Nowe przepisy o ochronie danych osobowych

Rozporządzenie wchodzi w skład uchwalonego pakietu legislacyjnego reformy ochrony danych osobowych, wprowadzającego nowe jednolite ramy prawne ochrony danych w UE. 

Nowe przepisy mają zapewnić zwiększenie ochrony praw osób fizycznych przy jednoczesnym poszerzeniu możliwości biznesowych, w szczególności poprzez ułatwienie przepływu danych osobowych na jednolitym rynku cyfrowym. Ułatwienia w stosunku do dotychczasowej regulacji polegają m.in. na uelastycznieniu sztywnych obowiązków dokumentacyjnych czy wręcz, w pewnych okolicznościach, braku obowiązku sporządzania dokumentacji dla przedsiębiorców zatrudniających mniej niż 250 osób. Pojawiają się uprawnienia do przekazywania danych w ramach grup przedsiębiorstw w UE w ramach tzw. prawnie uzasadnionego interesu, a zatem bez konieczności uzyskiwania zgody. Dopuszczono wreszcie wyraźnie sytuację współadministrowania danymi przez więcej niż jednego administratora, którzy wspólnie ustalają cele i sposoby przetwarzania. 

Wśród innych nowych istotnych uregulowań są m.in.:

– prawo do bycia zapomnianym, tj. prawo osoby, której dane dotyczą, do żądania od administratora niezwłocznego usunięcia jej danych, w przypadkach określonych w rozporządzeniu, np. po cofnięciu przez nią zgody na dalsze przetwarzanie jej danych czy w sytuacji przetwarzania danych niezgodnie z prawem;

– prawo do przenoszenia danych, tj. prawo żądania od administratora przekazania wszystkich danych osobowych danej osoby nowemu administratorowi, np. między jednym a drugim portalem społecznościowym. 

Ponadto zasadą ma być uwzględnienie ochrony danych już w fazie projektowania (privacy by design), a zatem takiego projektowania rozwiązań technicznych, np. aplikacji czy też organizowania działalności, np. marketingowej, by ochrona danych była zagwarantowana już na etapie tworzenia rozwiązania, choćby poprzez minimalizację liczby danych, ich pseudonimizację czy implementację odpowiednich zabezpieczeń. Nowe przepisy wprowadzają także zasadę tzw. domyślnej ochrony danych (privacy by default), co ma spowodować – poprzez ustawienia np. aplikacji lub strony internetowej – by domyślnie dane osobowe nie były udostępniane bez ingerencji użytkownika. 

Nowym obowiązkiem administratora danych, np. przedsiębiorcy, będzie konieczność zawiadamiania organu nadzorczego, którym obecnie jest GIODO, o incydentach związanych z naruszeniem ochrony danych osobowych, np. o utracie danych czy ich wycieku na skutek działań hakerskich. Zgłoszenia takiego będzie trzeba dokonać, o ile to możliwe, niezwłocznie, ale nie później niż w terminie 72 godz. od stwierdzenia naruszenia. W pewnych okolicznościach administrator będzie musiał także zawiadomić o naruszeniu osobę, której dane dotyczą. 

Nowe regulacje będą dotyczyć nie tylko podmiotów z Unii, ale również takich jak Facebook czy Google, które wprawdzie siedziby w UE nie mają, ale ich działalność związana jest z przetwarzaniem danych osób przebywających na terytorium Unii, o ile wiąże się to z oferowaniem im towarów lub usług lub ich monitorowaniem. 

Dotychczasowego Administratora Bezpieczeństwa Informacji (ABI) zastąpi Inspektor Ochrony Danych, który ma czuwać nad przestrzeganiem przepisów ochrony danych osobowych w podmiocie, w którym został powołany, np. u przedsiębiorcy. Jego powołanie co do zasady jest dobrowolne, a jedynie w trzech przypadkach wskazanych w rozporządzeniu obowiązkowe, w tym gdy główna działalność administratora polega na operacjach przetwarzania danych. Jednego inspektora, co też jest nowością, można powołać dla kilku przedsiębiorców wchodzących w skład grupy firm powiązanych ze sobą w sposób określony w rozporządzeniu. Pełnienie funkcji inspektora będzie można, tak jak dotychczas, zlecić firmie zewnętrznej. 

Na przedsiębiorców, również tych działających lokalnie, a łamiących przepisy, mogą być nakładane kary finansowe do 4 proc. ich całkowitego rocznego obrotu z poprzedniego roku obrotowego. 

Warto podkreślić, że aby pomóc przedsiębiorcom w stosowaniu nowych przepisów, w szczególności wdrożeniu odpowiednich środków i rozwiązań organizacyjnych lub technicznych, wprowadzone zostały systemy certyfikacji oraz wytycznych. Promowane jest także opracowywanie przez zrzeszenia przedsiębiorców kodeksów postępowania zatwierdzanych przez organy nadzoru.