niedziela 26 czerwiec 2016 | Robert Kamiński

Co zmieni si─Ö w ochronie danych osobowych?

Pod koniec maja 2016 roku Unia Europejska przyj─Ö┼éa nowe rozporz─ůdzenie o ochronie danych osobowych. Ujednolici ono prawo w tym zakresie we wszystkich 28 pa┼ästwach cz┼éonkowskich. Na co musisz si─Ö przygotowa─ç?

Ju┼╝ za dwa lata – dok┼éadnie od 25 maja 2018 r. – zacznie obowi─ůzywa─ç europejskie rozporz─ůdzenie o ochronie danych osobowych.  - W tym czasie wszystkie organizacje powinny dostosowa─ç funkcjonuj─ůcy u siebie model ochrony danych osobowych –  w tym bezpiecze┼ästwo IT oraz bezpiecze┼ästwo informacji –  do wymogów nowych przepisów. – mówi adwokat Anna Dmochowska, specjalista ds. ochrony danych osobowych ODO 24.

zmiany w ue

Rozporz─ůdzenie zauwa┼╝a (w ko┼äcu) ma┼ée i ┼Ťrednie firmy. W aktualnym stanie prawnym takim samym regulacjom podlegaj─ů zarówno du┼╝e spó┼éki akcyjne, jak i osoby prowadz─ůce dzia┼éalno┼Ť─ç gospodarcz─ů. Co w rezultacie powoduje, ┼╝e te ostanie cz─Östo nie przestrzegaj─ů

 przepisów dotycz─ůcych ochrony danych osobowych. Dla przyk┼éadu agent ubezpieczeniowy – osoba fizyczna prowadz─ůca jednoosobow─ů dzia┼éalno┼Ť─ç gospodarcz─ů – w zakresie w jakim jest on administratorem danych osobowych musi sam dla siebie przygotowa─ç polityk─Ö bezpiecze┼ästwa informacji i instrukcj─Ö zarz─ůdzania systemem, w którym przetwarza si─Ö dane osobowe. Pokazuje to, ┼╝e obecne regulacje nie przystaj─ů do realiów funkcjonowania takich podmiotów. Nowe prawo b─Ödzie dostosowane do rodzaju przedsi─Öbiorstwa i uwzgl─Ödni specyfik─Ö ró┼╝nej wielko┼Ťci firm. Wydaje si─Ö to wa┼╝ne m.in. ze wzgl─Ödu na przewidziane rozporz─ůdzeniem sankcje. Podmioty przetwarzaj─ůce dane w sposób niezgodny z prawem nara┼╝one b─Öd─ů na kary nawet do 20 mln EUR (w przypadku przedsi─Öbiorstw do 4% ca┼ékowitego rocznego ┼Ťwiatowego obrotu z poprzedniego roku obrotowego). Skargi do GIODO b─Ödzie mo┼╝na kierowa─ç bezp┼éatnie. Do tej pory wymaga┼éo to wniesienia op┼éaty skarbowej w wysoko┼Ťci 10 z┼é.

W my┼Ťl nowych regulacji ochrona danych ma by─ç uwzgl─Ödniana ju┼╝ na etapie kreowania nowych produktów i us┼éug przez przedsi─Öbiorców, a dane domy┼Ťlnie chronione bez konieczno┼Ťci podejmowania dzia┼éa┼ä przez osoby, których dotycz─ů. - Oznacza to, ┼╝e ju┼╝ podczas projektowania systemu ochrony danych osobowych nale┼╝y wdra┼╝a─ç takie ┼Ťrodki, by od samego pocz─ůtku chroni─ç przetwarzane dane oraz prywatno┼Ť─ç osób, których dane dotycz─ů. Ponadto ustawienia domy┼Ťlne danego systemu powinny przewidywa─ç mo┼╝liwie najdalej posuni─Öte zabezpieczenia danych osobowych. – wyja┼Ťnia adw. Anna Dmochowska.

Administratorzy danych b─Öd─ů musieli wdro┼╝y─ç odpowiednie ┼Ťrodki techniczne i organizacyjne, które zapewni─ů odpowiadaj─ůcy potencjalnym zagro┼╝eniom poziom bezpiecze┼ästwa. Ponadto zobowi─ůzane b─Öd─ů do prowadzenia rejestru czynno┼Ťci przetwarzania danych osobowych. Nie b─Ödzie ju┼╝ obowi─ůzku zg┼éaszania przez administratora danych rejestru danych osobowych do GIODO. ABI (Administrator Bezpiecze┼ästwa Informacji) „zast─ůpi” IOD (Inspektor Ochrony Danych), którego powo┼éanie, w przeciwie┼ästwie do ABI, b─Ödzie obowi─ůzkowe  tak┼╝e – w okre┼Ťlonych w rozporz─ůdzeniu sytuacjach – dla zleceniobiorców (procesorów), którzy przetwarzaj─ů dane w imieniu ADO (Administratora Danych Osobowych). Jest to znacz─ůca zmiana w kontek┼Ťcie podzia┼éu obowi─ůzków pracowniczych i rozwi─ůza┼ä kadrowych. Obecnie administrator bezpiecze┼ästwa informacji powo┼éywany jest spo┼Ťród pracowników danej firmy czy instytucji, a do jego zakresu obowi─ůzków niejako dodawana jest funkcja ABI. Rozporz─ůdzenie nak┼éada na nowego ABI – inspektora ochrony danych – szereg dodatkowych obowi─ůzków, które trudno b─Ödzie pogodzi─ç z innego rodzaju prac─ů. Podmioty przetwarzaj─ůce dane – zw┼éaszcza du┼╝e przedsi─Öbiorstwa –  b─Öd─ů musia┼éy rozwa┼╝y─ç wydzielenie osobnego stanowiska dla inspektora ochrony danych lub outsourcowa─ç  t─Ö funkcj─Ö. Zmiany dotkn─ů tak┼╝e  grupy kapita┼éowe. Kilka podmiotów b─Ödzie mog┼éo jednocze┼Ťnie administrowa─ç te same dane. Z tym, ┼╝e osoby, których dotycz─ů, trzeba b─Ödzie o tym poinformowa─ç, wskazuj─ůc kto i za co odpowiada.

- Przed organizacjami stanie tak┼╝e szereg nowych wyzwa┼ä takich jak prawid┼éowe stosowanie prawa podmiotu danych do bycia zapomnianym, przenoszenia danych, procedury profilowania, zg┼éaszania narusze┼ä ochrony danych osobowych do GIODO, przetwarzanie danych dzieci tylko za zgod─ů opiekunów itd. – mówi Mecenas Dmochowska. M.in. rozszerzony zostanie obowi─ůzek informacyjny podczas zbierania danych, co b─Ödzie wymaga┼éo rozbudowania klauzul informacyjnych. Teraz sk┼éadaj─ů si─Ö one z kilku zda┼ä, a szacuje si─Ö, ┼╝e gdy zacznie obowi─ůzywa─ç Rozporz─ůdzenie, przeci─Ötnie zajmowa─ç b─Öd─ů prawie ca┼é─ů stron─Ö A4.

Zmian jest sporo. Dlatego warto ju┼╝ teraz zapozna─ç si─Ö z nowymi regulacjami i do nich przygotowa─ç. To, czy b─Öd─ů to dla przedsi─Öbiorców wielkie zmiany, zale┼╝y w znacznej mierze od nich samych i dostosowania ich firm do przepisów nowego Rozporz─ůdzenia.