12.07.2017 | Kategoria: Prawo własności intelektualnej

Nowe unijne rozporządzenie dot. ochrony danych osobowych. Wysokie kary za naruszenia.

RODO wejdzie w życie 28 maja 2018 roku. Pomimo, że dla niektórych może być to jeszcze daleka przyszłość, zmiany dotyczące przetwarzania i ochrony danych osobowych dotyczą szerokiej grupy osób. W ustawie przewidziane są m.in. ułatwienia dla przedsiębiorców wykorzystujących dane w swojej działalności, ale także zapowiadane są wysokie kary za naruszenia przepisów o ich ochronie. Jak dobrze przygotować się do nadchodzących zmian? – przedstawi Anna Wawruch z zespołu Affre. Artykuł ukazał się częściowo w Branży Dziecięcej nr 04/2017.

Nowe unijne rozporządzenie dot. ochrony danych osobowych. Wysokie kary za naruszenia.

Prowadzenie działalności handlowej nieuchronnie wiąże się ze zbieraniem danych osobowych (np. danych kontaktowych klientów) oraz ich przetwarzaniem – od wystawienia faktury, poprzez wysłanie produktu za pomocą firmy kurierskiej, po skomplikowane operacje związane z profilowaniem kupujących. Niedługo wprowadzone zostaną duże zmiany w obowiązujących przepisach dotyczących ich ochrony. Warto się z nimi zapoznać, aby nie dać się zaskoczyć i wcześniej zapewnić zgodność swoich działań z nowym prawem.

Zmiany wprowadzane przez Rozporządzenie o ochronie danych osobowych (tzw. „RODO”).

28 maja 2018 r. wejdzie w życie nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Dla przedsiębiorców oznacza to wiele zmian w ich systemach i procedurach ochrony danych osobowych. Z jednej strony przewidziano ułatwienia dla podmiotów, które przetwarzają dane (np. właścicieli sklepów internetowych), ale jednocześnie zrewolucjonizowany zostanie system odpowiedzialności za naruszenie przepisów chroniących osoby fizyczne (np. klientów sklepów).

Na wstępie należy zaznaczyć, że RODO będzie głównym aktem prawnym regulującym kwestię ochrony danych osobowych w UE, co w konsekwencji ma doprowadzić do ujednolicenia standardów ochrony w poszczególnych państwach członkowskich. Oznacza to, że właśnie ten akt przedsiębiorcy będą musieli wziąć pod uwagę w pierwszej kolejności kształtując procedury ochrony danych. Polska ustawa o ochronie danych osobowych będzie zawierać jedynie doprecyzowanie niektórych kwestii, takich jak działanie Prezesa Urzędu Ochrony Danych Osobowych (powstałego z przekształcenia Generalnego Inspektora Ochrony Danych Osobowych, dalej: „Prezes UODO”). Pojawi się również nowy akt – Dobre praktyki Prezesa UODO, zawierające praktyczne wskazówki dotyczące zapewniania bezpieczeństwa przetwarzania danych osobowych.

Uproszczenia wprowadzone przez RODO

Rozporządzenie wprowadza uproszczenia w zakresie procedur związanych z przetwarzaniem danych osobowych. Przede wszystkim dotyczy to współpracy unijnej, w ramach której wszystkie sprawy związane z ochroną danych będzie można załatwić u jednego organu nadzorczego (np. Prezesa UODO). Dodatkowo zrezygnowano z obowiązku rejestracji i zgłaszania zbiorów danych osobowych, a także szczegółowej regulacji kwestii technicznych, takich jak liczba dni, po których należy zmienić hasło czy liczba liter w tym haśle.

Obowiązki podmiotu przetwarzającego

Celem RODO jest przede wszystkim zwiększenie ochrony osób, do których należą dane, co oznacza nałożenie nowych obowiązków na administratorów i podmioty przetwarzające.

·       Obowiązki notyfikacji naruszeń

W przypadku, gdy dojdzie do naruszenia ochrony danych (np. kradzież danych klientów z serwera), administrator będzie miał obowiązek zgłoszenia w ciągu 72 godzin takiego zdarzenia Prezesowi UODO oraz poinformowania o nim jasnym i prostym językiem osoby, której dane dotyczą. Z notyfikacji można jednak zrezygnować, gdy naruszenie praw lub wolności osób fizycznych będzie mało prawdopodobne.

·       Obowiązek prowadzenia rejestru czynności przetwarzania

W przypadku administratorów zatrudniających ponad 250 osób oraz podmiotów przetwarzających, co do zasady konieczne będzie prowadzenie w formie pisemnej lub elektronicznej rejestru czynności przetwarzania danych osobowych. Mniejsze podmioty będą prowadzić rejestr, gdy przetwarzanie stworzy ryzyko naruszenia praw i wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych takich jak dane biometryczne, które stanowią nową kategorię danych wrażliwych.

