Ochrona danych osobowych – rewolucyjne zmiany, ryzyko dotkliwych kar

Lut 5th Ochrona danych osobowych – rewolucyjne zmiany, ryzyko dotkliwych kar
Dodano niedziela 5th 5:16:09

W maju 2016 roku w życie weszło rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Jego rozwiązania będą stosowane w Polsce za nieco ponad rok, a dokładnie od dnia 25 maja 2018. Wydawać by się mogło, że wszystkie podmioty przetwarzające dane osobowe mają jeszcze dużo czasu na przygotowanie się do nowych wytycznych, czy jednak tak naprawdę jest, czy rzeczywiście przedsiębiorcy przetwarzający dane osobowe mogą spać jeszcze spokojnie?

Rozporządzenie unijne, z uwagi na swój charakter prawny, stosowane będzie bezpośrednio we wszystkich państwach członkowskich, czyli mówiąc wprost - ustawa o ochronie danych w swoim obecnym kształcie straci po dniu 25 maja 2018 r. rację bytu. Zmiany, z którymi mieć będziemy do czynienia będą w wielu kwestiach posiadały charakter wręcz rewolucyjny.

Bardzo istotną nowością rozporządzenia ogólnego jest wprowadzenie mechanizmu wymuszającego na administratorze danych osobowych (ADO) uwzględnienie potrzeby zapewnienia właściwej ochrony danych osobowych już na etapie opracowywania określonego rozwiązania biznesowego. W związku z tym każdy ADO będzie zobligowany do przeprowadzenia oceny zagrożeń dla praw i wolności podmiotów danych, z którymi wiąże się wprowadzenie takiego rozwiązania. Mechanizm ten ma służyć wdrożeniu przez ADO zabezpieczeń adekwatnych do charakteru i zakresu przetwarzanych danych osobowych oraz skali, sposobu i celu ich przetwarzania. ADO szacując zagrożenia związane z przetwarzaniem danych osobowych zobowiązany będzie opracować konkretne rozwiązania zapewniające danym odpowiednią ochronę. W obecnej epoce bardzo dynamicznie zmieniających się technologii stworzenie takich przepisów prawa było jednym z głównych celów autorów rozporządzenia ogólnego.

Innym obowiązkiem spoczywającym na ADO, jak dotąd niestosowanym w obowiązujących przepisach, jest obowiązek niezwłocznego zgłaszania naruszenia ochrony danych osobowych krajowemu organowi nadzorczemu (GIODO).

Kolejną istotną zmianą, która będzie miała miejsce po wejściu w życie nowych przepisów jest odejście od stosowanego obecnie obowiązku prowadzenia środków ochrony danych osobowych w postaci opracowania i wdrożenia polityki bezpieczeństwa ochrony danych osobowych oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W związku z tym obowiązki dokumentacyjne zostały ograniczone, jednak nie znaczy to, że zupełnie znikną. Pojawi się – i to będzie kolejna z nowości, którą niosą za sobą nowe przepisy - obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada ADO.

Pytanie, z którym można się najczęściej spotkać ze strony przedsiębiorców przetwarzających dane osobowe w kontekście nadchodzących zmian jest kwestia ewentualnych kar i odpowiedzialności za niewłaściwe, niezgodne z przepisami przetwarzanie danych osobowych. Odpowiadając na nie – tak, prawodawca unijny przewidział możliwość stosowania administracyjnych kar pieniężnych. Kary będą mogły zostać nałożone zarówno na ADO jak i na podmioty przetwarzające dane na jego zlecenie. Organem właściwym do nałożenia kary pieniężnej w przypadku naruszenia przepisów rozporządzenia ogólnego będzie krajowy organ nadzorczy. Jednak wbrew temu, o czym czasami można usłyszeć, w rozporządzeniu nie znajdziemy taryfikatora przewidującego wysokość kary pieniężnej za określone naruszenie. Ustalenie wysokości kary pieniężnej będzie następowało indywidualnie w każdym przypadku, przy uwzględnieniu wskazanych w rozporządzeniu ogólnym okoliczności. Ustalając wysokość kary pieniężnej, organ nadzorczy będzie brał pod uwagę szereg czynników, takich jak m.in. charakter naruszenia, jego wagę, czas trwania oraz zachowania ADO lub podmiotu przetwarzającego dane. Jak widzimy, będzie to proces bardzo złożony, gdyż oceniając ADO lub też podmiot przetwarzający, organ nadzorczy uwzględniał będzie sposób postępowania poprzedzający naruszenie, jak i działania podjęte po stwierdzeniu naruszenia. Stosowane kary mogą być jednak bardzo dotkliwe, gdyż w zależności od rodzaju naruszenia, kara pieniężna będzie mogła zostać nałożona w wysokości do 10 000 000 EUR lub do 20 000 000 EUR, a w przypadku przedsiębiorstw – w wysokości do 2 % lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Innymi jakże istotnymi zmianami, które będą miały miejsce po wejściu nowych przepisów będą te, dotyczące obecnych administratorów bezpieczeństwa informacji (ABI), a od 25 maja 2018 zwanych DPO – czyli inspektorów ochrony danych. Na czym te zmiany będą polegać – o tym w kolejnym artykule.

Jak widzimy, już po tych kilku punktach opisanych powyżej nadchodzące zmiany bardzo mocno zmienią obecne podejście do ochrony danych osobowych. Należy już teraz rozważyć stosowanie w naszej organizacji zapisów rozporządzenia ogólnego, gdyż dzięki temu możemy znacznie ograniczyć ryzyko wystąpienia naruszeń ochrony danych osobowych po wejściu w życie nowych przepisów, czego konsekwencją mogą być bardzo dotkliwe kary pieniężne, o czym wspomniałem powyżej.

Autor: Michał Zajdowicz, Ekspert współpracujący z Secution

Secution Sp. z o.o

  • ul. Grzybowska 87
  • 00-844 Warszawa
  • NIP 5272776846

 

Newsletter

Materiały eksperckie będą wysyłane w cyklach miesięcznych. Zapraszamy.