golden closed padlock on digital background, 3d render

Rozporządzenie ogólne – już nie projekt, a rzeczywistość

Sukcesem zakończyły się ponad 4-letnie unijne prace nad ostatecznym kształtem aktów prawnych dotyczących ochrony danych osobowych. Zmiany są bardzo duże, lepiej więc nie czekać aż dwóch lat na wejście w życie rozporządzenia i już teraz sprawdzić, co nas czeka. Nowości mogą wpłynąć m.in. na plany biznesowe i strategie firmowe. Warto także zastanowić się, jak rozporządzenie wpłynie na już stosowane polityki i procedury oraz jakich zupełnie nowych rozwiązań będzie wymagać od administratora danych.

Pakiet legislacyjny dotyczący ochrony danych osobowych Parlament Europejski uchwalił 14 kwietnia 2016 roku. Na posiedzeniu plenarnym PE udało się przyjąć dwa teksty:

  • rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólnego rozporządzenia o ochronie danych)
  • dyrektywy w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych. rozporządzenia ogólnego oraz dyrektywy.

Tekst rozporządzenia (bo na nim się koncentrujemy) został przyjęty, ale nie został jeszcze opublikowany. Rozporządzenie wejdzie w życie dwudziestego dnia od publikacji w Dzienniku Urzędowym Unii Europejskiej, ale będzie miało zastosowanie od 25 maja 2018 roku.

Praca już teraz?

Rozporządzenie przewiduje wiele nowych zadań dla administratorów danych i podmiotów przetwarzających dane na podstawie umowy powierzenia, czyli procesorów. Ustanawia też nowy reżim powoływania inspektora ochrony danych osobowych (dotychczasowy administrator bezpieczeństwa informacji) – dla niektórych podmiotów powołanie inspektora będzie bowiem obowiązkowe. Nowe przepisy przyznają także nowe uprawnienia podmiotom danych. Szersze prawa osób, których dane dotyczą oznaczają także więcej obowiązków po stronie administratorów.

Czym można zająć się już dziś?

Rozporządzenie przewiduje na tyle dużo nowości, że niektórymi z nich można zająć się już dzisiaj. Przykładem zmian, które można zacząć wdrażać w okresie przejściowym są choćby przepisy dotyczące powierzenia przetwarzania danych osobowych. Rozporządzenie zaostrza i doprecyzowuje warunki outsourcingu procesów przetwarzania, a także wskazuje warunki dla dokonywania dalszych powierzeń.

Negocjując umowy powierzenia, zwłaszcza przy długoterminowej współpracy, już dziś można uwzględnić standardy, które będą obowiązywać od roku 2018. Warto więc pamiętać, że rozporządzenie wymaga wyraźnej zgody administratora na dalsze powierzenia lub zgody blankietowej z zastrzeżeniem obowiązku informowania przez procesora o korzystaniu z dalszych przetwarzających i przyznaniu administratorowi możliwości zgłoszenia sprzeciwu wobec korzystania z usług takiego podprocesora.

W planach biznesowych i strategiach firmowych warto pamiętać także o obowiązkach, będących nowością w przepisach dotyczących ochrony danych osobowych tj. o szacowaniu ryzyka – ocenie skutków procesów przetwarzania na ochronę danych, wprowadzeniu ochrony danych osobowych jako opcji domyślnej i uwzględnienia ochrony danych na etapie projektowania rozwiązań. Oczywiście dziś te działania nie są obowiązkowe dla wszystkich administratorów danych, ale mogą być z powodzeniem wdrażane jako dobre praktyki.

Wyzwania nie tylko dla administratorów danych

Potrzebę zintensyfikowanej pracy dostrzega także GIODO. Dr Edyta Bielak – Jomaa wielokrotnie zaznaczała, że według wstępnych szacunków Rządowego Centrum Legislacji analizy wymagać możne nawet 800 aktów prawnych, w których znajdują się różnego rodzaju odniesienia do ochrony danych osobowych. Praca czeka więc nie tylko administratorów danych, ale na początkowym etapie przede wszystkim ustawodawcę. Administratorzy danych, którzy chcą spokojnie przygotować się do stosowania rozporządzenia pracę będą musieli zacząć zdecydowanie wcześniej, niż w II połowie roku 2018. Na naszym portalu będziemy sukcesywnie przybliżać Państwu obowiązki i zadania administratorów danych.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

katarzyna-witkowska

Katarzyna Witkowska
Prawnik
katarzyna.witkowska@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej