Jakie istotne zmiany wprowadza rozporządzenie unijne o ochronie danych osobowych cz. I
Już za niespełna pół roku – od 25 maja 2018 r wchodzi w życie Unijne Rozporządzenie o ochronie danych osobowych. Nowe przepisy obejmą zarówno duże i małe organizacje, w tym jednoosobowe przedsiębiorstwa. Ważnym obowiązkiem według nowych przepisów jest zatrudnienie przez administratorów danych i podmiotów przetwarzających dane osobowe fachowego wsparcia w postaci Inspektora Ochrony Danych. Zniknie natomiast obowiązek zgłaszania i rejestracji zbiorów danych. Jednakże administratorzy danych i podmioty przetwarzające będą musieli prowadzić rejestry czynności przetwarzania danych osobowych. Na przedsiębiorców nałożony zostanie obowiązek uwzględnienia ochrony danych w fazie projektowania. Oznacza to, że już na etapie kreowania i projektowania nowych produktów i usług przedsiębiorca musi uwzględnić ochronę danych np. przy organizowaniu akcji promocyjnych. Wprowadzono także legalną definicję zgody na przetwarzanie danych, w której administrator ma obowiązek wykazania, iż zgoda na udostępnienie danych została wyrażona na zasadzie opt – in (świadoma, dobrowolna, samodzielna). Wprowadzono obowiązek zawiadamiania organu nadzorczego o incydentach związanych z naruszeniem danych osobowych (utratę danych, wyciek danych) do Generalnego Inspektora Danych Osobowych. Zgłoszenia trzeba będzie dokonać bez zbędnej zwłoki, ale nie później niż do 72 godzin od stwierdzenia naruszenia. Zmieniona została także definicja danych wrażliwych, w której dookreślono pojęcie danych dotyczących zdrowia, poszerzono katalog o dane genetyczne i biometryczne.
Nowe przepisy wprowadzają także szereg nowych uregulowań i zmian dla osób fizycznych. Do najbardziej istotnych należą: prawo do bycia zapomnianym określane jako prawo osoby do żądania od administratora niezwłocznego usunięcia jej danych np. po cofnięciu przez nią zgody na dalsze jej przetwarzanie; także prawo do przenoszenia danych żądając od aktualnego administratora przekazania wszystkich swoich danych osobowych nowemu administratorowi. Istotną zmianą jest także obowiązek informowania o fakcie i konsekwencjach profilowania. Profilowanie oznacza zbieranie informacji o osobach zamieszczających swoje dane na portalach społecznościowych i uzupełnianie tych danych informacjami z innych najczęściej odwiedzanych przez te osoby źródeł internetowych. W ten sposób stają się idealnym celem dla działań marketingowych. Wprowadzona została zgoda na przetwarzanie danych dziecka, które ukończyło lat 16. Jednakże państwa członkowskie mogą w swoim systemie prawa krajowego wyznaczyć niższą granicę wieku, jednak nie niższą niż 13 lat. Najbardziej dotkliwą zmianą są sankcje w postaci kar finansowych za nieprzestrzeganie zasad przetwarzania danych osobowych dla administratorów danych osobowych łamiących przepisy. W przypadku przedsiębiorstw wynosić one będą do 2% całkowitego rocznego światowego obrotu z poprzedniego roku. Kary będą mogły być stosowane z urzędu bez uprzedniego wezwania do usunięcia uchybień. W rezultacie nadchodzących zmian przedsiębiorstwa będą zmuszone zbudować mechanizmy, które udowodnią, że pozyskane przez nie informacje nie były przetwarzane ani wykorzystywane niezgodnie z przeznaczeniem. Tymczasem alarmującym sygnałem dla wielu podmiotów gospodarczych powinien być niespełna półroczny termin wejścia nowych przepisów w życie, które na uniknięcie dotkliwych konsekwencji związanych z nieprawidłowościami w przetwarzaniu danych lub dostosowaniu się do nowych przepisów mają coraz mniej czasu.
Małgorzata Torenc
Prawnik, Audytor wewnętrzny systemów zarządzania bezpieczeństwem informacji zgodnie z PN-ISO/IEC 27001:2007 – Certyfikat PCBiC nr 9 DA/AuWBI-W-01/S/2011
tel. 507074755