Nowa ustawa o ochronie danych osobowych

Jeszcze przed ostatecznym przyjęciem ogólnego rozporządzenia o ochronie danych osobowych osób fizycznych  nasz polski GIODO wspominał o planach w zakresie nowelizacji regulacji krajowej.

W kwietniu b.r. zostało przyjęte przez Parlament Europejski i Radę rozporządzenie ogólne o ochronie danych osobowych osób fizycznych, jednakże przewiduje ono 24 miesięczne vactio legis, co oznacza, że faktycznie wejdzie w życie 25.05.2018 r. Mimo to już teraz należy zacząć przygotowywać się do nadchodzących zmian.

Unijne rozporządzenie o ochronie danych osobowych stanowi swego rodzaju szkielet mający stanowić punkt odniesienia dla przyjmowanych rozwiązań krajowych. Regulacje krajowe muszą się mieścić w ramach przewidzianych przez rozporządzenie ogólne, gdyż zasady ochrony danych osobowych określone w tym akcie prawnym są  niezmienne.

Rozporządzenie, które choć będzie obowiązywać bezpośrednio, to przewiduje w niektórych miejscach konieczność doprecyzowania określonych instytucji przez państwa członkowskie. Polskie Ministerstwo Cyfryzacji stoi przed zadaniem stworzenia nowej ustawy o ochronie danych osobowych.

Nowe przepisy mają zacząć obowiązywać jeszcze przed wejściem w życie rozporządzenia, najpóźniej na początku 2018r.

Najważniejsze założenia na dzień dzisiejszy:

  • wzmocnienie pozycji GIODO w kontekście rozliczania przedsiębiorców a nie nakazywanie do określonego działania (tak jak obecnie są zalecenia pokontrolne z pewnością pozostaną, ale później będzie najprawdopodobniej nakładana kara a nie zawiadomienie do prokuratury).

Aktualnie GIODO organizuje szereg spotkań, których tematem jest reforma ochrony danych osobowych i przygotowanie się do nowych rozwiązań tak w zakresie legislacji i wprowadzenia ich do polskiego porządku prawnego. Organizowane spotkania i konferencje mają uświadamiać przedsiębiorcom, iż ich również czeka praca związana z odpowiednim przygotowaniem się do nowych obowiązków.

Firmy powinny wykonać szereg czynności, by odpowiednio przygotować się do stosowania nowych rozwiązań. Rozpoczęcie takich przygotowań powinno się zacząć m.in. od: przedstawienia osobom decyzyjnym skali czekających zmian, zinwentaryzowania zasobów danych osobowych w firmie, sposobów ich wykorzystywania, używanych do tego narzędzi i podstaw prawnych legalizujących przetwarzanie.

Na tej podstawie można stworzyć mapę rozbieżności, która będzie podstawą do opracowania listy zadań do wykonania oraz określenia, jakie zasoby są w tym celu niezbędne oraz jakie wiążą się z tym koszty.

Reasumując czekająca nas w sferze ochrony danych osobowych rewolucja, waga i zakres zmian, które nas czekają nie pozwala na spokojne czekanie na wejście w życie przepisów, ale wymaga by dokonać przeglądu aktualnego stanu ochrony danych osobowych już dzisiaj.

Zważywszy na rewolucyjne i bardzo restrykcyjne rozwiązania w zakresie kar finansowych decyzja o przeglądzie stanu ochrony danych osobowych w organizacji nie powinna być odkładana na ostatnią chwilę, bowiem sprawdzanie  stanu ochrony danych osobowych, w rozbudowanej organizacji, może trwać nawet kilka miesięcy.

 

Przyjęte rozporządzenie unijne w sprawie ochrony danych osobowych

Kilka godzin temu PE Unii Europejskiej przyjął bez poprawek uzgodniony tekst rozporządzenia w sprawie ochrony danych osobowych.

Jest to początek nowej ery w sferze prawa ochrony danych osobowych, bowiem po 20 latach od wejścia w życie dyrektywy unijnej w sprawie ochrony danych osobowych, wprowadzono bardzo obszerny i szczegółowy akt prawny.

Nowe prawo ma być przede wszystkim odpowiedzią na postęp technologiczny i związaną z nim mnogość nowych sposobów przetwarzania danych osobowych w szczególności w internecie. Wobec rewolucji internetowej dyrektywa unijna dotycząca ochrony danych osobowych sprzed 20 lat siłą rzeczy stała się już niewystarczająca.

Nowe przepisy wprowadzają też pewne bardzo bolesne novum, bo prawo do nakładania przez organy ochrony danych osobowych  kar finansowych . Wysokość kar sięga 4% rocznego przychodu brutto za rok ubiegły liczony dla całej grupy kapitałowej.

Ta sankcja spowoduje, iż znacząco wzrośnie ranga kwestii ochrony danych osobowych, co przełoży się niewątpliwie na dołożenie staranności w celu zapewnienia zgodności przetwarzania danych osobowych w firmach.

Zagadnienia tego obszernego aktu prawnego będę komentować i omawiać na bieżąco.

Nie ma ucieczki przed GIODO…

Okazuje się, że są firmy, które chcą zapłacić za to, aby pomóc im uciec przed GIODO przynajmniej mnie zdarzyło się otrzymać takie dość niecodzienne zapytanie. Zasadniczo otrzymuję zlecenia, aby pomóc firmie osiągnąć stan zgodności z GIODO, ale żeby uciec to już rzadziej.

Z reguły ucieczka przed GIODO to takie “siedzenie cicho” i udawanie, że prawo ochrony danych osobowych nas nie dotyczy, kiedyś się tym zajmiemy, ale aktualnie są ważniejsze rzeczy do załatwienia. Podmioty, które podejmują zorganizowaną ucieczkę przed GIODO jest zdecydowana mniejszość, ale zdarzają się i takie.

Przykład z ostatniego szkolenia dla branży kosmetycznej jest taki, że więcej chętnych chciało szkolić się z pielęgnacji paznokci niż z aspektów prawnych uświadomionej zgody lub ochrony danych osobowych i tajemnicy przedsiębiorstwa.

Zapominamy, że dobrze wykonana usługa to nie tylko dosłownie rozumiany zabieg fryzjerski, kosmetyczny czy inny, ale to także dbanie o informacje o klientach, informacjach często wrażliwych. Pamiętajmy, ze prawo do prywatności jest prawem podstawowym jednostki. Przetwarzanie danych osobowych o osobach fizycznych powinno być zgodne z przepisami o ochronie danych osobowych.

Jednakże sfera ochrony danych osobowych w dalszym ciągu pozostaje  słabo zabezpieczona i stąd być może zlecenie dla mnie, aby w ogóle uwolnić się od GIODO np. poprzez założenie firmy w kraju, który nie posiada odpowiednich z zakresu ochrony danych osobowych regulacji prawnych a jednocześnie będzie poza jurysdykcją przepisów krajowych oraz unijnych.

Pomysł nie jest, aż tak naiwny bowiem w świetle aktualnych przepisów dominującą w prawie ochrony danych osobowych w UE jest zasada podlegania przepisom Państwa właściwego dla siedziby administratora danych osobowych. Jest to rozwiązanie od pewnego czasu bardzo krytykowane, gdyż poza jurysdykcją GIODO pozostają na przykład takie organizacje jak Google czy Facebook, których przetwarzanie danych osobowych nie zawsze podoba się europejskim organom ochrony danych osobowych.

Najnowszej Rozporządzenie unijne w sprawie ochrony danych osobowych odchodzi od zasady podlegania prawu właściwemu dla państwa siedziby administratora danych. Istotnym novum będzie objęcie nową regulacją również tych administratorów danych osobowych, te firmy, które mając siedzibę poza UE świadczą usługi dla jej obywateli.

Z tego też powodu reasumując można powiedzieć, iż nie ma ucieczki przed GIODO (jeśli firma świadczy usługi w UE lub dla jej obywateli) i zamiast tracić czas i pieniądze na poszukiwanie wątpliwych rozwiązań w świetle nadchodzących zmian, skupić się raczej należy na dostosowaniu swojej działalności do stanu zgodności z obowiązującym prawem.

Poradnik ABI nowy numer już dostępny

Nowy numer Poradnika ABI jest już dostępny.

W nowym numerze szczegółowo omawiana jest kwestia powierzenia danych do przetwarzania. Instytucja powierzenia nabiera coraz większego znaczenia. Jest to związane z powszechnym zlecaniem różnych usług na zewnątrz.

Wiele małych, ale i większych przedsiębiorców decyduje się korzystać z usług firm zewnętrznych i cedować na nie cześć swoich obowiązków. Najczęściej zlecana na zewnątrz jest obsługa księgowo-kadrowa, wsparcie IT, marketing, ale i inne.

Z tymi typowymi usługami związana jest konieczność powierzenia danych osobowych swoich klientów, pracowników czy kontrahentów. Coraz większa świadomość w sferze ochrony danych osobowych sprawia, że przedsiębiorcy szukają informacji na temat powierzenia, które byłoby zgodne z prawem.

Temu zagadnieniu więc nowy poradnik poświęca wiele miejsca. Omawiane są szczegółowe przypadki powierzenia takie jak powierzenie danych przez wspólnotę mieszkaniową, powierzenie w celach windykacyjnych, powierzenie w przypadku hostingu.

Omawiam też kwestię podpowierzenia czyli sytuacji, w której to główny procesor dla realizacji zleconych mu usług korzysta z podwykonawców czyli podpowierzających. Zagadnienie to jest o tyle trudne, że nie zostało uregulowane wprost w przepisach prawa ochrony danych osobowych. Należy więc dokonać oceny i kwalifikacji prawnej tego rozwiązania w oparciu o przepisy obowiązujące, co może być trudne dla osób nie posiadających wykształcenia prawniczego.

No i na koniec rzecz, która niedługo stanie się, w sferze ochrony danych osobowych, najważniejsza a więc reforma ochrony danych osobowych. Omawiam pierwsze instytucje, które legły u podstaw nowego prawa takie jak podejście oparte na ryzyku, ocena wpływu na ochronę danych czy pseudonimizację.

Szczegółowy spis treści nowego numeru  i warunki nabycia znajdziesz Tutaj.

Rozporządzenie unijne w sprawie ochrony danych osobowych jeszcze w tym roku

Rozporządzenie unijne o ochronie danych osobowych znajduje się obecnie w fazie trilogu i po jego zakończeniu należy spodziewać się przyjęcia rozporządzenia jeszcze w tym roku.

Z punktu widzenia GIODO ważnym rozwiązaniem jest przyznanie organom ds. ochrony danych kompetencji do nakładania kar finansowych. Jest to niezbędne do skutecznej realizacji prawa do ochrony danych osobowych, które aktualnie jest słabo egzekwowane i często wręcz lekceważone.

W związku z finalizacją prac nad projektem unijnego rozporządzenia dotyczącego ochrony danych osobowych w GIODO powstała komisja, której zadaniem jest przygotowanie Polski do wdrożenia przepisów unijnych. Trwają także prace nad nowelizacją polskiej ustawy, tak by możliwość wprowadzenia kar finansowych wprowadzić wcześniej. Celem jest łatwiejsze przygotowanie się do nowych przepisów i płynniejsze ich wdrożenie.

18 września b.r w GIODO odbyła się konferencja naukowa poświęcona właśnie nowym przepisom prawa ochrony danych osobowych.

Podczas konferencji ze strony przedstawicieli GIODO  padły informacje, iż aktualnie GIODO będzie przeprowadzał kontrole dwiema drogami – poprzez sprawdzenia czyli kontrole ABI-ch oraz poprzez kontrole jednostek, w których taki urzędnik nie został wyznaczony lub nie działa.

O sprawdzeniu, jako nowym obowiązku ABI ale także administratora danych osobowych, który ABI nie powołał pisałam tutaj.

Według przedstawicieli GIODO brak powołania w jednostce ABI może stanowić domniemanie, iż poziom ochrony danych osobowych w tych jednostkach jest niewystarczający. Kontrole mogą być też przeprowadzane w podmiotach, które mają ABI-ego, jeśli zaistnieją przesłanki świadczące, iż przetwarzanie danych jest niewłaściwe.

Po wejściu w życie nowych przepisów z początkiem roku wszyscy się zastanawiali kto będzie miał więcej kontroli czy firmy, które powołają ABI czy może te, które ABi nie powołają.

Z ostatnich doniesień wynika, że GIODO będzie kontrolował jednak bardziej tych, którzy oficjalnie ABI nie powołali. Jest to już jakieś stanowisko w sprawie niedawnej nowelizacji krajowej ustawy o ochronie danych osobowych.

Reforma ochrony danych coraz bliżej

Reforma ochrony danych była jednym z głównych tematów marcowej sesji plenarnej Parlamentu Europejskiego.

W dniu 12 marca 2014 r. Parlament Europejski przegłosował przyjecie przepisów projektu rozporządzenia o ochronie danych osobowych . To kolejny ważny krok w sprawie reformy ochrony prywatności, zaś obecnie kluczowe dla nowych przepisów są toczące się prace w Radzie Unii Europejskiej.  Dzięki temu, posłowie wybrani w maju, będą mogli zadecydować o podjęciu pracy wykonanej przez poprzedników, aby nie zaczynać od początku.

Rozporządzenie przyniesie szereg zmian. Najważniejsze jednak, że będzie obowiązywało we wszystkich państwach Unii Europejskiej bezpośrednio. Wychodzi na przeciw zmianom, które zaszły od uchwalenia 19 lat temu dyrektywy o ochronie danych osobowych.

Postęp w dziedzinie nowych technologii, bogactwo sposobów przetwarzania danych osobowych w internecie to wyzwania, którym reforma stara się sprostać.

W świecie wirtualnym,  w którym dane osobowe stały się swoistą walutą, wartością samą w sobie ich szczególna ochrona wydaje się niekwestionowana. Wszyscy są co do tego zgodni. Jednak stawiając na ochronę danych osobowych z pola widzenia nie można tracić też dynamicznego rozwoju gospodarki internetowej. Proponowane rozwiązania wobec tego muszą dążyć do odpowiedniego wyważenia tych dwóch istotnych wartości.