osobowych we wszystkich państwach UE. Ułatwieniem będzie możliwość składania skargi bezpośrednio do krajowego organu ds. ochrony danych osobowych – w Polsce do GIODO. Rozporządzenie stanowi zaś, że nasza instytucja będzie przekazywała ją do organu ochrony danych tego kraju UE, w którym znajduje się główna jednostka organizacyjna administratora lub podmiotu przetwarzającego. Zagraniczny organ będzie miał obowiązek współpracować z nami w zakresie rozpatrywania skargi. Z kolei GIODO, w ramach uprawnień, oprócz prawa do otrzymywania informacji i wydawania opinii dotyczących projektu decyzji, będzie miał również kompetencje do kształtowania jej treści. Jeżeli bowiem projekt decyzji byłby niezadowalający, Generalny Inspektor będzie uprawniony do złożenia sprzeciwu.

Ponadto, w wyjątkowych okolicznościach, jeżeli GIODO uzna, że istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą, będzie mógł przyjąć środki tymczasowe, które na terenie Polski wywołają skutki prawne przez określony czas.

Jeśli zaś chodzi o współpracę unijnych organów ds. ochrony danych osobowych, to będą one zobowiązane do przekazywania sobie informacji i świadczenia wzajemnej pomocy. Ponadto rozporządzenie daje im możliwość prowadzenia wspólnych operacji (np. postępowań i egzekucji).

Zobacz również:

Jakie narzędzia ochrony zyskają polscy i unijni obywatele dzięki rozporządzeniu?

– W tym względzie warto wskazać na dwa mechanizmy mające na celu zwiększenie ochrony naszej prywatności – privacy by design (prywatność w fazie projektowania), zakładający, że narzędzia i usługi powinny być tak konstruowane, by od samego początku uwzględniały potrzebę ochrony prywatności obywateli, oraz privacy by default (prywatność w ustawieniach domyślnych). Mechanizm ten wskazuje, iż podstawowe ustawienia powinny chronić prywatność użytkownika, gromadzić minimalny zakres danych osobowych i dawać mu swobodę decydowania w tym zakresie.

Rozwinięciem praktycznych aspektów ochrony prywatności w fazie projektowania jest zaś dokonywanie oceny ryzyka i skutków wpływu projektu na prywatność oraz poziom ochrony danych (privacy impact assessment). Do jej przeprowadzania administrator danych lub podmiot przetwarzający są zobowiązani wówczas, gdy operacje przetwarzania stwarzają szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru, zakresu lub celów. Żeby przynosiła ona oczekiwane rezultaty, powinna być przeprowadzana jeszcze zanim jakieś urządzenia czy systemy zostaną wprowadzone do użycia. Duże znaczenie może też mieć przyjęcie koncepcji risk based approach, która zakłada, że im większe jest ryzyko związane z przetwarzaniem danych osobowych, tym większy powinien być zakres obowiązków ciążących na administratorze. W tym kontekście do zwiększonej dbałości o dane osobowe będą zobowiązani administratorzy korzystający z takich rozwiązań technologicznych, jak np. Big Data czy chmura obliczeniowa (cloud computing). O wymogu przywiązywania szczególnej wagi do zabezpieczenia danych decydowała będzie również sama treść gromadzonych informacji. Im zakres przetwarzanych danych jest szerszy bądź znajdują się w nim dane osobowe wrażliwe, tym poziom zabezpieczenia danych powinien być wyższy.

Jakie są plany kontroli GIODO w najbliższym czasie w sferze samorządu terytorialnego? Z czego wynikają takie plany?

– W planie kontroli sektorowych GIODO na 2016 rok znalazło się m.in. przeprowadzenie kontroli w starostwach powiatowych w zakresie przetwarzania danych osobowych w ewidencji gruntów i budynków. Kontrole takie odbyły się w 10 jednostkach, ale obecnie postępowania wszczęte na ich skutek są jeszcze w toku.

