Accreo Legal - Nowy – bardziej restrykcyjny model ochrony danych osobowych?

St?d, podstawowym założeniem jest zast?pienie obowi?zuj?cej dyrektywy rozporz?dzeniem, które obowi?zuje bezpośrednio w każdym kraju członkowskim, bez potrzeby wydawania aktów prawnych wdrażaj?cych je do porz?dku krajowego. Dotychczasowe stosowanie Dyrektywy 95/46/WE doprowadziło bowiem do znacz?cych różnic w poziomie ochrony danych osobowych w poszczególnych państwach Wspólnoty.

Jako uzasadnienie planowanych zmian wskazano na konieczność unowocześnienia obowi?zuj?cych przepisów ze względu na postępuj?cy rozwój nowych technologii i globalizację, które nios? ze sob? coraz szerszy i łatwiejszy dostęp do danych osobowych. Aktualnie obowi?zuj?ce przepisy dyrektywy wprowadzono w 1995 r., gdy Internet był jeszcze na pocz?tkowym etapie rozwoju, a z sieci korzystało mniej niż 1% Europejczyków. Reforma ma przede wszystkim zapewnić dostosowanie obowi?zuj?cych przepisów do „ery cyfrowej” i wzmocnić prawa jednostek, zwłaszcza w kontekście korzystania z Internetu, ale jednocześnie zapewnić swobodny przepływ danych w ramach jednolitego rynku UE.

Dane osobowe to informacje na temat życia prywatnego, zawodowego lub publicznego konkretnej osoby. Mog? to być którekolwiek z informacji takich jak nazwisko, zdjęcie, adres e-mail, dane bankowe, wpisy na stronach internetowych, informacje medyczne czy adres IP komputera, dzięki którym można bezpośrednio lub pośrednio dan? osobę zidentyfikować. Zgodnie z Kart? Praw Podstawowych Unii Europejskiej, każdy ma prawo do ochrony danych osobowych, które go dotycz?, we wszystkich aspektach swojego życia.

Główne zmiany które wprowadzi rozporz?dzenie:

• Zwiększona odpowiedzialność i rozliczalność podmiotów przetwarzaj?cych dane osobowe.

• Obowi?zywanie unijnych przepisów, w przypadku gdy dane osobowe s? przetwarzane poza granicami Unii przez przedsiębiorstwa prowadz?ce działalność na rynku UE i oferuj?ce swoje usługi obywatelom UE lub które monitoruj? zachowania obywateli online.

• „Prawo do bycia zapomnianym” dotycz?ce ochrony danych online - jeżeli użytkownik nie będzie chciał, aby nadal przetwarzano jego dane i nie ma żadnych uzasadnionych powodów do ich przechowywania, dane zostan? usunięte.

• Doprecyzowanie pojęcia zgody na przetwarzanie danych - jeżeli wymagane jest jej wyrażenie - zgoda nie może być domniemana i powinna być wyraźne udzielona. Zgoda nie będzie stanowiła podstawy przetwarzania danych osobowych, jeżeli pomiędzy pozycj?, w jakiej znajduje się podmiot danych osobowych a administratorem zachodzić będzie „znacz?ca nierównowaga”.

• Łatwiejszy dostęp do własnych danych oraz łatwiejsze przenoszenie danych osobowych między usługodawcami, np. między portalami społecznościowymi.

• Przedsiębiorstwa i organizacje będ? musiały niezwłocznie powiadamiać o poważnych naruszeniach danych, o ile to możliwe w ci?gu 24 godzin, zarówno organ nadzoru (np. GIODO), jak i osobę, której danych naruszenie dotyczy.

• Przedsiębiorstwa będ? miały do czynienia tylko z jednym krajowym organem ochrony danych – w państwie UE, w którym posiadaj? swoj? główn? siedzibę. Osoby fizyczne będ? miały prawo przedkładać wszystkie sprawy organowi ochrony danych w swoim kraju, nawet gdy ich dane osobowe przetwarzane s? w innym kraju.

• Rozszerzenie definicji „podmiotu danych” na wszystkie osoby, które mog? zostać zidentyfikowane (bezpośrednio lub pośrednio) przez administratora danych, ale także przez inne osoby fizyczne lub prawne. Identyfikacja, zgodnie z now? definicj?, może nast?pić także poprzez dane dotycz?ce lokalizacji lub identyfikatora online.

• Zdefiniowanie pojęcia danych genetycznych oraz danych biometrycznych.

• Zaostrzenie przepisów dopuszczaj?cych możliwości profilowania opartego na automatycznym przetwarzaniu danych osobowych.

