Rewolucyjne zmiany w ochronie danych osobowych od 2018 r.

Unia Europejska przyjęła nowe przepisy dotyczące ochrony danych osobowych. Będą one jednolite dla wszystkich krajów członkowskich i zaczną obowiązywać począwszy od maja 2018 r. Proponowane zapisy powinny wzbudzić zainteresowanie przedsiębiorców, ale także jednostek administracji różnego szczebla.

Nowe prawo wejdzie w życie 25 maja 2018 r. Pojawia się w nim kilka wartych wspomnienia kwestii, których nieprzestrzeganie będzie się wiązać z dotkliwymi karami.

Nowe przepisy obowiązywać będą w sposób bezpośredni, co oznacza, że nie będą wymagać krajowej implementacji. Zasadniczo wzmacniają one pozycję osób fizycznych, nakładając jednocześnie nowe obowiązki na przedsiębiorców i administrację.

Polecamy produkt: Gazeta Samorządu i Administracji

Zmiany będą istotne dla firm komercyjnych. Szczególnego podkreślenia wymaga fakt, że zdecydowano się na wprowadzenie rozróżnienia na małe oraz większe jednostki. Dotychczasowe regulacje odnosiły się do obu grup podmiotów jednocześnie, co niejednokrotnie utrudniało tym najmniejszym wdrażanie regulacji w praktyce.

Wprowadzane przepisy odnosić się będą nie tylko do firm unijnych, ale również do takich, których siedziba jest poza Unią Europejską. Będzie to miało miejsce w sytuacji, gdy oferowane będą przez nie obywatelom UE dobra lub usługi, a także, gdy monitorowane będą przez te podmioty zachowania mieszkańców Wspólnoty (oznacza to, że będą musiały się do nich stosować takie znane korporacje amerykańskie, jak Google czy Facebook).

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Nowe regulacje wskazują na to, że podmiot będący w posiadaniu danych prywatnych musi domyślnie je chronić, bez konieczności podejmowania działań w tym zakresie przez osobę, do której te informacje się odnoszą. Odpowiednie starania muszą być podejmowane już na etapie kreowania produktów i usług dla klientów. Kolejny wymóg to wdrożenie rejestru czynności związanych z przetwarzaniem danych. Zniesiony zostanie obowiązek zgłaszania rejestru danych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Do tej instytucji będą jednak musiały być zgłaszane przez przedsiębiorców naruszenia danych osobowych. W poważniejszych przypadkach powstanie również obowiązek informowania tych, których taka sytuacja dotyczy.

Nowe regulacje przewidują również możliwości interwencji w dane osobiste. Wśród nich wymienić można prawo do bycia zapomnianym, przenoszenie danych, ich profilowanie itp. Ułatwiony zostanie również transfer tych danych do państw trzecich. Rozszerzony ma zostać też obowiązek informacyjny w trakcie zbierania informacji o charakterze prywatnym. Konsekwencją będzie znacznie większa objętość klauzul informacyjnych.

Dotychczasowa funkcja Administratora Bezpieczeństwa Danych (ABI) zostanie zniesiona – w jej miejsce powstanie obligatoryjna instytucja Inspektora Ochrony Danych (IOD).

Nieprzestrzeganie nowych zapisów będzie się wiązać z bardzo dotkliwymi sankcjami. Przetwarzanie danych w sposób niezgodny z prawem będzie zagrożone karą do 20 mln euro. W przypadku samych przedsiębiorców sankcje będą wynosić do 4% wartości światowych obrotów z poprzedniego roku obrotowego. Skargi do krajowych instytucji zajmujących się ochroną danych osobowych będą darmowe. Firmy uzyskają również możliwość potwierdzenia wysokiej jakości ochrony danych osobowych poprzez możliwość pozyskania odpowiednich certyfikatów oraz znaków jakościowych.

Podstawa prawna:

● rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L 119 z 4 maja 2016 r.)

Wywiad

W życie weszło rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Jego rozwiązania będą stosowane w Polsce za niecałe dwa lata. Będzie to rewolucja – obywatele zyskają nowe narzędzia ochrony zaś na administrację publiczną nałożone zostaną nowe obowiązki.

Z dr Edytą Bielak-Jomaa, Generalnym Inspektorem Ochrony Danych Osobowych (GIODO) rozmawia Rafał Osiński

Czy rozporządzenie PE i Rady UE z kwietnia 2016 r. w istotny sposób zmieni sposób postępowania administratorów danych? Jakie narzędzia zyska GIODO, by chronić nas przed nieuczciwymi praktykami z ich strony?

– Rozporządzenie wprowadza wiele nowych rozwiązań, jak np. prawo do bycia zapomnianym czy prawo do przenoszenia danych. Ustanawia też nowy sposób dopełniania obowiązku informacyjnego, a także obowiązek prowadzenia rejestru czynności (operacji) przetwarzania danych osobowych. Ponadto, wprowadzając generalną zasadę uwzględniania zasad ochrony danych już w fazie projektowania procesów przetwarzania danych osobowych, przenosi ciężar odpowiedzialności za niezgodne z prawem przetwarzanie danych osobowych na administratorów danych.