W tym roku planujemy też skorzystać z narzędzia, jakim są sprawdzenia dla GIODO, o których mowa w art. 19b ustawy o ochronie danych osobowych. Są one przeprowadzane przez administratorów bezpieczeństwa informacji (ABI) na wniosek GIODO. W tegorocznym harmonogramie takich sektorowych sprawdzeń przewidziane jest zbadanie realizacji przez gminy obowiązków informacyjnych wskazanych w art. 24 i art. 33 ustawy o ochronie danych osobowych.

Trzeba jednak zaznaczyć, że GIODO może też inicjować kontrole doraźne. W ostatnim okresie impulsem do rozpoczęcia takiej kontroli w jednostce samorządu terytorialnego stały się publikacje prasowe dotyczące upublicznienia na stronie internetowej urzędu miasta odpowiedzi na interpelację radnych, która zawierała imiona i nazwiska, numery PESEL, adresy oraz zarobki stażystów Miejskiego Ośrodka Pomocy Społecznej.

Jak samorząd terytorialny radzi sobie z przestrzeganiem przepisów o ochronie danych osobowych? Czy postępująca informatyzacja sprzyja ochronie?

– W mojej ocenie jest lepiej niż było i warto pochwalić urzędników za chęć pogłębiania wiedzy na temat ochrony danych osobowych, co potwierdza m.in. coraz częstsze i liczniejsze ich uczestnictwo w szkoleniach organizowanych przez GIODO. Niemniej nie osiągnęliśmy jeszcze stanu, który mógłby w pełni zadowalać. Częściowo jest to spowodowane tym, że kwestie przetwarzania danych osobowych w jednostkach samorządu reguluje wiele przepisów szczególnych, a ich interpretacja i właściwe zastosowanie przysparza niekiedy problemów.

Jeśli zaś chodzi o informatyzację urzędów, to z pewnością jest to proces nieuchronny, stanowiący jednocześnie duże wyzwanie: z jednej strony pomaga w codziennym życiu, zarówno petentom, jak i urzędnikom, z drugiej zaś – powoduje także zagrożenia w dziedzinie ochrony danych osobowych i prywatności.

Jakie problemy związane z ochroną danych osobowych rodzi program 500+? Czy zgłaszane wcześniej przez GIODO wątpliwości zostały przez ustawodawcę wyjaśnione?

– Na etapie prac legislacyjnych nad projektem ustawy o pomocy państwa w wychowywaniu dzieci, GIODO zgłaszał zastrzeżenia, wskazując m.in., że przyjmowane rozwiązania, zwłaszcza odnoszące się do zmian dotyczących administratora danych oraz instytucji powierzenia przetwarzania danych, będą rodziły wątpliwości interpretacyjne i mogą spowodować trudności w praktycznym stosowaniu przepisów. Uwagi te nie zostały jednak uwzględnione.

W związku z tym GIODO, dążąc do wsparcia administratorów danych przy realizacji programu i do zapewnienia poszanowania praw osób, których dane są przetwarzane, wydał komunikat mający na celu wyjaśnienie wątpliwości interpretacyjnych i przedstawienie stanowiska organu w tej sprawie.

Kolejny z komunikatów odnosił się do wątpliwości, jakie pojawiły się w kwestii zgłaszania do rejestracji GIODO zbiorów danych tworzonych w związku z realizacją Programu Rodzina 500+. Zawarte w nim wyjaśnienia stanowiły istotne wsparcie dla podmiotów zaangażowanych w realizację Programu.

Ponadto GIODO udzielał indywidualnych wyjaśnień zgłaszającym się do niego podmiotom, m.in. co do możliwości udostępniania danych pomiędzy urzędem gminy a ośrodkiem pomocy społecznej.

Należy podkreślić, że GIODO nie prowadzi żadnych postępowań skargowych związanych z Programem Rodzina 500+. Niemniej, na podstawie pozyskiwanych sygnałów, kataloguje zakres zagadnień, które mogą być przedmiotem ewentualnych prac legislacyjnych zmierzających do doskonalenia przepisów ustawy o pomocy państwa w wychowywaniu dzieci np. na etapie ich ewaluacji.

