Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE wejdzie w życie 25 maja 2018 r.


- Kiedy przyjmowano dyrektywę 95/46/WE, założyciel Facebooka Mark Zuckerberg miał 13 lat, Google dopiero co został założony, a cloud computing raczkował. Rozporządzenie uchwalone w 2016 r. jest o wiele bardziej dostosowane do obecnego, zdigitalizowanego świata - powiedziała radca prawny Izabela Kowalczuk-Pakuła, kierująca praktyką ochrony danych osobowych i prywatności w kancelarii Bird & Bird.


Nowe przepisy we wszystkich państwach członkowskich zajmą miejsce dotychczas obowiązujących 28 odpowiedników polskiej ustawy o ochronie danych osobowych. - Rozporządzenie będzie jednolicie obowiązywać - niestety z wieloma wyjątkami - we wszystkich krajach członkowskich UE. To ułatwi stosowanie prawa przez podmioty o zasięgu międzynarodowym - uważa Kowalczuk-Pakuła.


Analiza skutków operacji przetwarzania danych


- Zmienia się paradygmat podejścia do ochrony danych osobowych. Uciążliwe i biurokratyczne zgłoszenia zbiorów danych osobowych zostaną zastąpione koncepcją domyślnej ochrony danych – „data protection by design”, czyli obowiązkiem dbania o ochronę danych osobowych już od rozpoczęcia procesów biznesowych związanych z przetwarzaniem danych - tłumaczy mecenas.


W obliczu nowych przepisów organizacje będą musiały przeprowadzać analizę skutków operacji przetwarzania dla ochrony danych osobowych, a także będą miały obowiązek uwzględniania ich ochrony już w fazie projektowania usługi. Zaostrzone zostaną także warunki powołania się przez organizacje na niektóre podstawy prawne przetwarzania danych, jak np. zgodę osoby, której dane dotyczą.


Administratorzy zobowiązania do informowania o wycieku danych


Jak wskazuje Kowalczuk-Pakuła, „rozporządzenie nadaje daleko idące uprawnienia osobom fizycznym, jak np. prawo do bycia zapomnianym czy prawo do przenoszalności danych”. - Organizacje będą musiały być o wiele bardziej transparentne co do sposobu przetwarzania danych osobowych oraz informować osoby, których dane dotyczą, o takich szczegółach, jak okres retencji danych czy kryteria jego ustalenia, jak również o prawie wniesienia skargi do organu nadzorczego. Ponadto w razie wycieku danych osobowych, w kwalifikowanych wypadkach administratorzy danych będą zobowiązani zgłaszać to do GIODO oraz informować osoby, których dane wyciekły - dodaje.


Rozporządzenie będzie miało zastosowanie do wszystkich biznesowych organizacji przetwarzających dane osobowe, jednak szczególnie mocno wpłynie na podmioty prowadzące analizę Big Data, zwłaszcza w kontekście profilowania konkretnych osób fizycznych. - Istotnym aspektem w kontekście profilowania w drodze analizy Big Data będą zapewne obostrzone kryteria dla uzyskania zgody na profilowanie od osób, których dane dotyczą - w tym bardzo rozbudowany obowiązek informacyjny - oraz obowiązek zgłaszania naruszeń ochrony danych do organów nadzorczych, takich jak GIODO - uważa Kowalczuk-Pakuła.


Zaostrzenie kar


Ekspertka przyznaje, że "wielu przedsiębiorców kwestionuje niektóre zapisy rozporządzenia jako za mało uwzględniające interesy biznesu, a zbyt dalece chroniące osobę fizyczną, i to w większości przypadków niezależnie od tego czy mają miejsce stałego zamieszkania w UE czy nie”. W egzekwowaniu nowego prawa ma pomóc zaostrzenie sankcji. - Kary będą o wiele bardziej dotkliwe - do 20 mln euro, a w przypadku przedsiębiorstwa nawet do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego - przestrzega Kowalczuk-Pakuła.


- Biorąc pod uwagę szeroki zakres zmian, już teraz warto rozpocząć przygotowania do wejścia w życie nowych przepisów. Przede wszystkim organizacje powinny dokonać analizy luk i uchybień przepisów rozporządzenia, zaplanować środki naprawcze i kolejność ich wdrażania oraz zastanowić sią nad celowością powołania inspektora ochrony danych (chyba, że takie powołanie jest obowiązkowe na podstawie rozporządzenia)” - wylicza Kowalczuk-Pakuła. Jej zdaniem „warto także zastanowić się nad przeglądem i uaktualnianiem polityk prywatności i klauzul informacyjnych czy zgód, a także umów z dostawcami”.


"Wszyscy musimy przygotować się na zmiany"


- Rozporządzenie jest dobrą okazją do zrobienia przez organizacje porządków na własnych podwórkach i ustalenia kategorii danych na potrzeby mapowania (identyfikacji danych), identyfikacji podstaw przetwarzania i przekazywania danych oraz środków zapewniających odpowiedni poziom bezpieczeństwa transferu danych, okresy lub kryteria retencji, itd. - wymienia.


- Wszyscy musimy się przygotować na nadchodzące zmiany - duzi i mali gracze, biznes i podmioty publiczne. Nie tylko europejskie, ale także wiele podmiotów spoza Unii, np. usługodawcy, którzy na co dzień świadczą usługi rezydentom UE. Żarty z ochroną danych osobowych się skończyły. Czekają nas ciekawe czasy - przewiduje Kowalczuk-Pakuła.

 

PAP