Nowa ustawa o ochronie danych osobowych

Jeszcze przed ostatecznym przyjęciem ogólnego rozporządzenia o ochronie danych osobowych osób fizycznych  nasz polski GIODO wspominał o planach w zakresie nowelizacji regulacji krajowej.

W kwietniu b.r. zostało przyjęte przez Parlament Europejski i Radę rozporządzenie ogólne o ochronie danych osobowych osób fizycznych, jednakże przewiduje ono 24 miesięczne vactio legis, co oznacza, że faktycznie wejdzie w życie 25.05.2018 r. Mimo to już teraz należy zacząć przygotowywać się do nadchodzących zmian.

Unijne rozporządzenie o ochronie danych osobowych stanowi swego rodzaju szkielet mający stanowić punkt odniesienia dla przyjmowanych rozwiązań krajowych. Regulacje krajowe muszą się mieścić w ramach przewidzianych przez rozporządzenie ogólne, gdyż zasady ochrony danych osobowych określone w tym akcie prawnym są  niezmienne.

Rozporządzenie, które choć będzie obowiązywać bezpośrednio, to przewiduje w niektórych miejscach konieczność doprecyzowania określonych instytucji przez państwa członkowskie. Polskie Ministerstwo Cyfryzacji stoi przed zadaniem stworzenia nowej ustawy o ochronie danych osobowych.

Nowe przepisy mają zacząć obowiązywać jeszcze przed wejściem w życie rozporządzenia, najpóźniej na początku 2018r.

Najważniejsze założenia na dzień dzisiejszy:

  • wzmocnienie pozycji GIODO w kontekście rozliczania przedsiębiorców a nie nakazywanie do określonego działania (tak jak obecnie są zalecenia pokontrolne z pewnością pozostaną, ale później będzie najprawdopodobniej nakładana kara a nie zawiadomienie do prokuratury).

Aktualnie GIODO organizuje szereg spotkań, których tematem jest reforma ochrony danych osobowych i przygotowanie się do nowych rozwiązań tak w zakresie legislacji i wprowadzenia ich do polskiego porządku prawnego. Organizowane spotkania i konferencje mają uświadamiać przedsiębiorcom, iż ich również czeka praca związana z odpowiednim przygotowaniem się do nowych obowiązków.

Firmy powinny wykonać szereg czynności, by odpowiednio przygotować się do stosowania nowych rozwiązań. Rozpoczęcie takich przygotowań powinno się zacząć m.in. od: przedstawienia osobom decyzyjnym skali czekających zmian, zinwentaryzowania zasobów danych osobowych w firmie, sposobów ich wykorzystywania, używanych do tego narzędzi i podstaw prawnych legalizujących przetwarzanie.

Na tej podstawie można stworzyć mapę rozbieżności, która będzie podstawą do opracowania listy zadań do wykonania oraz określenia, jakie zasoby są w tym celu niezbędne oraz jakie wiążą się z tym koszty.

Reasumując czekająca nas w sferze ochrony danych osobowych rewolucja, waga i zakres zmian, które nas czekają nie pozwala na spokojne czekanie na wejście w życie przepisów, ale wymaga by dokonać przeglądu aktualnego stanu ochrony danych osobowych już dzisiaj.

Zważywszy na rewolucyjne i bardzo restrykcyjne rozwiązania w zakresie kar finansowych decyzja o przeglądzie stanu ochrony danych osobowych w organizacji nie powinna być odkładana na ostatnią chwilę, bowiem sprawdzanie  stanu ochrony danych osobowych, w rozbudowanej organizacji, może trwać nawet kilka miesięcy.