1457752_242887632541584_334856854_n

Dominik Sęczkowski
Aplikant

Reforma unijnych przepisów o ochronie danych osobowych

Dodano: lipiec 27, 2016 Kategoria: Ogólne rozporządzenie o ochronie danych osobowych (RODO) Autor: Dominik Sęczkowski

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej w dniu 5 maja 2016 r. Najważniejsze zmiany, które wprowadzi przedstawiamy na tej stronie.

Przepisy rozporządzenia znajdą zastosowanie we wszystkich państwach członkowskich Unii Europejskiej od dnia 25 maja 2018 r. Uwzględniając zakres wprowadzonych zmian oraz ich rewolucyjny charakter, całkowicie zasadnym i sugerowanym rozwiązaniem jest dostosowanie swojej działalności do zasad, standardów i obowiązków określonych w rozporządzeniu ogólnym.

Rozporządzenie ogólne a ustawa o ochronie danych osobowych

Rozporządzenie unijne, z uwagi na swój charakter prawny, stosowane będzie bezpośrednio we wszystkich państwach członkowskich bez konieczności jego implementowania. W konsekwencji, ustawa o ochronie danych w swoim obecnym kształcie straci po dniu 25 maja 2018 r. rację bytu.

Rozporządzenie ogólne daje państwom członkowskim swobodę w doprecyzowaniu pewnych nieuregulowanych w pełni kwestii, np. w zakresie zasad ustanawiania krajowego organu nadzorczego. Przypuszczać można, że ustawa o ochronie danych osobowych pełnić będzie na gruncie prawa polskiego rolę aktu uzupełniającego rozporządzenie ogólne – oczywiście w granicach przez rozporządzenie wyznaczonych.

Istotne zmiany nie ominą również innych polskich przepisów – aby wdrożyć w życie zasady przetwarzania danych osobowych określone w rozporządzeniu ogólnym, polski ustawodawca będzie musiał dostosować kilkadziesiąt, jak nie kilkaset innych aktów prawnych.

Nowe obowiązki administratorów danych

Charakter i zakres wprowadzonych zmian wymusi konieczność dostosowania się do nowych ram prawnych także na administratorach danych. Przepisy rozporządzenia przewidują dla administratorów danych wiele nowych obowiązków i zadań.

Kluczową nowością rozporządzenia ogólnego jest wprowadzenie mechanizmu wymuszającego na administratorach danych uwzględnienie potrzeby zapewnienia właściwej ochrony danych osobowych już w fazie projektowania nowego rozwiązania organizacyjnego czy technicznego.

Na etapie opracowywania określonego rozwiązania biznesowego administrator danych obowiązany będzie przeprowadzić ocenę zagrożeń dla praw i wolności podmiotów danych, z którymi wiąże się wprowadzenie takiego rozwiązania. Opisywany mechanizm służyć ma wdrożeniu przez administratora danych zabezpieczeń adekwatnych do charakteru i zakresu przetwarzanych danych osobowych oraz skali, sposobu i celu ich przetwarzania.

Kolejnym obowiązkiem administratora danych, nieznanym ustawie o ochronie danych osobowych, jest obowiązek niezwłocznego zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu. Istotnym novum w zakresie obowiązków administratora danych jest również obowiązek zawiadamiania podmiotu danych o naruszeniu ochrony danych osobowych.

Zmieniając charakter obowiązków spoczywających na administratorach danych, prawodawca unijny odszedł jednocześnie od znanego obecnie obowiązku dokumentowania przez administratorów danych zastosowanych środków ochrony danych osobowych w postaci polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Obowiązki dokumentacyjne zostały istotnie ograniczone, aczkolwiek nie znikną one zupełnie. Nowością w tym zakresie będzie obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada dany administrator danych.

Technologiczna neutralność

Powinność realizacji obowiązków przewidzianych w rozporządzeniu ogólnym spoczywać będzie na wszystkich administratorach danych niezależnie od technologii stosowanej przez nich w procesie przetwarzania danych. To właśnie administrator danych, szacując zagrożenia związane z przetwarzaniem danych osobowych przy użyciu określonej technologii, zobowiązany będzie opracować konkretne rozwiązania zapewniające danym odpowiednią ochronę. W dobie dynamicznie zmieniającej się rzeczywistości technologicznej stworzenie przepisów prawa „odpornych” na postęp było jednym z celów, który przyświecał twórcom rozporządzenia ogólnego. Analiza przepisów rozporządzenia ogólnego pozwala pokusić się o stwierdzenie, że cel ten został osiągnięty.

Więcej praw dla podmiotów danych

W porównaniu do ustawy o ochronie danych osobowych, podmioty danych wyposażone zostały w większą liczbę uprawnień, których realizacji będą mogły żądać od administratorów danych. Obok znanych już uprawnień informacyjnych, prawa dostępu do danych, prawa sprzeciwu, rozporządzenie ogólne przewiduje wiele praw stanowiących swoiste nowości. Za przykład posłużyć mogą:

  • prawo żądania dostarczenia kopii danych osobowych podlegających przetwarzaniu,
  • „prawo do bycia zapomnianym”,
  • prawo do przenoszenia danych osobowych do innego administratora danych,
  • prawo do niepodlegania profilowaniu.

Co oczywiste, nowe uprawnienia dla podmiotów danych to jednocześnie nowe obowiązki dla administratorów danych.

Administracyjne kary pieniężne

Aby wymusić wykonywanie przewidzianych w rozporządzeniu ogólnym obowiązków prawodawca unijny przewidział możliwość stosowania administracyjnych kar pieniężnych. Kary będą mogły zostać nałożone zarówno na administratorów danych jak i na podmioty przetwarzające dane na zlecenie. Organem właściwym do nałożenia kary pieniężnej w przypadku naruszenia przepisów rozporządzenia ogólnego będzie krajowy organ nadzorczy.

Rozporządzenie unijne nie zawiera swoistego taryfikatora przewidującego wysokość kary pieniężnej za określone naruszenie. Wręcz przeciwnie, ustalenie wysokości kary pieniężnej będzie następowało indywidualnie w każdym przypadku, przy uwzględnieniu wskazanych w rozporządzeniu ogólnym okoliczności.

Ustalając wysokość kary pieniężnej, organ nadzorczy będzie brał pod uwagę charakter, wagę i czas trwania naruszenia oraz zachowania administratora danych lub podmiotu przetwarzającego dane. Oceniając administratora danych lub podmiot przetwarzający, organ nadzorczy uwzględniał będzie sposób postepowania poprzedzający naruszenie, jak i działania podjęte po stwierdzeniu naruszenia.

Co oczywiste, rozporządzenie ogólne nie pozostawia organom nadzorczym pełnej swobody w ustalaniu wysokości kary pieniężnej. Prawodawca unijny przewidział ograniczenia dla organów nadzorczych w tym zakresie. W zależności od rodzaju naruszenia, kara pieniężna będzie mogła zostać nałożona w wysokości do 10 000 000 EUR lub do 20 000 000 EUR, a w przypadku przedsiębiorstw – w wysokości do 2 % lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Nie czekajmy biernie do 25 maja 2018 r. Aktywnie przygotowując się do stosowania rozporządzenia, ograniczymy ryzyko wystąpienia naruszeń ochrony danych osobowych po wskazanej dacie, a tym samym ryzyko ewentualnej kary pieniężnej.

Post Views: 4 079

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

1457752_242887632541584_334856854_n

Dominik Sęczkowski
Aplikant

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.