Efektywne zarządzanie
zgodnością to nie tylko dostosowywanie firmy do obowiązujących regulacji, ale
także monitorowanie działalności firmy pod kątem wystąpienia potencjalnych
ryzyk. Takich obszarów „do monitorowania” w każdej firmie jest wiele, w
zależności od branży, struktury czy przyjętego modelu prowadzenia
przedsiębiorstwa. Można jednak wskazać kilka kluczowych zagadnień, które
dotyczą każdej firmy zarządzającej zgodnością, jak choćby tematyka ochrony danych osobowych. Aktualnie, za sprawą
nowych regulacji unijnych, znów jest o niej głośno - 4 maja 2016 r. został opublikowany ostateczny
tekst Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Przedsiębiorców
czeka zatem wiele zmian.
Czy nowa regulacja była potrzebna?
W celu uszeregowania wiedzy
należy wskazać, że obecnie obowiązującymi regulacjami w zakresie ochrony danych
osobowych są m.in. na poziomie unijnym - Dyrektywa
95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w
sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i
swobodnego przepływu tych danych oraz, na poziomie krajowym, Ustawa o ochronie danych osobowych z dnia
29 sierpnia 1997 r. Dyrektywa zawiera podstawowe definicje odnoszące się do
dziedziny danych osobowych, ustala zasady zbierania, gromadzenia,
przechowywania i udostępniania danych osobowych, jak również określa zasady i
warunki zgodności przetwarzania danych osobowych z prawem oraz prawa osób,
których dane dotyczą. Wskazana ustawa jest zaś regulacją opierającą się w dużej
mierze na rozwiązaniach zaproponowanych przez Dyrektywę.
Postęp technologiczny nieustannie
wymusza zmiany w prawie. Tak też jest w przypadku regulacji dotyczących ochrony
danych osobowych. Niewątpliwie żyjemy w dobie szybkiego rozwoju Internetu - według danych Eurostatu w 2014 roku z Internetu
korzystało już 78 % gospodarstw domowych w Unii Europejskiej. Technologia pędzi
do przodu, a prawo, niestety, bardzo często pozostaje daleko w tyle. Stąd też
konieczność wprowadzenia przepisów, które będą uwzględniały te zmiany. I tak, 25
maja 2018 roku, zacznie obowiązywać nowa regulacja - Rozporządzenie Parlamentu
i Rady (UE) z dnia 27 kwietnia 2016 roku.
Terytorialny zakres stosowania Rozporządzenia
Terytorialny zakres regulacji został
znacznie rozszerzony względem Dyrektywy, co wywołuje zaniepokojenie
administratorów spoza Unii. Nowe rozporządzenie zyskało bowiem rewolucyjny
charakter - ma zastosowanie także do przetwarzania danych osobowych osób przebywających
na terenie Unii przez administratora lub
podmiot przetwarzający niemających jednak jednostek organizacyjnych w Unii. Takie
przetwarzanie musi wiązać się z oferowaniem towarów lub usług takim osobom w
Unii - niezależnie od tego, czy wymaga się od tych osób zapłaty. Przetwarzanie
danych może być także związane z monitorowaniem ich zachowania, o ile do tego
zachowania dochodzi w Unii.
Jak będzie wyglądało wywiązywanie
się administratorów z państw spoza Unii z przestrzegania Rozporządzenia –
będzie to można jedynie ocenić za jakiś czas.
Nowe uprawnienia i środki ochrony
Nowym uprawnieniem jest m.in. prawo do przenoszenia danych. Osoba,
której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie
używanym formacie nadającym się do odczytu maszynowego dane osobowe jej
dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane
osobowe innemu administratorowi bez przeszkód ze strony pierwotnego administratora,
któremu dostarczono te dane osobowe (w przypadku, gdy przetwarzanie odbywa się
na podstawie zgody, umowy lub w sposób zautomatyzowany).
Dość istotną zmianą jest również obowiązek zgłoszenia GIODO naruszenia
ochrony danych osobowych. Administrator,
nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, dokonuje
zgłoszenia u GIODO, chyba że jest mało prawdopodobne, by naruszenie skutkowało
ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator będzie
także zobowiązany do zawiadomienia osoby o wycieku jej danych, w przypadku gdy
uzna, że naruszenie może powodować wysokie ryzyko naruszenia praw i wolności
tej osoby.
Zmiany definicji
Zmianie uległo też kilka
definicji, jak choćby definicja samych danych
wrażliwych. W obecnie obowiązującej ustawie w Polsce, za dane wrażliwe
rozumie się „dane ujawniające pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową,
partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i
mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub
administracyjnym” (art. 27 ust. 1). Rozporządzenie unijne wprowadza nowe
kategorie danych wrażliwych: dane genetyczne (dane z analizy próbki
biologicznej pochodzącej od osoby fizycznej) i dane biometryczne (wizerunek
twarzy, dane daktyloskopijne).
