Unijna reforma ochrony danych osobowych

Unijna reforma ochrony danych osobowych

W ubiegłym roku – 27 kwietnia 2016 r. Parlament Europejski i Rada (UE) przyjęły rozporządzenie nr. 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

szkolenie

Rozporządzenie, nazywane także jako ogólne rozporządzenie o ochronie danych zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej w dniu 5 maja 2016 r. Ogólne rozporządzenie w krajach członkowskich wejdzie w życie ostatecznie 25 maja 2018 r. Ze względu na swój charakter prawny będzie ono miało zastosowanie bezpośrednio we wszystkich państwach UE. W odróżnieniu od dyrektyw unijnych, rozporządzenie to nie wymaga implementowania (np. za sprawą ustawy) do krajowego ustawodawstwa. Niemniej jednak ogólne rozporządzenie UE daje krajom członkowskim możliwość doprecyzowania pewnych nieuregulowanych w nim kwestii, np. w sprawie powoływania organu nadzorczego. Zatem polska ustawa o ochronie danych osobowych będzie pełnić rolę aktu dopełniającego rozporządzenie ogólne.

W polskim ustawodawstwie trwają prace nad przepisami ustawy o ochronie danych osobowych. Resort cyfryzacji 27 kwietnia bieżącego roku opublikował wstępny projekt ustawy o ochronie danych osobowych. W dalszym ciągu jest on jeszcze niepełny i może ulec zmianie.

Jakie zmiany wprowadza unijne rozporządzenie?

Ogólne rozporządzenie UE wprowadza m.in. nowe uprawnienia dla osób, których dane podlegają przetwarzaniu. Dotychczas uprawnienia te miały charakter głównie informacyjny. Po zmianach podmiot, którego dane osobowe ulegają przetwarzaniu ma prawo m.in. do:

  • żądania od administratora danych usunięcia wszelkich danych osobowych, jeżeli nie są one już niezbędne do celów, w których były zbierane, tzw. „prawo do bycia zapomnianym”,
  • ograniczenia profilowania. Będzie ono możliwe tylko w przypadku, kiedy administrator danych wykaże, że ma podstawę prawną do takiego działania,
  • żądania dostarczenia kopii danych osobowych podlegających przetwarzaniu.

Administrator danych na podstawie ogólnego rozporządzenia zyska nowe prawa i obowiązki m.in.:

  • powinien wprowadzać mechanizmy ochronne i zabezpieczenia w celu ochrony danych osobowych,
  • jest zobowiązany do zawiadamiania osób, których dane osobowe są przetwarzane o naruszeniu ochrony ich danych osobowych,
  • nie będzie już zobowiązany do prowadzenia pisemnej polityki bezpieczeństwa danych osobowych i instrukcji zarządzania systemem informatycznym – formalności związane z przetwarzaniem danych osobowych będą prowadzone za pomocą rejestru czynności przetwarzania danych osobowych.

W przypadkach, gdy nie będą przestrzegane obowiązki ze strony administratora danych lub podmiotów przetwarzających dane, ustawodawca unijny przewidział administracyjne kary pieniężne. Na szczeblu krajowym, organem właściwym do nałożenia kary pieniężnej będzie krajowy organ nadzorczy. Wysokość kary pieniężnej ustalana będzie indywidualnie, w zależności od okoliczności przewidzianych w unijnym rozporządzeniu. Rozporządzenie unijne przewidziało jednak dla organów nadzorczych ograniczenia w wysokościach nakładanych kar pieniężnych. Reguła ogólnego rozporządzenia jest taka, że w zależności od rodzaju naruszenia, kara pieniężna będzie mogła zostać nałożona w wysokości do 10 000 000 EUR lub 20 000 000 EUR, a w przypadku przedsiębiorstw – w wysokości do 2% lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Skomentuj