Czy obawiać się nadejścia RODO?

RODO

Sprostanie wymaganiom UODO często jest wyzwaniem, szczególnie dla małych i mikroprzedsiębiorców, którzy nie mogą sobie pozwolić na wyspecjalizowany personel odpowiedzialny jedynie za ochronę danych. Tymczasem, wielkimi krokami nadchodzi era GDPR (ang. General Data Protection Regulation), unijnego rozporządzenia, które od 25 maja 2018 r. stanie się podstawowym aktem regulującym problematykę ochrony danych osobowych.

W ochronie danych osobowych wiele się zmieni. Aby móc przedstawić choćby szkic czekającej nas rewolucji, przygotowaliśmy dla Państwa poniższe zestawienie porównujące stare i nowe przepisy. Warto zaznaczyć, że wyszczególniliśmy w niej jedynie najistotniejsze zagadnienia. Nie sposób omówić całości czekających nas zmian w jednym artykule.


STAN PRAWNY

UODO – obowiązuje obecnie.

Aktem prawnym regulującym problematykę ochrony danych osobowych jest Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (Dz. U. z 2016 r., poz. 922), jej brzmienie dostosowane jest do europejskiej dyrektywy, która „wyznacza ramy” przepisów krajowych, jednak nie obowiązuje wprost – jej adresatem jest raczej ustawodawca krajowy, a nie obywatel. Do ustawy wydano akty wykonawcze, rozporządzenia, które regulują kwestie techniczne.

GDPR (RODO) – obowiązuje od 25 kwietnia 2016, a zacznie być stosowane od 25 maja 2018 roku.

Z dniem rozpoczęcia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylanie dyrektywy 95/45/WE (zwanego dalej: „GDPR”), przepisy tego rozporządzenia będą stanowiły podstawowy akt prawny regulujący ochronę danych osobowych. Niezależnie od przepisów unijnych, w Polsce zostanie przyjęta nowa UODO, jednak będzie ona odgrywała znacznie mniejszą rolę. Będzie regulowała kwestie niedoprecyzowane w GDPR (ale nigdy wbrew jego postanowieniom), oraz określi kompetencje nowego organu nadzorczego – następcy prawnego GIODO.


ORGAN NADZORCZY

UODO:

Organem odpowiedzialnym za ochronę danych osobowych jest GIODO (Generalny Inspektor Ochrony Danych Osobowych).

GDPR (RODO):

Miejsce GIODO zajmie UODO (Urząd Ochrony Danych Osobowych), zmiana nie ograniczy się jedynie do nazwy – zmieni się sposób jego funkcjonowania.  Urząd będzie posiadał jednostki zamiejscowe. Pojawi się instytucja wiodącego organu nadzorczego, właściwego dla siedziby przedsiębiorcy tzw. one-stop-shop, co jest całkowitym novum.


ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI

UODO:

Administratorzy danych, którymi mogą być zarówno osoby fizyczne, prawne, jak i inne jednostki nie posiadające osobowości prawnej, mogą powołać ABI (Administratora Bezpieczeństwa Informacji), na którym ciążą określone w UODO obowiązki. W szczególności ABI jest odpowiedzialny za nadzór nad zgodnym z prawem przetwarzaniem danych osobowych w organizacji. Powołanie ABI jest dobrowolną decyzją administratora danych.

GDPR (RODO):

Miejsce ABI zajmie nowy podmiot – IOD (Inspektor Ochrony Danych), który będzie wspierał administratora danych w realizacji nowych obowiązków wprowadzonych w GDPR (w szczególności takich jak wsparcie w przeprowadzeniu sprawdzenia ochrony danych w fazie projektowania,  zgłaszania naruszeń przepisów itd.) oraz będzie pełnił funkcję  kontaktową, polegającą na bieżącym rozwiązywaniu i konsultowaniu problemów wynikających z praktycznego stosowania przepisów w przedsiębiorstwie. W określonych warunkach jego powołanie jest obowiązkowe:

– przetwarzania dokonuje organ lub podmiot publiczny (wyjątek od tej zasady stanowią sądy),

-działalność administratora lub podwykonawcy (procesora)  skupia się na operacjach przetwarzania, które ze względu na charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, generalnie przetwarzania na dużą skalę,

– bądź ich główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (z wyłączeniem danych osobowych pacjentów lub klientów, gdy jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika).