Pojawiła się także definicja "profilowania". Profilowanie
oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które
polega na wykorzystaniu danych osobowych do oceny niektórych czynników
osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów
dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej,
zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji
lub przemieszczania się (art. 4 pkt 4 Rozporządzenia). Profilowanie
wykorzystywane jest m.in. w marketingu i działaniach sprzedażowych, jak również
w przypadku typowania do kontroli podatkowych.
Rozporządzenie wprowadza także
instytucję „pseudonimizacji”.
Oznacza ona możliwość przetworzenia danych osobowych w taki sposób, by nie
można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia
dodatkowych informacji.
Zmiany w zakresie definicji objęły także Administratora Bezpieczeństwa
Informacji, czyli ABI-ego. Zgodnie z Rozporządzeniem będzie nazywać się Inspektorem Ochrony Danych. Co jednak
istotniejsze, Rozporządzenie wskazuje konkretne przypadki, gdy podmiot
jest obowiązany wyznaczyć Inspektora Ochrony
Danych. Obecnie powołanie Administratorem Bezpieczeństwa Informacji jest
jedynie uprawnieniem, które może przynieść pewne korzyści, ale nie obowiązkiem.
Jak wskazuje art. 37
Rozporządzenia, administrator i podmiot przetwarzający wyznaczają Inspektora Ochrony
Danych zawsze, gdy: (1) przetwarzania
dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie
sprawowania przez nie wymiaru sprawiedliwości; (2) główna działalność administratora lub podmiotu przetwarzającego polega
na operacjach przetwarzania, które
ze względu na swój charakter, zakres lub cele wymagają regularnego i
systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
(3) główna działalność administratora
lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę
szczególnych kategorii danych osobowych oraz danych osobowych dotyczących
wyroków skazujących i naruszeń prawa.
Kary finansowe
Dodano jeszcze jeden ważny
element, który z pewnością sprawi, że ochrona danych osobowych będzie wywierała
duży wpływ na zarządzanie ryzykiem w firmie. Dostosowanie do wymogów
Rozporządzenia zostało bowiem zabezpieczone dotkliwymi karami finansowymi.
Jak wskazuje Rozporządzenie,
każdy organ nadzorczy będzie zapewniał, aby kary stosowane za naruszenia Rozporządzenia
były „w każdym indywidualnym przypadku skuteczne, proporcjonalne i
odstraszające”. Odnośnie ostatniego – takie też są. Zgodnie z art. 83 Rozporządzenia
mogą to być kary finansowe do 10 mln
euro lub do 2% światowego rocznego obrotu (kara wymierzona przedsiębiorcy)
- w przypadku m.in. naruszeń odpowiednich obowiązków administratora i podmiotu
przetwarzającego.
W przypadku naruszeń podstawowych
zasad przetwarzania, w tym warunków zgody określonych w odpowiednich
przepisach, administracyjna kara pieniężna może wynieść nawet do 20 mln euro lub do 4% światowego rocznego obrotu z
poprzedniego roku obrotowego, przy czym należy zaznaczyć, że zastosowanie ma
kwota wyższa.
Podsumowanie
Czasu na zapoznanie się ze wszystkimi zmianami w zakresie danych
osobowych zostało niewiele. Należy pamiętać, że sama wiedza na temat nowych
regulacji to dopiero pierwszy krok. Większość przedsiębiorców, jaki i podmioty publiczne,
będą musiały przejrzeć swoje polityki w zakresie ochrony danych osobowych,
uaktualnić klauzule informacyjne, powołać Inspektora Danych Osobowych (w
przypadku podmiotów wskazanych w Rozporządzeniu). A że kary są niewątpliwie
dotkliwe i niejednego Prezesa przyprawią o ból głowy, radzimy już dziś
traktować dane osobowe bardzo poważnie. Po 25 maja 2018 roku może być już za
późno na wertowanie Rozporządzenia.
Autorkami dzisiejszego wpisu są Panie Joanna Stolarek, Lider Praktyki Compliance w Kancelarii OżógTomczykowski oraz Izabella Sosnowska, Prawnik, Praktyka Compliance, Kancelaria Ożóg
Tomczykowski.
Źródło grafiki: https://unsplash.com/search/
Temat danych osobowych to dla mnie czarna magia, dlatego wolę zdać się na specjalistów.
OdpowiedzUsuń