Jakie zmiany wprowadza Rozporządzenie Ochrony Danych Osobowych? cz. 1

14 kwietnia 2016r. Parlament Europejski przyjął ostateczną wersję nowego Rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawach swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Rozporządzenie weszło w życie 20 dni od dnia publikacji w Dzienniku Urzędowym Unii Europejskiej, która nastąpiła 27.04.2016 r. Ważną informacją jest, że znajdzie ono zastosowanie ok. 2 lata od dnia wejścia w życie, a dokładnie od dnia 25 maja 2018 r. także jest jeszcze trochę czasu na dostosowanie się do jego postanowień.

W tym artykule przedstawię najważniejsze zmiany, jakie Rozporządzenie to wprowadza w zakresie ochrony danych osobowych w całej Unii Europejskiej.

startup-593327_1920

PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE

Sprawy dotyczące praw osób, których dane są przetwarzane w ramach konkretnego zbioru, nie ulegną zasadniczej zmianie. Największą nowością w tym zakresie jest rozszerzenie praw osób, których dane są przetwarzane w tym tzw. “prawo do przenoszenia danych”. Artykuł 20 nowego Rozporządzenia stanowi bowiem, że:

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe.

WIĘKSZE KARY ZA UCHYBIENIA 

W Polsce do tej pory kary nakładane przez GIODO należały do rzadkości i mogły być nakładane tylko w ramach tzw. postępowania przymuszającego (w razie nie wykonania upomnienia GIODO). Nowe Rozporządzenie wprowadza jednak rewolucję w zakresie wysokości kar. W zależności od tego, jakie przepisy zostaną naruszone, organ nadzorczy będzie mógł nakładać znacznie wyższe kary.

I tak gdy zostaną naruszone podstawowe zasady przetwarzania kara może wynosić nawet do 20 000 000 euro lub 4% światowego rocznego obrotu. Z kolei gdy nie zostały naruszone podstawowe zasady przetwarzania kara może opiewać na kwotę do 10 000 000 euro lub 2% światowego rocznego obrotu.

Powyższe dane dotyczą przedsiębiorców.

INSPEKTOR DANYCH OSOBOWYCH

Dotychczasowa nazwa Administrator Bezpieczeństwa Danych Osobowych została zmieniona na Inspektor Ochrony Danych. Jego rola nie uległa większej zmianie. Natomiast wprowadzono przesłanki, w których jego powołanie będzie obowiązkowe. Powyższe dotyczy:

  1. Podmiotów administracji publicznej;
  2. Sytuacji gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  3. Sytuacji gdy główną działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych)

Pozytywną zmianą jest fakt, że Rozporządzenie wprost dopuszcza wybór jednej osoby do pełnienia funkcji ABI (a w zasadzie IOD) w całej grupie przedsiębiorstw. Nadto jednoznacznie wskazano na możliwość outsourcingu tych obowiązków przez Administratora na zewnętrzne podmioty wyspecjalizowane w tym zakresie.

OBOWIĄZEK ZGŁASZANIA INCYDENTÓW DO GIODO

Według nowych przepisów, nie każdy przypadek naruszenia ochrony danych osobowych będzie musiał być zgłaszany do Generalnego Inspektora Danych osobowych. Zgłoszenie będzie potrzebne tylko w momencie, gdy naruszenie ochrony danych osobowych pociągnie za sobą ryzyko naruszenia praw lub wolności osób fizycznych (stanowi o tym art. 33 Rozporządzenia). W innym przypadku takie zgłoszenie nie będzie konieczne.

CERTYFIKACJA OCHRONY DANYCH OSOBOWYCH

Rozporządzenie daje możliwość certyfikowania podmiotów, które z należytą starannością stosują się do przepisów zawartych w Rozporządzeniu. Takiej akredytacji będzie dokonywać Generalny Inspektor Ochrony Danych Osobowych.