Rozporządzanie UE

Nowe przepisy

Obecnie zasadę ochrony danych osobowych w Unii Europejskiej reguluje Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Implementację Dyrektywy do polskiego systemu prawnego stanowi ustawa o ochronie danych osobowych.

W dniu 25 stycznia 2012 r. Komisja Europejska przyjęła pakiet zmian regulacji unijnych w zakresie ochrony danych, w tym dokument Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, zwane w skrócie ogólnym rozporządzeniem o ochronie danych.

Rozporządzenie to akt, który będzie obowiązywał bezpośrednio w krajach członkowskich, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Dzięki jego wprowadzeniu nastąpi pełna harmonizacja prawa materialnego w ramach Unii Europejskiej i swobodnego przepływu tych danych.

W dniu 4 maja 2016 r. w Dzienniku Urzędowym UE został opublikowany oficjalny tekst ogólnego rozporządzenia o ochronie danych uchylającego Dyrektywę 95/46/WE. Zgodnie z art. 99 ogólnego rozporządzenia o ochronie danych, rozporządzenie wchodzi w życie 20 dnia po publikacji w Dzienniku Urzędowym UE, i będzie stosowane od dnia 25 maja 2018 r.

Zmiany wejdą w życie dopiero w 2018 roku, ale już dziś zapraszamy Państwa do współpracy celem jak najlepszego przygotowania się do ich stosowania.

Najważniejsze zmiany wynikające z Rozporządzenia Parlamentu Europejskiego i Rady 2016/679:

  • Wprowadzenie nowej definicji pseudonimizacji – czyli przetworzenia danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
  • Rozszerzenie definicji „przetwarzania” – przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (czyt. wszystko).
  • Zmiana definicji zgody na przetwarzanie danych – „zgoda” osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych.
  • Rozporządzenie wprowadziło nowe uprawnienia podmiotów danych, zwiększające uprawnienia kontroli nad danymi:
    • prawo żądania usunięcia danych, tzw. prawo do bycia zapomnianym;
    • prawo do ograniczenia przetwarzania;
    • prawo do przenoszenia danych;
    • prawo do sprzeciwu.
  • Privacy by design i privacy by default – na administratorów nałożono nowe obowiązki w zakresie podjęcia działań określanych jako obowiązek uwzględniania ochrony danych w fazie projektowania (privacy by design), jak i samego już przetwarzania danych (privacy by default). Jeżeli dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Jeżeli ocena skutków dla ochrony danych, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.
  • Stworzenie procedury notyfikowania naruszeń – w przypadku naruszenie ochrony danych osobowych, administrator jest zobowiązany do zgłoszenia takiego naruszenia Generalnemu Inspektorowi bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Zgłoszenie po czasie wyznaczonym w Rozporządzeniu wymagać będzie dołączenia wyjaśnienia przyczyn opóźnienia. Zgłoszenie powinno między innymi opisywać charakter naruszenia ochrony danych osobowych, imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub oznaczenie innego punktu kontaktowego, od którego będzie można uzyskać więcej informacji o naruszeniu, a także opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu.
  • Nowa sytuacja prawna Administratora Bezpieczeństwa Informacji jako Inspektora Ochrony Danych. W Rozporządzeniu nie występuje znane polskiemu ustawodawstwu pojęcie Administratora Bezpieczeństwa Informacji, zamiast niego pojawia się Inspektor Ochrony Danych Osobowych. Oto najważniejsze informacje dotyczące sytuacji prawnej Inspektora:
    • musi posiadać fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań wyznaczonych przez Rozporządzenie;
    • musi być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych;
    • musi posiadać niezbędne zasoby potrzebne do wykonywania przez niego zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby   niezbędne do utrzymania jego fachowej wiedzy;
    • zakazuje się wydawania instrukcji Inspektorowi dotyczących wykonywania zadań wynikających z Rozporządzenia;
    • może nim być zarówno pracownik administratora, jak też zadania te może wykonywać inny podmiot na podstawie umowy o świadczenie usług;
    • administrator jest zobowiązany do publikacji danych kontaktowych inspektora ochrony danych i zawiadomienia o nich organ nadzorczy.
  • Inspektor Ochrony Danych – w przypadku jednostek administracji publicznej wyznaczenie Inspektora będzie obligatoryjne, w przypadku podmiotów prywatnych obligatoryjne tylko w sytuacjach przewidzianych Rozporządzeniem.
  • Punkt kontaktowy – Inspektor Ochrony Danych będzie pełnił rolę swoistego punktu kontaktowego dla osób, których dane dotyczą. Osoby te będą mogły kontaktować się z Inspektorem we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy Rozporządzenia. Inspektor Ochrony Danych będzie również pełnił funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z prowadzeniem konsultacji.
  • Możliwość wyznaczenia jednego Inspektora przez grupę przedsiębiorstw, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.
  • Transfer danych do państw trzecich oparty na mechanizmach transferowych, m.in.:
    • odpowiednich gwarancji ochrony danych osobowych.
    • decyzji Komisji Europejskiej stwierdzającej odpowiedniość ochrony w państwie trzecim.
  • Bardzo wysokie kary pieniężne – przepisy wprowadzają radykalną zmianę w zakresie kar pieniężnych. Zgodnie z art. 83 ust. 5, naruszenia przepisów o ochronie danych osobowych mogą podlegać administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa.