środa, 23 listopada 2016

Ochrona danych osobowych – element sprawnego systemu Compliance. Czy Twoja firma jest przygotowana na zmiany?

Efektywne zarządzanie zgodnością to nie tylko dostosowywanie firmy do obowiązujących regulacji, ale także monitorowanie działalności firmy pod kątem wystąpienia potencjalnych ryzyk. Takich obszarów „do monitorowania” w każdej firmie jest wiele, w zależności od branży, struktury czy przyjętego modelu prowadzenia przedsiębiorstwa. Można jednak wskazać kilka kluczowych zagadnień, które dotyczą każdej firmy zarządzającej zgodnością, jak choćby tematyka ochrony danych osobowych. Aktualnie, za sprawą nowych regulacji unijnych, znów jest o niej głośno -  4 maja 2016 r. został opublikowany ostateczny tekst Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Przedsiębiorców czeka zatem wiele zmian.


Czy nowa regulacja była potrzebna?
W celu uszeregowania wiedzy należy wskazać, że obecnie obowiązującymi regulacjami w zakresie ochrony danych osobowych są m.in. na poziomie unijnym - Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz, na poziomie krajowym, Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Dyrektywa zawiera podstawowe definicje odnoszące się do dziedziny danych osobowych, ustala zasady zbierania, gromadzenia, przechowywania i udostępniania danych osobowych, jak również określa zasady i warunki zgodności przetwarzania danych osobowych z prawem oraz prawa osób, których dane dotyczą. Wskazana ustawa jest zaś regulacją opierającą się w dużej mierze na rozwiązaniach zaproponowanych przez Dyrektywę.
Postęp technologiczny nieustannie wymusza zmiany w prawie. Tak też jest w przypadku regulacji dotyczących ochrony danych osobowych. Niewątpliwie żyjemy w dobie szybkiego rozwoju Internetu  - według danych Eurostatu w 2014 roku z Internetu korzystało już 78 % gospodarstw domowych w Unii Europejskiej. Technologia pędzi do przodu, a prawo, niestety, bardzo często pozostaje daleko w tyle. Stąd też konieczność wprowadzenia przepisów, które będą uwzględniały te zmiany.  I tak, 25 maja 2018 roku, zacznie obowiązywać nowa regulacja - Rozporządzenie Parlamentu i Rady (UE) z dnia 27 kwietnia 2016 roku.

Terytorialny zakres stosowania Rozporządzenia
Terytorialny zakres regulacji został znacznie rozszerzony względem Dyrektywy, co wywołuje zaniepokojenie administratorów spoza Unii. Nowe rozporządzenie zyskało bowiem rewolucyjny charakter - ma zastosowanie także do przetwarzania danych osobowych osób przebywających na terenie Unii przez administratora lub podmiot przetwarzający niemających jednak jednostek organizacyjnych w Unii. Takie przetwarzanie musi wiązać się z oferowaniem towarów lub usług takim osobom w Unii - niezależnie od tego, czy wymaga się od tych osób zapłaty. Przetwarzanie danych może być także związane z monitorowaniem ich zachowania, o ile do tego zachowania dochodzi w Unii.
Jak będzie wyglądało wywiązywanie się administratorów z państw spoza Unii z przestrzegania Rozporządzenia – będzie to można jedynie ocenić za jakiś czas.

Nowe uprawnienia i środki ochrony
Nowym uprawnieniem jest m.in. prawo do przenoszenia danych. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony pierwotnego administratora, któremu dostarczono te dane osobowe (w przypadku, gdy przetwarzanie odbywa się na podstawie zgody, umowy lub w sposób zautomatyzowany).
Dość istotną zmianą jest również obowiązek zgłoszenia GIODO naruszenia ochrony danych osobowych.  Administrator, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, dokonuje zgłoszenia u GIODO, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator będzie także zobowiązany do zawiadomienia osoby o wycieku jej danych, w przypadku gdy uzna, że naruszenie może powodować wysokie ryzyko naruszenia praw i wolności tej osoby.


Zmiany definicji
Zmianie uległo też kilka definicji, jak choćby definicja samych danych wrażliwych. W obecnie obowiązującej ustawie w Polsce, za dane wrażliwe rozumie się „dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym” (art. 27 ust. 1). Rozporządzenie unijne wprowadza nowe kategorie danych wrażliwych: dane genetyczne (dane z analizy próbki biologicznej pochodzącej od osoby fizycznej) i dane biometryczne (wizerunek twarzy, dane daktyloskopijne).
Pojawiła się także definicja "profilowania". Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się (art. 4 pkt 4 Rozporządzenia). Profilowanie wykorzystywane jest m.in. w marketingu i działaniach sprzedażowych, jak również w przypadku typowania do kontroli podatkowych.
Rozporządzenie wprowadza także instytucję „pseudonimizacji”. Oznacza ona możliwość przetworzenia danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.
Zmiany w zakresie definicji objęły także Administratora Bezpieczeństwa Informacji, czyli ABI-ego. Zgodnie z Rozporządzeniem będzie nazywać się Inspektorem Ochrony Danych. Co jednak istotniejsze,  Rozporządzenie wskazuje konkretne przypadki, gdy podmiot jest obowiązany  wyznaczyć Inspektora Ochrony Danych. Obecnie powołanie Administratorem Bezpieczeństwa Informacji jest jedynie uprawnieniem, które może przynieść pewne korzyści, ale nie obowiązkiem.
Jak wskazuje art. 37 Rozporządzenia, administrator i podmiot przetwarzający wyznaczają Inspektora Ochrony Danych zawsze, gdy: (1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; (2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; (3) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Kary finansowe
Dodano jeszcze jeden ważny element, który z pewnością sprawi, że ochrona danych osobowych będzie wywierała duży wpływ na zarządzanie ryzykiem w firmie. Dostosowanie do wymogów Rozporządzenia zostało bowiem zabezpieczone dotkliwymi karami finansowymi.
Jak wskazuje Rozporządzenie, każdy organ nadzorczy będzie zapewniał, aby kary stosowane za naruszenia Rozporządzenia były „w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”. Odnośnie ostatniego – takie też są. Zgodnie z art. 83 Rozporządzenia mogą to być kary finansowe do 10 mln euro lub do 2% światowego rocznego obrotu (kara wymierzona przedsiębiorcy) - w przypadku m.in. naruszeń odpowiednich obowiązków administratora i podmiotu przetwarzającego.
W przypadku naruszeń podstawowych zasad przetwarzania, w tym warunków zgody określonych w odpowiednich przepisach, administracyjna kara pieniężna może wynieść nawet do 20 mln euro lub do 4% światowego rocznego obrotu z poprzedniego roku obrotowego, przy czym należy zaznaczyć, że zastosowanie ma kwota wyższa.

Podsumowanie
Czasu na zapoznanie się ze wszystkimi zmianami w zakresie danych osobowych zostało niewiele. Należy pamiętać, że sama wiedza na temat nowych regulacji to dopiero pierwszy krok. Większość przedsiębiorców, jaki i podmioty publiczne, będą musiały przejrzeć swoje polityki w zakresie ochrony danych osobowych, uaktualnić klauzule informacyjne, powołać Inspektora Danych Osobowych (w przypadku podmiotów wskazanych w Rozporządzeniu). A że kary są niewątpliwie dotkliwe i niejednego Prezesa przyprawią o ból głowy, radzimy już dziś traktować dane osobowe bardzo poważnie. Po 25 maja 2018 roku może być już za późno na wertowanie Rozporządzenia.

Autorkami dzisiejszego wpisu są Panie Joanna Stolarek, Lider Praktyki Compliance w Kancelarii OżógTomczykowski oraz Izabella Sosnowska, Prawnik, Praktyka Compliance, Kancelaria Ożóg Tomczykowski.

1 komentarz:

  1. Temat danych osobowych to dla mnie czarna magia, dlatego wolę zdać się na specjalistów.

    OdpowiedzUsuń

Dziękuję za komentarz. Wszelkie reklamowe odnośniki wklejone bez uzgodnienia z autorem Bloga o compliance nie zostaną opublikowane. Podobnie z treściami nieodpowiednimi. Za treść komentarzy odpowiadają wyłącznie ich autorzy.