Rozporz?dzenie rozbudowuje również obowi?zki informacyjne administratora danych. Także struktura dokumentacji jak? powinien posiadać administrator danych będzie miała znacznie bardziej rozbudowany charakter. Pojawi się obowi?zek podawania planowanego okresu przechowywania i przetwarzania danych osobowych oraz daty ich zgromadzenia, obowi?zek przedstawiania na ż?danie dowodu zgody użytkownika na przetwarzanie danych udzielonej na piśmie, udostępnienia kontaktu do osoby odpowiedzialnej w firmie za bezpieczeństwo przetwarzania danych osobowych, czy też konieczność opracowania dokumentu o konsekwencjach wycieku przetwarzanych danych osobowych. Firmy będ? musiały posiadać dokumentację procesu przetwarzania i magazynowania danych osobowych, wraz z opisem tego, komu i po co dane te s? przekazywane. Jeśli firma będzie chciała przekazać dane do kraju, w którym przepisy nie wymagaj? wysokiej ochrony danych osobowych, będzie obowi?zana zapewnić w kontrakcie odpowiedni poziom ich ochrony oraz uzyskać zgodę osób, których dane przekazuje, a także krajowego inspektora ochrony danych osobowych. Nowym elementem będzie także obowi?zek wyznaczenia przez administratora danych osoby pełni?cej funkcję inspektora ochrony danych w przedsiębiorstwie. Powyższy obowi?zek dotyczyć ma administratorów, którzy zatrudniaj? więcej niż 250 osób lub s? podmiotem publicznym lub ich główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagaj? regularnego i systematycznego monitorowania podmiotów danych. Skutkiem wprowadzenia takiej regulacji z pewności? będzie powstanie obowi?zku powołania inspektorów w wielu podmiotach ze sfery prywatnej i publicznej.

Sankcje za nieprzestrzeganie przepisów

Planowane zmiany przewiduj? również wysokie kary za zaniedbania w ochronie danych oraz obowi?zek płacenia odszkodowań użytkownikom. Najniższa z przewidzianych sankcji to 250 000 EUR lub w przypadku przedsiębiorców, kara wynosz?ca do 0,5% ich rocznego światowego dochodu, np. za nieudostępnianie możliwości darmowego przegl?dania, poprawiania i kasowania swoich danych przez użytkowników. Grzywn? do pół miliona euro albo procenta globalnego obrotu zostanie ukarana firma, która nie honoruje ż?dania zapomnienia o użytkowniku, albo nie prowadzi dokumentacji procesu przetwarzania danych osobowych. Natomiast najwyższa kara w wysokości 1 000 000 EUR lub, w przypadku przedsiębiorców kara do 2% rocznego dochodu przewidziana między innymi za przetwarzanie danych użytkowników bez ich zgody lub bez odpowiedniej podstawy prawnej, czy też na podstawie zgody, która nie spełnia przesłanek wskazanych w Rozporz?dzeniu.

Dla przykładu, obecnie polski GIODO również może nakładać grzywny, jednak s? to znacznie mniejsze kwoty. przedsiębiorca, który lekceważy zalecenia generalnego inspektora może być ukarany kar? 50 tys. zł, zaś osoba fizyczna kar? 10 tys. zł. Kara może być nakładana wielokrotnie - na osobę fizyczn? aż do wysokości 50 tys. zł, zaś w przypadku przedsiębiorców - w sumie do 200 tys. zł. Za niektóre naruszenia przepisów ustawy (np. przetwarzanie danych których przetwarzanie jest niedopuszczalne lub utrudnianie kontroli) grozi kara ograniczenia wolności nawet do 2 lat. Co ważne, kara może być orzeczona zarówno wobec pracownika, który utrudni pracę GIODO, jak i wobec kierownictwa firmy. Zgodnie z raportami udostępnianymi przez urz?d, od 2007 roku wpłynęło do niego ponad 5,5 tys. skarg dotycz?cych naruszeń przepisów o ochronie danych przeprowadzono ponad 1000 kontroli i skierowano do organów ścigania ponad 100 zawiadomień o popełnieniu przestępstwa. Dlatego, w oczekiwaniu na zmianę unijnych przepisów, warto upewnić się, czy w naszych firmach przepisy wci?ż obowi?zuj?cej ustawy o ochronie danych osobowych s? przestrzegane i czy stosujemy procedury zapewniaj?ce należyt? ochronę danych.

Omawiana regulacja jest aktualnie w fazie projektu. Projekt Komisji został przekazany do prac w Parlamencie Europejskim i państwach członkowskich UE. Rozporz?dzenie ma wejść w życie w ci?gu dwóch lat po jego przyjęciu. Zgodnie z obowi?zuj?c? w Unii procedur?, prawdopodobnie z pocz?tkiem 2015 roku. Wiele rozwi?zań przyjętych w rozporz?dzeniu ma również zostać doprecyzowanych za pomoc? aktów wykonawczych wydawanych przez Komisję Europejsk?. Analizuj?c planowane zmiany można przypuszczać, że dostosowanie procedur obowi?zuj?cych w firmach przetwarzaj?cych dane osobowe do nowych regulacji będzie czasochłonne i może wymagać od przedsiębiorców wprowadzenia wielu nieznanych dot?d rozwi?zań.

Dlatego warto już dziś zastanowić się, czy rozporz?dzenie będzie miało wpływ na funkcjonowanie firmy i wymagało podjęcia działań zwi?zanych z ochron? danych osobowych znajduj?cych się w naszych bazach.

Joanna Affre
Partner Zarz?dzaj?cy
Accreo Legal