W dniu 4 maja 2016 r. ogłoszony został tekst Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uczelnia dyrektywy 95/45/WE – w Polsce bliżej znanego jako Rozporządzenie o ochronie danych osobowych, w skrócie RODO. Rozporządzenie weszło w życie przy czym, zgodnie z przepisami przejściowymi, będzie mieć zastosowanie od 25 maja 2018 r. Warto już dziś zapoznać się z nowymi regulacjami i przygotować do zmian, gdyż prowadzenie działalności niezgodnie z przepisami RODO będzie skutkowało obciążaniem karami administracyjnymi sięgającymi nawet kilkudziesięciu milionów euro.
RODO znacznie poszerza definicję danych osobowych, określając je jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane osobowe przetwarzane przez przedsiębiorstwa nie dotyczą tylko klientów. Są to również dane osobowe pracowników i innych osób świadczących usługi. Wszystko to sprawia, że prawie każdy przedsiębiorca zbierający jakiekolwiek dane od osób fizycznych, będzie objęty obowiązkami wynikającymi z RODO.
Ustawodawca unijny ostatecznie zdecydował o uregulowaniu kwestii profilowania, wykorzystywanego obecnie przez banki czy firmy marketingowe. Od maja 2018 r. profilowanie będzie dopuszczalne jedynie po spełnieniu ściśle określonych warunków. Doprecyzowane zostały także zasady pozyskiwania zgody osoby fizycznej na przetwarzanie jej danych osobowych. Preambuła RODO wskazuje, że zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Co więcej, jeżeli przetwarzanie odbywa się na podstawie zgody, Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie. Zapytanie o zgodę musi odbyć się w sposób jasny, językiem prostym, odróżniając się od pozostałych kwestii. Osoba udzielająca zgody ma jednak prawo w dowolnym momencie ją wycofać – musi to zostać jej umożliwione w tak samo łatwy sposób, w jaki ją wyrażała.
RODO przyznaje więcej praw osobom fizycznym, których dane są przetwarzane. Głównie są to:
- prawo dostępu do danych przysługujące osobie, której dane dotyczą,
- prawo do sprostowania i uzupełnienia danych,
- prawo do usuwania danych (tzw. „prawo do bycia zapomnianym”),
- prawo do ograniczenia przetwarzania danych,
- prawo do przenoszenia danych,
- prawo do sprzeciwu (w razie sprzeciwu Administrator danych będzie musiał wykazać m.in. nadrzędne prawnie uzasadnione podstawy do przetwarzania danych).
Elementem, na który RODO kładzie największy nacisk, jest zwiększona transparentność przedsiębiorstw w zakresie sposobu przetwarzania przez nie danych osobowych. Poza podstawowymi informacjami o tożsamości Administratora, danych kontaktowych czy celu przetwarzania, przedsiębiorstwa będą zobowiązane również m.in. do informowania osób fizycznych o okresie, przez który ich dane osobowe będą przechowywanie, konsekwencjach braku podania danych, zasadach profilowania, prawie wniesienia skargi do organu nadzorczego (UODO). Administratorzy wraz z Inspektorami (obecnymi ABI) będą również zobowiązani do oceny ryzyka związanego z przetwarzaniem, a także do tworzenia tzw. kodeksów postępowań lub zatwierdzonych mechanizmów certyfikacji. Na przejrzystość przetwarzania danych będzie mieć też wpływ obowiązek rejestrowania czynności przetwarzania danych, który dotknie wszystkich Administratorów danych, gdyż w rezultacie jedynie sporadyczny charakter przetwarzania lub brak ryzyka naruszenia praw i wolności osób może zwolnić przedsiębiorców od tworzenia rejestrów. Ewentualne naruszenia ochrony danych osobowych w firmach będą musiały być zgłaszane Prezesowi UODO a także osobie, której naruszenie danych dotyczy.
Nowe przepisy będą mieć bezpośrednie zastosowanie, nie wymagają implementacji. Niemniej jednak, ustawodawca krajowy może ustalić własne regulacje w poszczególnych kwestiach. Polski ustawodawca skorzystał z tego uprawnienia czego rezultatem jest projekt ustawy o ochronie danych osobowych opublikowany przez Ministerstwo Cyfryzacji w dniu 28 marca 2017 r. Najważniejszą zmianą, jaką wprowadza projekt ustawy jest likwidacja Generalnego Inspektora Ochrony Danych Osobowych i utworzenie w jego miejsce nowego organu – Prezesa Urzędu Ochrony Danych Osobowych. Zmiana jest uzasadniona przepisami unijnymi, które wprowadzają Inspektora Ochrony Danych Osobowych w miejsce obecnego Administratora Bezpieczeństwa Informacji. Stosowanie dotychczasowej nazwy organu mogłoby wprowadzać w błąd. Obecnie wyznaczenie ABI jest uprawnieniem, a nie obowiązkiem Administratora danych. Po wejściu w życie przepisów RODO, powołanie Inspektora Ochrony Danych będzie w niektórych przypadkach obowiązkiem Administratora. Zrezygnowano również z dwuinstancyjności postępowań przed wspomnianym organem, co w rezultacie ma przyspieszyć procedurę. Ministerstwo Cyfryzacji skorzystało także z możliwości obniżenia granicy wieku dziecka, które będzie potrzebowało zgody rodzica na przetwarzanie swoich danych w Internecie. Wiek ten będzie wynosić 13 lat, a więc 3 lata mniej niż obecnie. Kwestia sposobu wyrażenia takiej zgody przez opiekuna prawnego wymaga jeszcze doprecyzowania w przepisach krajowych.
Najistotniejszym dla przedsiębiorców będzie jednak nowe uprawnienie, jakie RODO przyznaje Prezesowi Urzędu Ochrony Danych Osobowych. Zostaje on wyposażony kompetencję do nakładania kar finansowych na przedsiębiorców, a także podmioty sektora publicznego. Obecnie GIODO nie dysponuje takimi uprawnieniami. Kary nakładane na przedsiębiorców będą mogły wynosić maksymalnie 20 milionów euro albo do 4% światowego obrotu danego przedsiębiorstwa.
Wobec złożoności omawianej tematyki oraz ilości obowiązków jakim sprostać musi każdy Administrator danych, zalecamy korzystanie z pomocy profesjonalnych doradców.
Autor: WFY Group
