Unia Europejska zaostrza przepisy o ochronie danych
Dodano: 28-12-2015 w kategorii: Reforma ochrony danych osobowych. Dodane przez: Katarzyna Witkowska.
Unia Europejska wypracowała kompromis w sprawie rozporządzenia i dyrektywy ogólnej dotyczącej przetwarzania danych przez policję i organy wymiaru sprawiedliwości w sprawach karnych. Projekt i założenia reformy ochrony danych znaliśmy już od czterech lat.
15 grudnia zakończyły się negocjacje Komisji, Parlamentu i Rady, a dwa dni później Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych przyjęła uzgodnioną wersję projektu. Oczywiście to jeszcze nie koniec drogi. Rozporządzenie musi przyjąć Parlament Europejski. Początkowo mówiono, że głosowanie odbędzie się szybko. Teraz jednak wskazuje się, że przyjęcia rozporządzenia możemy spodziewać się wiosną. Głosowanie planowane jest na marzec przyszłego roku. Potem na przygotowanie się do wdrożenia nowych rozwiązań będziemy mieli dwa lata.
Negocjacje przyniosły porozumienie co do zasad i przesłanek przetwarzania danych osobowych. Aby zwiększyć kontrolę podmiotów danych nad przetwarzaniem ich danych osobowych, KE doprecyzowała warunki udzielania zgody. Zgody mamy udzielać aktywnie, wyraźnie potwierdzając naszą decyzję o jej wyrażeniu. Możemy robić to podpisując oświadczenie, wybierając odpowiednie ustawienia, składając oświadczenie ustnie, a także w każdy inny sposób wskazujący jednoznacznie naszą wolę. Nie spełnią natomiast wymogów rozporządzenia odgórnie zaznaczone check-boxy. Ważna nie będzie też zgoda udzielona milcząco lub poprzez brak aktywności podmiotu danych. Administratorzy będą musieli zagwarantować również możliwość łatwego odwołania zgody.
Bezpieczeństwo dzieci
Nowością w rozporządzeniu jest wyraźne objęcie dzieci ochroną danych osobowych. W zależności od decyzji poszczególnych państw członkowskich wiążący będzie limit wieku od 13 do 16 lat. Dzieci poniżej wyznaczonej granicy wiekowej nie będą mogły samodzielnie wyrażać zgód na przetwarzanie danych czy zawierać umów o świadczenie usług drogą elektroniczną. Dziecko nie założy więc samodzielnie konta na portalu społecznościowym. Aby to zrobić, będzie potrzebna zgoda rodzica.
Administratorzy będą mieli obowiązek informowania o naruszeniach bezpieczeństwa. O negatywnych zdarzeniach będą musieli zawiadomić organ nadzorczy np. GIODO, a w niektórych przypadkach także same osoby fizyczne, których dane dotyczą.
Rozporządzenie zmierza też do zmiany sposobów komunikowania o zasadach przetwarzania danych, o ich zabezpieczaniu i wszelkich istotnych dla podmiotów danych procedurach. Wymagać się będzie od administratorów stosowania przejrzystego, powszechnie zrozumiałego języka i stosowania klarownych polityk ochrony prywatności. To łączy się również z ważnym obowiązkiem udzielania kompleksowych informacji podmiotom danych zanim rozpocznie się przetwarzanie ich danych.
Data Protection Officer
Dużą rolę w regulacji unijnej odgrywać będzie DPO – Data Protection Officer, czyli inspektor ochrony danych. Jego powołanie będzie obowiązkowe w przypadku administratorów danych z sektora publicznego czy też w sytuacji, gdy przetwarzanie danych będzie istotnym elementem działalności administratora. DPO będzie pełnił ważną rolę w komunikacji z podmiotami danych. Do niego będą mogły zwracać się osoby, których dane dotyczą we wszystkich sprawach związanych z przetwarzaniem ich danych.
Dzięki wprowadzeniu tzw. podejścia opartego na ocenie ryzyka, administratorzy danych będą mieli większą swobodę w wyborze rozwiązań gwarantujących bezpieczeństwo danych. Wybór ten będzie zależał od wagi prowadzonych operacji na danych i ryzyk z tym związanych.
Ważnym elementem nowych ram ochrony prywatności będzie z pewnością katalog kar finansowych, przewidzianych za różnego rodzaju naruszenia rozporządzenia. Możemy spodziewać się kar nawet do 4 % rocznego obrotu. Ten mechanizm może skutecznie skłaniać do respektowania wymogów prawa w zakresie ochrony danych.
Rozporządzenie przewiduje więcej zmian. Będziemy o nich szczegółowy pisać.
Katarzyna Witkowska
e-mail:
Alerty prawno-podatkowe