Rewolucja w przepisach o ochronie danych osobowych

Od dnia 25 maja 2018 r. wchodzą w życie i będą bezpośrednio stosowane w każdym z krajów członkowskich UE przepisy Rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. „rozporządzenie unijne”).

Wielkie zmiany, które szykują się w naszych przepisach:

  1. Obowiązkowy INSPEKTOR OCHORNY DANYCH (obecnie ABI).

Zgodnie z nowymi przepisami prawa wspólnotowego (art. 37 rozporządzenia unijnego) inspektor ochrony danych osobowych musi zostać wyznaczony w trzech przypadkach, gdy:

  • Przetwarzania danych osobowych dokonują organ lub podmiot publiczny;

  • Główna działalność administratora danych polega na operacjach przetwarzania, które wymagają regularnego monitorowania osób, których dane dotyczą, na dużą skalę;

  • Główna działalność administratora danych polega na przetwarzaniu na dużą skalę danych osobowych tzw. wrażliwych, w tym danych osobowych dot. wyroków skazujących i naruszeń prawa.

  1. Nowa definicja danych wrażliwych i przesłanek dopuszczalności ich przetwarzania.

Enumeratywny katalog danych wrażliwych zostanie poszerzony w szczególności o dane genetyczne (np. z próbki genetycznej) oraz dane biometryczne (np. dane daktyloskopijne – powstaną regulacje dot. wykorzystywania tych danych przez pracodawców, chociażby w przypadku określenia dostępu pracowników do wyznaczonych pomieszczeń).

Zgoda na przetwarzanie danych sensytywnych nie będzie musiała zostać wyrażona w formie pisemnej, ale to na administratorze danych w dalszym ciągu spoczywał będzie ciężar udowodnienia, że osoba, której dane przetwarzamy wyraziła na to zgodę.

  1. Wyrażanie zgody.

Zgoda będzie musiała zostać wyrażona w sposób świadomy, dobrowolny, konkretny, jednoznaczny, a przede wszystkim swobodny. Co oznacza, że od wyrażenia zgody na przetwarzanie danych w celach marketingowych nie będziemy mogli uzależniać przyznania klientowi dodatkowych upustów, zniżek, promocji (jak to ma obecnie miejsce u wielu operatorów sieci telekomunikacyjnych). Jedna zgoda wyrażana będzie dla jednego celu przetwarzania danych osobowych. Milczenie, bierność (niepodjęcie żadnego działania) lub domyślnie zaznaczone checkboxy nie będą oznaczały wyrażenia zgody na przetwarzanie danych osobowych.

  1. Przetwarzanie danych przez przedsiębiorstwa spoza UE.

W celu świadczenia usług i przetwarzania danych osobowych mieszkańców UE przedsiębiorcy mający siedzibę poza Unią Europejską (np. administratorzy danych portali społecznościowych) będą zmuszeni stosować przepisy i wymogi zawarte w rozporządzeniu unijnym. Takie regulacje mają zapewnić poczucie bezpieczeństwa i ochronę prywatności obywateli krajów należących do Europejskiego Obszaru Gospodarczego.

  1. Pseudonimizacja.

Termin wprowadzony do rozporządzenia unijnego. To takie przetwarzanie danych osobowych, aby nie można ich było przypisać osobie fizycznej, o ile dane identyfikujące tę osobę są przechowywane osobno i właściwie zabezpieczone (np. pola zostają kodowane poprzez zastąpienie pól identyfikacyjnych pseudonimami).

  1. Profilowanie.

To zautomatyzowane przetwarzanie danych osobowych pozwalające dokonać oceny czynników osobowych człowieka w celach między innymi: wykonania analizy i określenia jego sytuacji ekonomicznej, preferencji, zdrowia, efektów pracy, wiarygodności, itp. Oprócz przesłanek obecnie wymienionych w ustawie o ochronie danych osobowych, każdej osobie fizycznej będzie przysługiwało prawo SPRZECIWU również wobec profilowania.

  1. Ochrona danych małoletnich.

Przetwarzanie danych osobowych dzieci (do ukończenia 13-16 roku życia) będzie zgodne z prawem, jeżeli zgodę na ich przetwarzanie wyrazi opiekun prawny. Administrator danych sam zadba o weryfikację, czy zgoda została rzeczywiście wyrażona przez osobę uprawnioną (np. rodzica).

Absolutną nowością będzie prawo do bycia zapomnianym. Osoba dorosła, która będzie chciała usunąć z sieci swoje wpisy lub zdjęcia z czasów „młodzieńczych”, będzie mogła się tego domagać od przedsiębiorcy, składając stosowny wniosek. Administrator działający w mediach społecznościowych będzie zobowiązany do spełnienia takiego żądania, a nawet do poinformowania innych administratorów o konieczności usunięcia wszelkich łącz i kopii tych danych!

  1. Prawo do przenoszenia danych.

Osoba, której dane są przetwarzane przez administratora danych może żądać , aby jej dane zostały przesłane (jeżeli jest to technicznie możliwe) innemu wskazanemu przez siebie administratorowi (np. z portalu do portalu).

  1. Nowe obowiązki informacyjne.

Poza katalogiem informacji, które administrator danych jest zobowiązany w konkretnej sytuacji przekazać osobie, której dane dotyczą, zgodnie z nowymi przepisami, będzie informował również o danych kontaktowych inspektora ochrony danych (ABI) oraz o okresie, na jaki dane osobowe będą przetwarzane. Ponadto na żądanie osoby, której dane są przetwarzane administrator danych będzie musiał bezpłatnie dostarczyć kopię danych podlegających przetwarzaniu. Za ewentualne kolejne kopie administrator będzie mógł pobierać stosowną opłatę.

  1. Rejestr czynności przetwarzania danych.

Obowiązek rejestracji i aktualizacji zbiorów danych osobowych zostanie w pełni przerzucony z GIODO na ABI. Ponadto obligatoryjnym stanie się prowadzenie rejestru czynności przetwarzania danych osobowych przez przedsiębiorców zatrudniających min. 250 osób.

  1. Raport o naruszeniach przekazywany GIODO.

W terminie 72 godzin od momentu wystąpienia naruszenia bezpieczeństwa w procesie przetwarzania danych osobowych administrator danych będzie informował organ nadzorczy – GIODO o wystąpieniu naruszenia z podaniem danych kontaktowych inspektora ochrony danych (ABI). W sytuacji wystąpienia poważnego naruszenia zasad ochrony danych osobowych, administrator będzie obowiązany poinformować o tym fakcie również osoby, których dane dotyczą. Administrator zobligowany będzie również do prowadzenia dokumentacji opisującej okoliczności wystąpienia naruszeń, ich skutki oraz podjęte działania zaradcze i naprawcze.

  1. Kary.

W zależności od charakteru, wagi i czasu trwania naruszenia związanego z procesem przetwarzania danych osobowych, organ nadzorczy będzie mógł zastosować jedną z sankcji wymienionych w katalogu uprawnień zaradczych GIODO lub administracyjna karę finansową w wysokości do 20 mln euro albo do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa (zastosowanie będzie miała kara wyższa).