Unijna reforma ochrony danych osobowych

W ubiegłym roku – 27 kwietnia 2016 r. Parlament Europejski i Rada (UE) przyjęły rozporządzenie nr. 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

Rozporządzenie, nazywane także jako ogólne rozporządzenie o ochronie danych zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej w dniu 5 maja 2016 r. Ogólne rozporządzenie w krajach członkowskich wejdzie w życie ostatecznie 25 maja 2018 r. Ze względu na swój charakter prawny będzie ono miało zastosowanie bezpośrednio we wszystkich państwach UE. W odróżnieniu od dyrektyw unijnych, rozporządzenie to nie wymaga implementowania (np. za sprawą ustawy) do krajowego ustawodawstwa. Niemniej jednak ogólne rozporządzenie UE daje krajom członkowskim możliwość doprecyzowania pewnych nieuregulowanych w nim kwestii, np. w sprawie powoływania organu nadzorczego. Zatem polska ustawa o ochronie danych osobowych będzie pełnić rolę aktu dopełniającego rozporządzenie ogólne.

W polskim ustawodawstwie trwają prace nad przepisami ustawy o ochronie danych osobowych. Resort cyfryzacji 27 kwietnia bieżącego roku opublikował wstępny projekt ustawy o ochronie danych osobowych. W dalszym ciągu jest on jeszcze niepełny i może ulec zmianie.

Jakie zmiany wprowadza unijne rozporządzenie?

Ogólne rozporządzenie UE wprowadza m.in. nowe uprawnienia dla osób, których dane podlegają przetwarzaniu. Dotychczas uprawnienia te miały charakter głównie informacyjny. Po zmianach podmiot, którego dane osobowe ulegają przetwarzaniu ma prawo m.in. do:

  • żądania od administratora danych usunięcia wszelkich danych osobowych, jeżeli nie są one już niezbędne do celów, w których były zbierane, tzw. „prawo do bycia zapomnianym”,
  • ograniczenia profilowania. Będzie ono możliwe tylko w przypadku, kiedy administrator danych wykaże, że ma podstawę prawną do takiego działania,
  • żądania dostarczenia kopii danych osobowych podlegających przetwarzaniu.

Administrator danych na podstawie ogólnego rozporządzenia zyska nowe prawa i obowiązki m.in.:

  • powinien wprowadzać mechanizmy ochronne i zabezpieczenia w celu ochrony danych osobowych,
  • jest zobowiązany do zawiadamiania osób, których dane osobowe są przetwarzane o naruszeniu ochrony ich danych osobowych,
  • nie będzie już zobowiązany do prowadzenia pisemnej polityki bezpieczeństwa danych osobowych i instrukcji zarządzania systemem informatycznym – formalności związane z przetwarzaniem danych osobowych będą prowadzone za pomocą rejestru czynności przetwarzania danych osobowych.

W przypadkach, gdy nie będą przestrzegane obowiązki ze strony administratora danych lub podmiotów przetwarzających dane, ustawodawca unijny przewidział administracyjne kary pieniężne. Na szczeblu krajowym, organem właściwym do nałożenia kary pieniężnej będzie krajowy organ nadzorczy. Wysokość kary pieniężnej ustalana będzie indywidualnie, w zależności od okoliczności przewidzianych w unijnym rozporządzeniu. Rozporządzenie unijne przewidziało jednak dla organów nadzorczych ograniczenia w wysokościach nakładanych kar pieniężnych. Reguła ogólnego rozporządzenia jest taka, że w zależności od rodzaju naruszenia, kara pieniężna będzie mogła zostać nałożona w wysokości do 10 000 000 EUR lub 20 000 000 EUR, a w przypadku przedsiębiorstw – w wysokości do 2% lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Przygotuj się na zmiany!       

Czas pozostały do 25 maja 2018 r. warto wykorzystać aktywnie. Przede wszystkim zmienić należy sposób postrzegania procesu przetwarzania danych osobowych i obowiązków z tym związanych. Przygotowanie się do zmian, w tym płynne wdrożenie mechanizmów i rozwiązań prawnych przewidzianych w rozporządzeniu, pozwoli na wyeliminowanie ryzyka poniesienia dotkliwej kary pieniężnej za naruszenie ochrony danych osobowych.

Aby ułatwić Państwu powyższe zadania, Firma TARBONUS Sp. z.o.o zaprasza na  szkolenie/warsztaty przygotowujące do zmian wynikających z ogólnego, unijnego rozporządzenia w sprawie danych osobowych.

Szkolenie ma na celu przedstawić praktyczne aspekty związane z realizacją obowiązków, jakie będą ciążyły na administratorach danych (np.: konieczność zgłaszania incydentów do organu nadzorczego oraz informowanie osób poszkodowanych przed dane zdarzenie) jak i uprawnień oraz praw osób, których dane będą przetwarzane (np.: tzw. prawo do bycia zapomnianym).          

 Przede wszystkim osoby związane z administrowaniem danych osobowych, a więc:

  • kadra kierownicza, która jest odpowiedzialna za kreowanie polityki dotyczącej ochrony danych osobowych,
  • pracownicy odpowiedzialni za realizacją zadań związanych z przetwarzaniem danych osobowych (np. pracownicy działu kadr, marketingu, sprzedaży, itd.),
  • administratorzy bezpieczeństwa informacji,
  • przyszli inspektorzy ochrony danych osobowych,
  • osoby zarządzające systemem ochrony danych osobowych.

powinny zapoznać się z tą tematyką i skorzystać z praktycznych porad.

Na organizowanym szkoleniu będą Państwo mieli możliwość zadawania pytań oraz dyskutowania, co pozwoli na sukcesywne przyswajanie wiedzy i wymianę doświadczeń z innymi uczestnikami szkolenia, a także uzyskanie odpowiedzi na nurtujące pytania od specjalisty, którym będzie:

Piotr Janiszewski – radca prawny i członek stowarzyszenia ISOC Polska. Entuzjasta i autor kodeksów etyki w biznesie oraz administracji. Audytem w obszarze ochrony danych osobowych zajmuje się od 8 lat. Doświadczony Administrator Bezpieczeństwa Informacji i trener. Certyfikowany audytor wewnętrzny według normy ISO 27001. Uczestnik inspekcji oraz postępowań administracyjnych prowadzonych przez GIODO. Autor licznych artykułów i opracowań dotyczących tematyki ochrony danych osobowych. Ekspert w zakresie informacji publicznej i tajemnicy przedsiębiorstwa.

 

Termin szkolenia: 18 września 2017 r., godz. 9.00

Miejsce realizacji szkolenia: HOTEL Mały Rzym w Sandomierzu ul. Okrzei 9

 

Serdecznie zapraszamy!

Szczegółowy program szkolenia oraz więcej informacji uzyskają Państwo tutaj, a także dzwoniąc pod numer telefonu (15) 823-69-20 wew. 12.

Skomentuj