niedziela 26 czerwiec 2016 | Robert Kamiński

Co zmieni siÄ™ w ochronie danych osobowych?

Pod koniec maja 2016 roku Unia Europejska przyjęła nowe rozporządzenie o ochronie danych osobowych. Ujednolici ono prawo w tym zakresie we wszystkich 28 państwach członkowskich. Na co musisz się przygotować?

Już za dwa lata – dokÅ‚adnie od 25 maja 2018 r. – zacznie obowiÄ…zywać europejskie rozporzÄ…dzenie o ochronie danych osobowych.  - W tym czasie wszystkie organizacje powinny dostosować funkcjonujÄ…cy u siebie model ochrony danych osobowych –  w tym bezpieczeÅ„stwo IT oraz bezpieczeÅ„stwo informacji –  do wymogów nowych przepisów. – mówi adwokat Anna Dmochowska, specjalista ds. ochrony danych osobowych ODO 24.

zmiany w ue

RozporzÄ…dzenie zauważa (w koÅ„cu) maÅ‚e i Å›rednie firmy. W aktualnym stanie prawnym takim samym regulacjom podlegajÄ… zarówno duże spóÅ‚ki akcyjne, jak i osoby prowadzÄ…ce dziaÅ‚alność gospodarczÄ…. Co w rezultacie powoduje, że te ostanie czÄ™sto nie przestrzegajÄ…

 przepisów dotyczÄ…cych ochrony danych osobowych. Dla przykÅ‚adu agent ubezpieczeniowy – osoba fizyczna prowadzÄ…ca jednoosobowÄ… dziaÅ‚alność gospodarczÄ… – w zakresie w jakim jest on administratorem danych osobowych musi sam dla siebie przygotować politykÄ™ bezpieczeÅ„stwa informacji i instrukcjÄ™ zarzÄ…dzania systemem, w którym przetwarza siÄ™ dane osobowe. Pokazuje to, że obecne regulacje nie przystajÄ… do realiów funkcjonowania takich podmiotów. Nowe prawo bÄ™dzie dostosowane do rodzaju przedsiÄ™biorstwa i uwzglÄ™dni specyfikÄ™ różnej wielkoÅ›ci firm. Wydaje siÄ™ to ważne m.in. ze wzglÄ™du na przewidziane rozporzÄ…dzeniem sankcje. Podmioty przetwarzajÄ…ce dane w sposób niezgodny z prawem narażone bÄ™dÄ… na kary nawet do 20 mln EUR (w przypadku przedsiÄ™biorstw do 4% caÅ‚kowitego rocznego Å›wiatowego obrotu z poprzedniego roku obrotowego). Skargi do GIODO bÄ™dzie można kierować bezpÅ‚atnie. Do tej pory wymagaÅ‚o to wniesienia opÅ‚aty skarbowej w wysokoÅ›ci 10 zÅ‚.

W myÅ›l nowych regulacji ochrona danych ma być uwzglÄ™dniana już na etapie kreowania nowych produktów i usÅ‚ug przez przedsiÄ™biorców, a dane domyÅ›lnie chronione bez koniecznoÅ›ci podejmowania dziaÅ‚aÅ„ przez osoby, których dotyczÄ…. - Oznacza to, że już podczas projektowania systemu ochrony danych osobowych należy wdrażać takie Å›rodki, by od samego poczÄ…tku chronić przetwarzane dane oraz prywatność osób, których dane dotyczÄ…. Ponadto ustawienia domyÅ›lne danego systemu powinny przewidywać możliwie najdalej posuniÄ™te zabezpieczenia danych osobowych. – wyjaÅ›nia adw. Anna Dmochowska.

Administratorzy danych bÄ™dÄ… musieli wdrożyć odpowiednie Å›rodki techniczne i organizacyjne, które zapewniÄ… odpowiadajÄ…cy potencjalnym zagrożeniom poziom bezpieczeÅ„stwa. Ponadto zobowiÄ…zane bÄ™dÄ… do prowadzenia rejestru czynnoÅ›ci przetwarzania danych osobowych. Nie bÄ™dzie już obowiÄ…zku zgÅ‚aszania przez administratora danych rejestru danych osobowych do GIODO. ABI (Administrator BezpieczeÅ„stwa Informacji) „zastÄ…pi” IOD (Inspektor Ochrony Danych), którego powoÅ‚anie, w przeciwieÅ„stwie do ABI, bÄ™dzie obowiÄ…zkowe  także – w okreÅ›lonych w rozporzÄ…dzeniu sytuacjach – dla zleceniobiorców (procesorów), którzy przetwarzajÄ… dane w imieniu ADO (Administratora Danych Osobowych). Jest to znaczÄ…ca zmiana w kontekÅ›cie podziaÅ‚u obowiÄ…zków pracowniczych i rozwiÄ…zaÅ„ kadrowych. Obecnie administrator bezpieczeÅ„stwa informacji powoÅ‚ywany jest spoÅ›ród pracowników danej firmy czy instytucji, a do jego zakresu obowiÄ…zków niejako dodawana jest funkcja ABI. RozporzÄ…dzenie nakÅ‚ada na nowego ABI – inspektora ochrony danych – szereg dodatkowych obowiÄ…zków, które trudno bÄ™dzie pogodzić z innego rodzaju pracÄ…. Podmioty przetwarzajÄ…ce dane – zwÅ‚aszcza duże przedsiÄ™biorstwa –  bÄ™dÄ… musiaÅ‚y rozważyć wydzielenie osobnego stanowiska dla inspektora ochrony danych lub outsourcować  tÄ™ funkcjÄ™. Zmiany dotknÄ… także  grupy kapitaÅ‚owe. Kilka podmiotów bÄ™dzie mogÅ‚o jednoczeÅ›nie administrować te same dane. Z tym, że osoby, których dotyczÄ…, trzeba bÄ™dzie o tym poinformować, wskazujÄ…c kto i za co odpowiada.

- Przed organizacjami stanie także szereg nowych wyzwaÅ„ takich jak prawidÅ‚owe stosowanie prawa podmiotu danych do bycia zapomnianym, przenoszenia danych, procedury profilowania, zgÅ‚aszania naruszeÅ„ ochrony danych osobowych do GIODO, przetwarzanie danych dzieci tylko za zgodÄ… opiekunów itd. – mówi Mecenas Dmochowska. M.in. rozszerzony zostanie obowiÄ…zek informacyjny podczas zbierania danych, co bÄ™dzie wymagaÅ‚o rozbudowania klauzul informacyjnych. Teraz skÅ‚adajÄ… siÄ™ one z kilku zdaÅ„, a szacuje siÄ™, że gdy zacznie obowiÄ…zywać RozporzÄ…dzenie, przeciÄ™tnie zajmować bÄ™dÄ… prawie całą stronÄ™ A4.

Zmian jest sporo. Dlatego warto już teraz zapoznać siÄ™ z nowymi regulacjami i do nich przygotować. To, czy bÄ™dÄ… to dla przedsiÄ™biorców wielkie zmiany, zależy w znacznej mierze od nich samych i dostosowania ich firm do przepisów nowego RozporzÄ…dzenia.