Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej w dniu 5 maja 2016 r. Najważniejsze zmiany, które wprowadzi przedstawiamy na tej stronie.
Przepisy rozporządzenia znajdą zastosowanie we wszystkich państwach członkowskich Unii Europejskiej od dnia 25 maja 2018 r. Uwzględniając zakres wprowadzonych zmian oraz ich rewolucyjny charakter, całkowicie zasadnym i sugerowanym rozwiązaniem jest dostosowanie swojej działalności do zasad, standardów i obowiązków określonych w rozporządzeniu ogólnym.
Rozporządzenie ogólne a ustawa o ochronie danych osobowych
Rozporządzenie unijne, z uwagi na swój charakter prawny, stosowane będzie bezpośrednio we wszystkich państwach członkowskich bez konieczności jego implementowania. W konsekwencji, ustawa o ochronie danych w swoim obecnym kształcie straci po dniu 25 maja 2018 r. rację bytu.
Rozporządzenie ogólne daje państwom członkowskim swobodę w doprecyzowaniu pewnych nieuregulowanych w pełni kwestii, np. w zakresie zasad ustanawiania krajowego organu nadzorczego. Przypuszczać można, że ustawa o ochronie danych osobowych pełnić będzie na gruncie prawa polskiego rolę aktu uzupełniającego rozporządzenie ogólne – oczywiście w granicach przez rozporządzenie wyznaczonych.
Istotne zmiany nie ominą również innych polskich przepisów – aby wdrożyć w życie zasady przetwarzania danych osobowych określone w rozporządzeniu ogólnym, polski ustawodawca będzie musiał dostosować kilkadziesiąt, jak nie kilkaset innych aktów prawnych.
Nowe obowiązki administratorów danych
Charakter i zakres wprowadzonych zmian wymusi konieczność dostosowania się do nowych ram prawnych także na administratorach danych. Przepisy rozporządzenia przewidują dla administratorów danych wiele nowych obowiązków i zadań.
Kluczową nowością rozporządzenia ogólnego jest wprowadzenie mechanizmu wymuszającego na administratorach danych uwzględnienie potrzeby zapewnienia właściwej ochrony danych osobowych już w fazie projektowania nowego rozwiązania organizacyjnego czy technicznego.
Na etapie opracowywania określonego rozwiązania biznesowego administrator danych obowiązany będzie przeprowadzić ocenę zagrożeń dla praw i wolności podmiotów danych, z którymi wiąże się wprowadzenie takiego rozwiązania. Opisywany mechanizm służyć ma wdrożeniu przez administratora danych zabezpieczeń adekwatnych do charakteru i zakresu przetwarzanych danych osobowych oraz skali, sposobu i celu ich przetwarzania.
Kolejnym obowiązkiem administratora danych, nieznanym ustawie o ochronie danych osobowych, jest obowiązek niezwłocznego zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu. Istotnym novum w zakresie obowiązków administratora danych jest również obowiązek zawiadamiania podmiotu danych o naruszeniu ochrony danych osobowych.
Zmieniając charakter obowiązków spoczywających na administratorach danych, prawodawca unijny odszedł jednocześnie od znanego obecnie obowiązku dokumentowania przez administratorów danych zastosowanych środków ochrony danych osobowych w postaci polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Obowiązki dokumentacyjne zostały istotnie ograniczone, aczkolwiek nie znikną one zupełnie. Nowością w tym zakresie będzie obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada dany administrator danych.
Technologiczna neutralność
Powinność realizacji obowiązków przewidzianych w rozporządzeniu ogólnym spoczywać będzie na wszystkich administratorach danych niezależnie od technologii stosowanej przez nich w procesie przetwarzania danych. To właśnie administrator danych, szacując zagrożenia związane z przetwarzaniem danych osobowych przy użyciu określonej technologii, zobowiązany będzie opracować konkretne rozwiązania zapewniające danym odpowiednią ochronę. W dobie dynamicznie zmieniającej się rzeczywistości technologicznej stworzenie przepisów prawa „odpornych” na postęp było jednym z celów, który przyświecał twórcom rozporządzenia ogólnego. Analiza przepisów rozporządzenia ogólnego pozwala pokusić się o stwierdzenie, że cel ten został osiągnięty.
Więcej praw dla podmiotów danych
W porównaniu do ustawy o ochronie danych osobowych, podmioty danych wyposażone zostały w większą liczbę uprawnień, których realizacji będą mogły żądać od administratorów danych. Obok znanych już uprawnień informacyjnych, prawa dostępu do danych, prawa sprzeciwu, rozporządzenie ogólne przewiduje wiele praw stanowiących swoiste nowości. Za przykład posłużyć mogą:
- prawo żądania dostarczenia kopii danych osobowych podlegających przetwarzaniu,
- „prawo do bycia zapomnianym”,
- prawo do przenoszenia danych osobowych do innego administratora danych,
- prawo do niepodlegania profilowaniu.
Co oczywiste, nowe uprawnienia dla podmiotów danych to jednocześnie nowe obowiązki dla administratorów danych.
Administracyjne kary pieniężne
Aby wymusić wykonywanie przewidzianych w rozporządzeniu ogólnym obowiązków prawodawca unijny przewidział możliwość stosowania administracyjnych kar pieniężnych. Kary będą mogły zostać nałożone zarówno na administratorów danych jak i na podmioty przetwarzające dane na zlecenie. Organem właściwym do nałożenia kary pieniężnej w przypadku naruszenia przepisów rozporządzenia ogólnego będzie krajowy organ nadzorczy.
Rozporządzenie unijne nie zawiera swoistego taryfikatora przewidującego wysokość kary pieniężnej za określone naruszenie. Wręcz przeciwnie, ustalenie wysokości kary pieniężnej będzie następowało indywidualnie w każdym przypadku, przy uwzględnieniu wskazanych w rozporządzeniu ogólnym okoliczności.
Ustalając wysokość kary pieniężnej, organ nadzorczy będzie brał pod uwagę charakter, wagę i czas trwania naruszenia oraz zachowania administratora danych lub podmiotu przetwarzającego dane. Oceniając administratora danych lub podmiot przetwarzający, organ nadzorczy uwzględniał będzie sposób postepowania poprzedzający naruszenie, jak i działania podjęte po stwierdzeniu naruszenia.
Co oczywiste, rozporządzenie ogólne nie pozostawia organom nadzorczym pełnej swobody w ustalaniu wysokości kary pieniężnej. Prawodawca unijny przewidział ograniczenia dla organów nadzorczych w tym zakresie. W zależności od rodzaju naruszenia, kara pieniężna będzie mogła zostać nałożona w wysokości do 10 000 000 EUR lub do 20 000 000 EUR, a w przypadku przedsiębiorstw – w wysokości do 2 % lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Nie czekajmy biernie do 25 maja 2018 r. Aktywnie przygotowując się do stosowania rozporządzenia, ograniczymy ryzyko wystąpienia naruszeń ochrony danych osobowych po wskazanej dacie, a tym samym ryzyko ewentualnej kary pieniężnej.