Europejskie Rozporządzenie o ochronie danych osobowych – RODO.

Rozporządzenie będzie spójnym narzędziem do stosowania we wszystkich państwach członkowskich. 28 porządków prawnych dotyczących ochrony danych zostanie zastąpione jednym aktem prawnym, obowiązującym w całej Unii.

Jednolite prawo w całej Europie

Pełna nazwa aktu, który regulować będzie przetwarzanie danych osobowych to: „Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych”, dalej zwane Rozporządzeniem.

W efekcie wszyscy przedsiębiorcy w każdym państwie będą stosować się do tych samych zasad ochrony danych osobowych. W preambule w punkcie (10) podkreślono, że „aby zapewnić wysoki i spójny poziom ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku
z przetwarzaniem danych osobowych”.

Prawo dopasowane do rodzaju przedsiębiorstwa

Rozporządzenie zauważa małe i średnie przedsiębiorstwa. Dotychczasowe przepisy nakazywały stosować przepisy tak samo osobom fizycznym prowadzącym działalność gospodarczą jak i dużym spółkom akcyjnym. W efekcie większość małych podmiotów nie przestrzegała przepisów z zakresu ochrony danych osobowych.

Inspektor Ochrony Danych zamiast ABI

Rozporządzenie zastępuję administratora bezpieczeństwa informacji określeniem inspektora ochrony danych.

Inspektora danych należy wyznaczyć w przypadku gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii, o których mowa w art. 9 ust. 1, oraz danych o wyrokach skazujących za przestępstwa i o przestępstwach, o których mowa w art. 9a.

Należy zwrócić uwagę na występowanie „podmiotu przetwarzającego” – oznacza to,
że zleceniobiorcy (procesorzy) będą także w określonych przypadkach musieli wyznaczać inspektora ochrony danych.

Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy. Dane kontaktowe inspektora ochrony danych podaje się podczas zbierania danych osobowych.

Dokonując oceny pod kątem ochrony danych, administrator zasięga porady inspektora ochrony danych, jeżeli został on wyznaczony (…)

Rozporządzenie określa, że osoby, których dane się przetwarza, mogą kontaktować się
z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych oraz z korzystaniem z praw przysługujących im na mocy niniejszego rozporządzenia.

Inspektor ochrony podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Powołanie ABI dzisiaj jest w pełni dobrowolne, a wprowadzenie takiego obowiązku należy uznać za zmianę wyjątkowo niekorzystną dla organizacji.

Nowością jest obowiązek powołania IOD także przez procesora („podmiot przetwarzający”).

Grupa przedsiębiorstw może powołać jednego Inspektora Ochrony Danych.

Trzeba pamiętać, że tam, gdzie inspektor będzie powołany, osoby, których dane się przetwarza będą mogły się z nim bezpośrednio kontaktować. Jego dane będą więc musiały znaleźć się na formularzach zgody. Rozporządzenie nie wskazuje jakie dane kontaktowe inspektora należy podać ale wydaje się, iż podanie adresu mailowego bezpośrednio do inspektora będzie wystarczające.

Ponieważ Rozporządzenie używa w treści tego przepisu pojęć szerokich i niedookreślonych nie do końca jasne jest kiedy powołać IOD. Tytułem przykładu: od kiedy należy uznawać, że główna działalność polega na przetwarzaniu danych osobowych szczególnych kategorii? Czy przykładowo przetwarzanie danych osób zatrudnionych będzie można już uznać za operacje przetwarzania, które ze względu na swój charakter, zakres, cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą? W takim przypadku każdy podmiot zatrudniający pracowników będzie musiał powołać IOD.

Za naruszenie przez administratora obowiązku wyznaczenia IOD Rozporządzenie wprowadza karę w wysokości do 10 mln EUR, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Zmiana ta wydaje się więc istotna.

Na korzyść przemawia możliwość wyznaczenia przez grupę przedsiębiorstw jednego inspektora, pod warunkiem, że z każdej siedziby będzie można się z nim łatwo skontaktować. Inspektor może być pracownikiem lub wykonywać zadania na podstawie umowy o świadczenie usług, trzeba jednak zauważyć, że w każdym przypadku należy zapewnić mu „zasoby niezbędne do podtrzymania jego wiedzy fachowej”.

Inspektor ma być angażowany we wszystkie sprawy związane z ochroną danych osobowych, ma mieć odpowiednie zasoby do wykonywania pracy, raportować do najwyższego kierownictwa. Może wykonywać inne obowiązki, o ile nie powodują konfliktu interesów.

Większa siła „oddziaływania” nowego prawa

Rozporządzenie wprowadza nowe sankcje za niezgodne z prawem przetwarzanie danych osobowych. Dzisiejsze kary za nieprzestrzeganie przepisów są względnie niskie – aby doszło do nałożenia grzywny trzeba uparcie nie „przywracać stanu zgodnego z prawem”.

Są jeszcze kary wynikające z przepisów karnych, ale rzadko kierowane są zawiadomienia o podejrzeniu popełnienia przestępstwa bądź postępowanie jest umarzane ze względu na niską szkodliwość społeczną. To była dość wygodna sytuacja dla wielu administratorów danych, którzy nierzadko dochodzili do wniosku, iż korzyści z nieprzestrzegania przepisów
z zakresu ochrony danych osobowych są zdecydowanie większe niż negatywne konsekwencje.

Nowe rozporządzenie wprowadza bardzo surowe kary.

W zakresie nakładania administracyjnych kar pieniężnych Rozporządzenie przewiduje grzywnę maksymalnie do 20 mln EUR, a w przypadku przedsiębiorstwa do 4% całkowitego światowego obrotu z poprzedniego roku za naruszenie istotnych przepisów ochrony danych osobowych przewidzianych w Rozporządzeniu, a dwukrotnie mniejsze kary (10 mln EUR lub do 2% światowego obrotu) w sprawach mniejszej wagi.

Każdy przypadek GIODO będzie musiał rozpatrzyć indywidualnie biorąc pod uwagę: m.in.:

  • skalę naruszenia;
  • umyślność działania;
  • działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • „recydywę” (czy to kolejna „wpadka”);
  • kategorie danych osobowych ;
  • stopień współpracy z GIODO.

Trzeba pamiętać, że „osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów Rozporządzenia ma prawo do uzyskania od administratora lub procesora odszkodowania za poniesioną szkodę” (art. 82).

Przedsiębiorcy, którzy wcześniej mieli większy apetyt na ryzyko zostaną zmuszeni do ponownej kalkulacji ryzyka. W praktyce oznacza to, że wysokie kary zmuszą organizacje do przykładania większej wagi do respektowania przepisów ochrony danych osobowych – a co za tym idzie, do zainwestowania w bezpieczeństwo i ochronę informacji. Organizacje będą musiały zastanowić się nad przeznaczeniem większych kwot w swoich budżetach na ochronę i bezpieczeństwo informacji.

(źródło Fundacja WTB)

Dodaj komentarz