·       Obowiązki informacyjne

Przedsiębiorcy będą musieli się również zmierzyć z nałożonymi na nich obowiązkami informacyjnymi wobec osób, których dotyczą dane. Informacje muszą być udzielone zwięźle, prostym językiem, w przejrzystej i łatwo zrozumiałej formie oraz mają obejmować m.in. tożsamość administratora i jego dane kontaktowe, cele przetwarzania, odbiorców danych, czy okres przetwarzania.

Pozostałe obowiązki obejmują:

  • wyznaczenie Inspektora Danych Osobowych,
  • uwzględnianie ochrony danych w fazie projektowania systemu przetwarzania oraz domyślną ochronę danych niezbędnych,
  • analizę ryzyka i ocenę skutków przetwarzania dla ochrony danych,
  • odpowiednie zabezpieczenie danych,
  • współpracę z organem nadzorczym.

Prawa podmiotu, do którego należą dane osobowe

Regulacja unijna wprowadziła również kilka nowych praw przysługujących osobom, do których należą dane. Najważniejsze z nich to:

  •   prawo do bycia zapomnianym, czyli możliwość żądania niezwłocznego usunięcia danych dotyczących danej osoby,
  • sprzeciw wobec przetwarzania danych na potrzeby marketingu bezpośredniego,
  • przeniesienie danych do innego administratora,
  • otrzymanie kopii danych od administratora i wgląd do nich,
  •   żądanie ograniczenia przetwarzania danych m.in. w sytuacji kwestionowania prawidłowości danych lub ich przetwarzania.

Wyraźna zgoda na przetwarzanie

W przypadkach, gdy przetwarzanie danych odbywa się na podstawie wyrażonej zgody, musi być ona wyraźnie odróżniona od innych kwestii zawartych w tym samym oświadczeniu. Dodatkowo zapytanie o zgodę musi być wyrażone jasnym i prostym językiem, w zrozumiałej i łatwo dostępnej formie. Zgoda może być w każdym czasie wycofana, a administrator ma zapewnić, aby było to równie łatwe jak jej wyrażenie.

Nakładanie kar pieniężnych

Największa zmiana dotyczy możliwości nakładania kar pieniężnych na przedsiębiorców przez organ nadzorczy, czyli Prezesa UODO.

Przede wszystkim Prezes UODO będzie mógł nałożyć karę w wysokości do 20 000 000 euro lub do 4% całkowitego rocznego światowego obrotu za naruszenie podstawowych zasad przetwarzania danych, praw osób, których dane dotyczą lub nieprzestrzeganie nakazu ograniczenia przetwarzania.

Drugim rodzajem kary, jest kara do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu, która nakładana będzie w przypadku naruszenia obowiązków administratora lub podmiotu przetwarzającego, takich jak zgłaszanie naruszenia danych osobowych Prezesowi UODO, zawiadomienie o naruszeniu osoby, której dotyczą dane, czy prowadzenie rejestru czynności przetwarzania danych osobowych.

Każdy kraj ma możliwość określenia również innych sankcji za naruszenie przepisów dotyczących ochrony danych osobowych. Projekt nowej ustawy o ochronie danych osobowych przewiduje w tym zakresie przede wszystkim możliwość dochodzenia - przez osobę, której prawa zostały naruszone - odpowiedzialności cywilnej skierowanej na usunięcie skutków naruszenia. O wniesieniu pozwu sąd ma zawiadamiać Prezesa UODO. Prezes powinien zaś przekazać informację, czy toczy się przed nim postępowanie w sprawie pozwanego podmiotu lub czy takie postępowanie zostało zakończone. Ma to zapewnić jednolitość orzekania różnych organów w tych samych sprawach.

Warto również zaznaczyć, że w projekcie nie przewidziano odpowiedzialności karnej tak, jak jest to na gruncie obecnej ustawy.

Podsumowanie

Od 28 maja 2018 r. przedsiębiorcy będą musieli wykazywać zgodność ze stawianymi przez RODO wymaganiami. Chociaż pozostawiono dużo czasu na dostosowanie się do nowych regulacji, warto wcześniej pomyśleć nad wypracowaniem odpowiednich procedur. Właściwe przygotowanie pozwoli uniknąć zapowiadanych wysokich kar za naruszenie ochrony danych osobowych.



Powyższe uwagi mają charakter jedynie informacyjny oraz ogólny i nie stanowią porady prawnej. Porada prawna może zostać udzielona przez adwokata lub radcę prawnego jedynie po gruntownym zapoznaniu się ze stanem faktycznym konkretnej sprawy. Jeśli potrzebujesz porady prawnej, pomożemy Ci znaleźć odpowiednią kancelarię lub możesz zadać bezpośrednio pytanie prawnikom poprzez formularz Zadaj pytanie