Dotychczasowi ABI, jak wynika z projektu nowej UODO, mają stać się ich odpowiednikami tj. IOD. Niemniej w projekcie  przepisów  założono, że  do 1 września 2018 r. ABI będą mieli czas na podjęcie decyzji czy chcą pełnić funkcję IOD oraz czy ich dotychczasowi ADO, będą widzieli ich w tej roli, skutkiem tego może być ich rezygnacja z pełnienia funkcji Inspektora. A przypomnijmy, że jego charakter i zakres działań istotnie różni się od zadań ABI.


DANE WRAŻLIWE

UODO:

Dane sensytywne (wrażliwe) wymienione są wprost w UODO i jest to katalog zamknięty.

GDPR (RODO):

Kategoria danych wrażliwych ulegnie zmianie. Z jednej strony zostanie rozszerzona o dane biometryczne, a z drugiej strony przestanie obejmować orzeczenia o wyrokach skazujących oraz naruszeniach prawa.


ZGODA NA PRZETWARZANIE DANYCH

UODO:

Zgoda osoby, której dane mają być przetwarzane, stanowi jedną z ustawowych podstaw przetwarzania, Zgoda powinna mieć charakter wyraźnego, dobrowolnego i świadomego oświadczenia woli.

GDPR (RODO):

Sama forma wyrażania zgody ulegnie złagodzeniu. Dotychczasową zgodę rozumianą jako wyraźne oświadczenie woli zastąpi jednoznaczne (nie budzące wątpliwości) jej okazanie. Dodatkowo nowością jest dopuszczenie wyrażenia zgody poprzez wyraźne działanie potwierdzające.


PRZETWARZANIE DANYCH NIEPEŁNOLETNICH

UODO:

Zgodę na przetwarzanie danych osobowych, osób niepełnoletnich mogą wyrazić ich rodzice lub opiekunowie prawni.

GDPR (RODO):

RODO wprowadzi interesujące rozwiązanie. W przypadku korzystania z usług społeczeństwa informacyjnego (np. zamówienie usługi świadczonej drogą elektroniczną – newsletter dedykowany dzieciom) zgody udzielić będzie mogło samo dziecko, pod warunkiem, że ukończyło określony w przepisach wiek. Z projektu polskiej UODO, wynika, że granica ta zostanie określona na poziomie 13 lat.


BEZPIECZEŃSTWO INFORMATYCZNE DANYCH

UODO:

Rozporządzenie MSWiA z 29 kwietnia 2004 r. (Dz. U z 2004 r. nr 100, poz. 1024) wyznacza poziomy bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych oraz sposób ich zapewnienia. Wyróżniamy – podstawowy, podwyższony i wysoki.

GDPR (RODO):

Prawodawca unijny pozostawia tę kwestię do swobodnej oceny administratorów podjętej na zasadzie analizy ryzyka bezpieczeństwa.To administrator najlepiej wie jakie dane przetwarza, jakie istnieją zagrożenia, wreszcie jakie posiada środki finansowe i organizacyjne, które może przeznaczyć na właściwe zabezpieczenie danych. Zatem wdrożenie w organizacjach mechanizmów oceny ryzyka jest kluczowym i fundamentalnym zadaniem z jakim muszą zmierzyć się administratorzy.  Jest to jedna z najistotniejszych zmian jakie wprowadza GDPR, która stanowi największe wyzwanie dla praktyków ochrony danych osobowych.


OCHRONA DANYCH W FAZIE PROJEKTOWANIA PRODUKTÓW I USŁUG

W UODO zasada ochrony danych w fazie projektowania (privacy by design) formalnie nie istnieje. Polega ona na tym, że każdy projekt przed jego rozpoczęciem jest oceniany pod kątem zgodności z przepisami rozporządzenia oraz innymi aktami prawnymi. Można uznać, że domyślnie administrator powinien dbać o to, by przetwarzanie danych odbywało się zgodnie z przepisami. Natomiast w rozporządzeniu unijnym pojawia się obowiązek przeprowadzania i udokumentowania procesu privacy by design. Brak realizacji i udokumentowania tego zadania obarczony jest karą 10 mln euro lub 2% rocznego, światowego obrotu.


KLAUZULA OBOWIĄZKU INFORMACYJNEGO

UODO:

UODO nakazuje nam poinformować osobę o tym kto i w jakim celu przetwarza nasze dane osobowe. Wymagane jest wskazanie adresu siedziby i pełnej nazwy, a w przypadku osób fizycznych, adresu zamieszkania oraz imienia i nazwiska. W przypadku udostępnienia danych administrator powinien poinformować o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych. Osoba fizyczna musi zostać poinformowana o przysługującym jej prawie dostępu do treści swoich danych oraz możliwości ich poprawiania. W zależności od sytuacji, musi ona również wiedzieć czy dane musi podać obowiązkowo (w tym wypadku, powinna zostać podana podstawa prawna) czy dobrowolnie.

GDPR (RODO):

Rozszerzeniu ulegnie katalog informacji, które będą musiały być udzielone. W tym o profilowaniu i podstawie przetwarzania danych. Więcej informacji o nowych wymogach, znajduje się na stronie.


ODPOWIEDZIALNOŚĆ PRAWNA ZA ŁAMANIE PRZEPISÓW OCHRONY DANYCH OSOBOWYCH

UODO:

System sankcji oparty jest na przepisach karnych oraz częściowo na przepisach cywilnych – podstawą jest ochrona dóbr osobistych. Odpowiedzialność administracyjna jest istotnie ograniczona (tzw. grzywna przymuszająca). Grzywna przymuszająca nakładana jest na przedsiębiorcę dopiero wtedy, gdy ten nie stosuje się do zaleceń wydanych uprzednio przez GIODO w decyzji. Jest zatem instrumentem, mającym za zadanie doprowadzić do wcielenia w życie decyzji administracyjnej.

GDPR (RODO):

W rozporządzeniu przewidziano kary administracyjne. Górna granica odpowiedzialności to suma od 10 do 20 mln euro lub 2 do 4 % rocznego, światowego obrotu. Cechą kar o charakterze administracyjnym jest też brak konieczności wykazania winy. Organ nadzorczy zobowiązany będzie jedynie do oceny czy doszło do naruszenia przepisów RODO, czy też nie. Cały czas musimy liczyć się także z odpowiedzialnością karną i cywilną.


CERTYFIKOWANIE ZGODNOŚCI Z PRZEPISAMI OCHRONY DANYCH OSOBOWYCH

Wprowadzony zostanie system certyfikacji.  Oprócz mechanizmu certyfikacji wprowadzone będą mogły być znaki jakości i oznaczenia w dziedzinie ochrony danych. Administrator, który uzyska certyfikat (czy to na poziomie krajowym czy europejskim ) może być uważany za podmiot godny zaufania, bardziej niż ten, który takim certyfikatem nie będziedysponował . Certyfikacja obejmie zarówno administratorów, jak i podwykonawców (procesorów). Certyfikaty będą wydawane przez podmioty nadzorcze lub specjalnie wyodrębnione, akredytowane podmioty certyfikujące. Certyfikaty nie będą bezterminowe. Wydawane będą maksymalnie na trzy lata.


 

W chwili, gdy firmy zaczną wdrażać nowe wytyczne ochrony danych osobowych w swoich organizacjach, nowy kształt przepisów wprowadzony przez regulację unijną, może nastręczyć wiele trudności.  Nie wiadomo też jak nowa regulacja będzie działała w praktyce. Mimo, że GDPR już weszło w życie, to w praktyce stosowane będzie dopiero od 25 maja 2018 r. Okres dwóch lat od wejścia w życie przepisów do ich stosowania, to czas, który ustawodawca unijny pozostawił administratorom na przystosowanie się do nowych wymogów ochrony danych.

Pierwszym krokiem, który pozwoli Państwu na przygotowanie się do GDPR, jest odbycie rzetelnie przygotowanych szkoleń. Realizujemy je dla Państwa na bieżąco. Najbliższe spotkanie, przeprowadzone przez ekspertów z dziedziny ochrony danych osobowych odbędzie się już 29 września. Nasi prelegenci, dobrze wiedzą z jakimi problemami spotykają się administratorzy danych na co dzień. Szczegółowych informacji zasięgnąć mogą Państwo na naszej stronie. W związku z dużym zainteresowaniem szkoleniami z tego zakresu, prosimy o wcześniejszą rezerwację miejsc.