Na czym będzie polegać?
Wraz z postępem cyfryzacji społeczeństwa i rozwojem systemów informatycznych, w których znajdują się dane osobowe konieczne staje się wprowadzenie przepisów, które pozwolą na realne zabezpieczenie tego rodzaju informacji. Właśnie temu służyć ma nowe Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, które zacznie funkcjonować od 25 maja 2018 r.
Z pewnością każdy z nas słyszał kiedykolwiek o GIODO, czyli Generalnym Inspektorze Ochrony Danych Osobowych, oraz o tym, że dane osobowe podlegają ochronie. Nie da się jednak ukryć, że większość z nas nie przywiązuje odpowiedniej wagi do należytego zabezpieczenia informacji osobowych. Podobnie sprawa wygląda w przypadku przedsiębiorców, którzy przetwarzają dane swoich klientów. Dzieje się tak przede wszystkim z powodu skomplikowania obecnie funkcjonujących przepisów, które wymagają praktycznie od każdego przedsiębiorcy wprowadzanie rozbudowanych procedur, dokumentacji i zgód.
Ochrona danych osobowych staje się jednak coraz ważniejsza, a zabezpieczenie chociażby przed kradzieżą tożsamości wymusza wprowadzenie realnych i sprawnie funkcjonujących środków ochrony danych. Dlatego właśnie organ prawodawczy Unii Europejskiej ogłosił rozporządzenie, które diametralnie zmieni obowiązujące przepisy. Poniżej wskazujemy najważniejsze zmiany, oraz ich faktycznie znaczenie dla przedsiębiorców przetwarzających dane osobowe.
Takie same przepisy w całej Unii – jednolite prawo ochrony danych osobowych
Cztery podstawowe swobody wspólnego rynku Unii Europejskiej, czyli swoboda przepływu towarów, usług, kapitału i w końcu – osób wiążą się ze swobodnym przepływem informacji osobowych. Nie da się przecież sprzedawać za granicę towarów, jeśli nie znamy personaliów klienta. Dlatego właśnie nowe, ujednolicone rozporządzenie zastąpi obecnie funkcjonujące w 28 państwach wspólnoty akty krajowe. W ten sposób zdecydowanie łatwiej będzie chronić dane i ścigać osoby, które przepisów nie przestrzegają.
Prowadzisz przedsiębiorstwo jednoosobowe lub małą firmę? W końcu będzie łatwiej!
W świetle obecnie funkcjonujących przepisów ochrony danych osobowych nie ma znaczenia, czy prowadzisz jednoosobową działalność sprzedając przy pomocy Internetu własnoręcznie wykonane bransoletki, czy też zasiadasz w radzie nadzorczej spółki akcyjnej z paromilionowym kapitałem – w obu przypadkach Twoja firma musi posiadać praktycznie takie same dokumenty i procedury przetwarzania danych. Oczywiście różny będzie ich wymiar i poziom skomplikowania, jednak u podstaw funkcjonuje to samo prawo, niezależne od wielkości przedsiębiorstwa.
Nowe rozporządzenie wyraźnie rozgranicza małe i średnie firmy od tych największych – zatrudniających ponad 250 pracowników. Od 18 maja 2018 r. tylko największe firmy będą musiały prowadzić rejestr czynności przetwarzania danych. Jednocześnie szczególny nacisk kładzie się na uwzględnienie potrzeb mikro, małych i średnich przedsiębiorstw.
Łatwiejsze składanie skarg – bez opłaty skarbowej
Ułatwienia dla średnich i małych firm oznaczają, że teoretycznie łatwiej będzie im prawidłowo chronić dane. Jednocześnie należy tutaj zaznaczyć, że łatwiejsze będzie również złożenie skargi na przedsiębiorcę, którego podejrzewamy o przetwarzanie danych niezgodnie z przepisami. Rozpatrywanie większej liczby skarg będzie wymagało rozbudowania biura GIODO, a co za tym idzie – upowszechnienia kontroli przez nie przeprowadzanych, zwłaszcza że wprowadzone zostaną nowe kary i sankcje, o których poniżej.
Nowe sankcje i kary – gwarancja przestrzegania prawa?
Obecnie Generalny Inspektor Ochrony Danych Osobowych nakłada kary finansowe stosunkowo sporadycznie – aby do tego doszło przedsiębiorca musi uparcie nie przywracać stanu zgodnego z prawem. Najczęściej po stwierdzeniu nieprawidłowości wydana zostaje decyzja zobowiązująca, ponaglenie i w końcu kara. Nowe rozporządzenie pozwoli nałożyć karę finansową nawet do 20 mln EUR lub 4% całkowitego obrotu z poprzedniego roku rozliczeniowego. Każdorazowo jednak zbadana zostanie skala naruszenia przepisów, umyślność działania czy współpraca podczas postępowania wyjaśniającego. Jeśli dodamy do tego możliwość uzyskania odszkodowania dla osób, których prawa zostały naruszone, łatwo dojdziemy do wniosku, że nieprawidłowe lub niezgodne z prawem przetwarzanie danych będzie po prostu nieopłacalne.
Domyślna ochrona danych osobowych
Zmianie ulegnie również samo podejście do przetwarzania danych. Jak słusznie zauważa organ prawodawczy UE koniecznie jest wprowadzenie domyślnej prywatności oraz ochrony danych. Chodzi tutaj o to, aby osoba której dane dotyczą nie musiała podejmować kroków, aby swoje dane zabezpieczyć.
Koniec z ABI. Niech żyje Inspektor Ochrony Danych
Obecnie przedsiębiorca chcący dopełnić obowiązków prawnych związanych z GIODO ma do wyboru dwie drogi.
- Pierwszą z nich jest zgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych przetwarzanych zbiorów danych (np. klienci czy odbiorcy newslettera).
- Drugą zaś – powołanie Administratora Bezpieczeństwa Informacji (ABI), który przejmuje część obowiązków ADO i przygotowuje raporty dla urzędu. Wybór danego rozwiązania jest dobrowolny i najczęściej zależy od preferencji i potrzeb konkretnej firmy.
Nowe przepisy zakładają, że w określonych wypadkach konieczne będzie powołanie inspektora ochrony danych (IOD), który zastąpi ABIego. Oprócz dbania o prawidłowe przetwarzanie danych IOD będzie również pełnił funkcję rzecznika danej firmy, do którego będą mogły zwrócić się osoby, których dane są przetwarzane, w razie wątpliwości lub podejrzenia ich nieprawidłowego wykorzystania
Co ważne – jeśli dana firma będzie zobowiązana do powołania IOD i nie dopełni tego wymogu, może zostać ukarana kwotą nawet do 10 mln EUR lub 2% obrotu z poprzedniego roku. W powyższym tekście rozpoczęliśmy dopiero omawianie przepisów, jakie wprowadza nowe Rozporządzenie. Oprócz wymienionych powyżej kwestii zmianie ulegnie chociażby definicja danych wrażliwych (zostanie poszerzona), kwestia przetwarzania danych osób niepełnoletnich czy obowiązki informacyjne wobec osób, których dane są przetwarzane.
Wraz z postępem krajowych prac legislacyjnych będziemy informować o konkretnych rozwiązaniach i sposobach wprowadzenia przepisów Rozporządzenia – informacje znajdziesz na naszym blogu.