Jak zmienia się w Polsce podejście do ochrony danych osobowych? Czy jest lepiej czy wręcz przeciwnie?

– Biorąc pod uwagę badania Eurobarometru oraz rosnącą z roku na rok liczbę kierowanych do GIODO skarg, można by przypuszczać, że świadomość Polaków w zakresie ochrony danych osobowych i prywatności jest coraz wyższa. Jednak w mojej opinii, jest ona bardzo powierzchowna. Chciałabym, żeby Polacy nauczyli się widzieć związek przyczynowo-skutkowy między swoim zachowaniem a naruszaniem ich prywatności, żeby wiedzieli, kiedy mogą odmówić podania swoich danych, a kiedy nie; żeby mieli świadomość ryzyka kradzieży tożsamości i potrafili je minimalizować. Wiedza na ten temat wciąż jest zbyt mała.

GIODO od lat prowadzi szeroko zakrojoną działalność edukacyjną skierowaną do różnych grup odbiorców. Z myślą o najmłodszych realizowany jest ogólnopolski program edukacyjny dla szkół i nauczycieli „Twoje dane – Twoja sprawa”. Dla administratorów bezpieczeństwa informacji (ABI) utworzyliśmy serwis, w którym znajdują się informacje i porady dotyczące m.in. powołania i rejestracji ABI oraz wykonywania przez niego jego ustawowych obowiązków. Warto też wspomnieć o platformie edukacyjno-informacyjnej eduGIODO, czyli internetowym serwisie, adresowanym zarówno do administratorów danych, jak również do każdej osoby, której dane dotyczą.

Jakie zmiany prawne należałoby wprowadzić, w szczególności w sferze samorządu terytorialnego, by ochrona danych osobowych była jeszcze lepsza?

– Obecnie największym wyzwaniem będzie przygotowanie się do stosowania przepisów ogólnego rozporządzenia o ochronie danych osobowych. Mimo że będzie ono stosowane bezpośrednio, to do jego przepisów musimy dostosować całe polskie prawo. W tym celu konieczne będzie dokonanie przeglądu wielu aktów prawnych, m.in. po to, aby ujednolicić definicje i wprowadzić nowe. Ponadto rozporządzenie przewiduje także przypadki, kiedy poszczególne kwestie pozostawione są do uregulowania lub doprecyzowania przez prawo krajowe. Przykładowo są to m.in. takie szczegółowe zagadnienia sektorowe, jak chociażby przetwarzanie danych osobowych na potrzeby zatrudnienia czy ochrony zdrowia.

Z kolei podmioty przetwarzające dane muszą przygotować się m.in. do zmian w procedurach i zasadach przetwarzania danych. Dla podmiotów z sektora publicznego istotny może być zaś obowiązek zatrudnienia Data Protection Officera, czyli inspektora ochrony danych. Taką funkcję pełni obecnie administrator bezpieczeństwa informacji (ABI) – jednak jego powołanie jest dobrowolne. Po wejściu w życie unijnego rozporządzenia, wszystkie instytucje publiczne będą musiały mieć w swoich strukturach DPO.

Dziękuję za rozmowę.

Zobacz serwis: Ubezpieczenia społeczne

Autopromocja

REKLAMA

Źródło: Gazeta Samorządu i Administracji
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Sektor publiczny
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Matura 2024. Zdajesz maturę z geografii? Zrób powtórkę z naszymi testami wiedzy
18 kwi 2024

Matura 2024. W jakim terminie maturzyści będą pisać egzamin z geografii? Jakie są wymagania egzaminacyjne? 
Wystarczy 3 godziny dziennie i dolegliwości masz jak w banku. Może to dotyczyć nawet co drugiego Polaka
18 kwi 2024

Najnowsze badania potwierdzają starą prawdę, że granie na komputerze nie służy zdrowiu. Dlaczego jednak profesjonalni gracze, którzy poświęcają na grę bardzo dużo czasu, nie cierpią bardziej niż amatorzy?
RPO: Nauczyciele mianowani są gorzej traktowani co do ochrony przedemerytalnej. MEN rozważy zmianę przepisów
18 kwi 2024

Rzecznik Praw Obywatelskich wystąpił do ministra edukacji o rozważenie zmiany przepisów Karty Nauczyciela. Chodzi o zrównanie uprawnień nauczycieli mianowanych z uprawnieniami nauczycieli zatrudnionych na podstawie umowy o pracę, związanych z ochroną przedemerytalną i prawem do wynagrodzenia za cały okres pozostawania bez pracy w przypadku przywrócenia nauczyciela do pracy przez sąd pracy i podjęcia przez niego zatrudnienia. Barbara Nowacka, minister edukacji zapowiedziała powołanie Zespołu, który będzie analizował zgłaszane postulaty odnośnie sytuacji prawnej nauczycieli – także w zakresie ochrony przedemerytalnej i prawa do wynagrodzenia za cały okres pozostawania bez pracy w przypadku przywrócenia do pracy przez sąd pracy.
Ceny biletów komunikacji miejskiej nie wzrosną i nie zmniejszy się liczba miejsc w przedszkolach. Trzeba też zerwać łatkę miasta maczet.
18 kwi 2024

Trzeba szukać oszczędności, ale ceny biletów komunikacji miejskiej nie wzrosną. Nie zmniejszy się też liczba miejsc w przedszkolach. Łukasz Gibała twierdzi też, że ma pomysł na Kraków bez partyjniactwa i opowiedział o tym w programie Gość INFOR.PL

REKLAMA

60 złotych brutto za godzinę dodatkowych zajęć dla nauczycieli. Będzie można wykorzystać 100 dodatkowych godzin
18 kwi 2024

W programie „Aktywna Szkoła” właśnie wprowadzono istotne zmiany. Osoby prowadzące zajęcia dostaną wyższe wynagrodzenie. Poszerzy się też katalog osób prowadzących zajęcia.
Prezes NFOŚiGW dla "DGP": perspektywa ewentualnego wycofania dotacji dla pieców gazowych wywołuje niezadowolenie i niepewność
18 kwi 2024

Decyzja o dalszym dofinansowaniu pieców gazowych w ramach programu Czyste Powietrze będzie musiała zostać podjęta w tym roku – powiedziała "Dziennikowi Gazecie Prawnej" prezes NFOŚiGW Dorota Zawadzka-Stępniak.
Ile depresja Polaków kosztuje gospodarkę?
18 kwi 2024

66,6% - aż tle dorosłych Polaków odczuwa przynajmniej jeden z syndromów kojarzonych z depresją. Najczęściej to uczucie zmęczenia i obniżenie nastroju. To poprawa względem ubiegłego roku, ale wciąż bardzo duża liczba. Tak wynika z danych najnowszego raportu. Autorzy badania szacują, że gospodarka traci na tym około 3 mld zł rocznie. 
Dostajesz podejrzane SMS-y? Twój operator sieci komórkowej je zablokuje
18 kwi 2024

Przedsiębiorcy telekomunikacyjni podłączyli się do systemu służącego do wymiany informacji o fałszywych wiadomościach – telegraf.cert.pl. System służy do przekazywania wzorca fałszywej wiadomości SMS.

REKLAMA

Egzamin ósmoklasisty - język polski. Zrób powtórkę z naszymi testami wiedzy
17 kwi 2024

Egzamin ósmoklasisty już coraz bliżej. Uczniowie kończący szkołę podstawową przystąpią do sprawdzianów wiedzy w dniach 14-16 maja 2024. Przygotowaliśmy małą powtórkę z języka polskiego. 
Masz 18 lat i kochasz podróżować? Sprawdź, jak wygrać podróż po Europie
17 kwi 2024

Do końca kwietnia można się zgłaszać do konkursu DiscoverEU i wygrać podróż po Europie. Jakie warunki trzeba spełnić? Jak się zgłosić?  

REKLAMA