W końcu finalny tekst Rozporządzenia Ochrony Danych Osobowych!

Rozporządzenie, Dyrektywa czy ustawa?

AKTUALIZACJA: Rozporządzenie zostało już opublikowane w Dzienniku Urzędowym UE. Pełna treść Rozporządzenia wraz z uzasadnieniem znajduje się TUTAJ.

Stało się!  Dnia 14 kwietnia 2016 roku, Parlament Europejski przyjął ostateczną treść nowego Rozporządzenia „w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE” (dalej: Rozporządzenie).

Obecnie wciąż jeszcze obowiązuje Dyrektywa 95/46/WE. W najbliższym czasie (kiedy? o tym dalej), zostanie ona zastąpiona całkowicie nowym Rozporządzeniem. Ta zmiana to element pewnego procesu.

Najpierw, w latach 70 tych XX wieku, pojawiły się lokalne ustawy o ochronie danych osobowych (np. Niemcy, Francja, Szwecja).

Następnie, w związku z pogłębiającą się integracją europejską, odmienności przepisów w różnych państwach członkowskich zaczęły być uciążliwe.

 Zdecydowano się wprowadzić jednolite regulacje, na terenie całej UE. Środkiem ku temu stała się dyrektywa 95/46/WE.

Dyrektywa oddziałuje na systemy prawne państw członkowskich jedynie pośrednio. Tworzy pewne ramy i standardy. Jednak przed polskimi Sądami czy Generalnym Inspektorem Ochrony Danych Osobowych, nie możemy się na nią bezpośrednio powoływać. Polska ma za to obowiązek wprowadzić przepisy, które implementują Dyrektywę do naszego krajowego porządku prawnego.

I tak też się stało – powstała polska ustawa o ochronie danych osobowych z roku 1997 (Dz. U. 2015 poz. 2135 ze zm.)

Po co zastępować Dyrektywę Rozporządzeniem?

Przyczyn jest co najmniej kilka.

Dyrektywa 95/46/WE, jak sama nazwa wskazuje, była tworzona w połowie lat 90 tych. Jej twórcy nie mogli przewidzieć wielu istotnych dla ochrony danych osobowych wydarzeń, technologii i przemian.

Przede wszystkim chodzi o rozwój technologii informatycznych. Pojawiły się nowe globalne firmy operujące na ogromną skalę na danych osobowych (Google, Facebook). Firmy nie podlegające bezpośrednio przepisom Dyrektywy, a przetwarzające dane setek milionów europejczyków.

Niektóre instytucje dotyczące ochrony danych osobowych, przewidziane w Dyrektywie, nie sprawdziły się.

Inne, jak np. kwestia wyrażania zgody czy egzekwowania praw przysługujących osobom, których dane są przetwarzane, wymagały doprecyzowania.

Każdy kraj członkowski wdrażał Dyrektywę „po swojemu”. Co prawda większość ustaw obowiązujących na terenie UE jest do siebie bardzo podobnych, jednak są pewne różnice i odrębności. Te różnice przekładają się na duże koszty funkcjonowania firm, które przetwarzają dane osobowe w kilku państwach UE. I muszą znać przepisy kilku ustaw dotyczących ochrony danych osobowych.

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Kiedy zmiany wejdą w życie?

Samo Rozporządzenie wchodzi w życie „od razu”. A konkretnie 20 dni od dnia publikacji w Dzienniku Urzędowym Unii Europejskiej.

Jednak Rozporządzenie będzie miało zastosowanie praktyczne dopiero 2 lata od dnia wejścia w życie.

Przedsiębiorcy mają czas do 25 maja 2018 roku, na przystosowanie procedur do wymogów Rozporządzenia.

Osoby fizyczne mają tyle samo czasu na możliwość pierwszego skorzystania z szeregu nowych praw i możliwości, oferowanych przez Rozporządzenie.

Ewolucja czy rewolucja?

RODO to zmiana paradygmatu. Do tej pory GIODO nie miał możliwości prawnych nałożenia kary finansowej. Poza dość wyjątkową sytuacją bezskutecznego wezwania do usunięcia uchybienia.

Nowy regulator będzie mógł nałożyć karę do 4% obrotu lub 20 mln EUR (dla sfery administracji publicznej). I to bez żadnych ostrzeżeń.

Skalę zmian dobrze obrazuje porównanie objętości ustawy o ochronie danych osobowych z nowymi regulacjami.

Ustawa o ochronie danych osobowych liczy sobie 62 artykuły.

RODO liczy sobie 99 artykułów i 173 motywy preambuły! A przecież do tego będziemy musieli doliczyć przepisy nowej polskiej ustawy o ochronie danych osobowych (będzie regulowała głównie działanie nowego GIODO). A także dobre praktyki, które będzie wydawał nowy regulator.

Wprowadzono bardzo dużo nowości, uregulowano materie wcześniej nie regulowane prawnie.

Z drugiej strony, trzon przepisów pozostaje niezmienny.

Nadal możemy mówić o 5 filarach ochrony danych osobowych, na które będą się składały:

1) Legalność przetwarzania danych (przesłanki legalności),

2) Świadomość osób przetwarzających dane osobowe,

3) Zabezpieczenia techniczne i organizacyjne,

4) Obowiązki notyfikacyjne do GIODO (incydenty, ABI/IOD),

5) Obowiązki informacyjne i prawa przysługujące osobom, których dane są przetwarzane.

Zmian i nowości jest dużo. Są one konsekwencją doświadczeń stosowania poprzednich przepisów.

Prezentuję poniżej najważniejsze zmiany wynikające z Rozporządzenia z perspektywy przedsiębiorcy i osoby fizycznej.

Dla grup kapitałowych

Twórcy rozporządzenia zauważyli i uwzględnili bardzo często spotykaną sytuację związaną z ochroną danych osobowych. Chodzi o przetwarzanie danych przez Grupy Kapitałowe. W Rozporządzeniu Grupę Kapitałową, określono jako Grupę Przedsiębiorstw.

Rozporządzenie przewiduje również, że Grupą Przedsiębiorstw zarządza „główna jednostka organizacyjna”.

Przepisy przewidują pewne ułatwienia w transferze danych w obrębie grupy.

One-stop-shop – kolejne ułatwienie dla przedsiębiorcy

Grupy przedsiębiorstw lub pojedyncze spółki oferujące usługi na terenie kilku państw UE, będą mogły skorzystać z tzw. „one-stop-shop”. Główna jednostka organizacyjna (np. Centrala Grupy Kapitałowej), będzie mogła wybrać organ ochrony danych osobowych, właściwy dla całej Grupy (np. polskiego GIODO).

Co z Administratorem Bezpieczeństwa Informacji?

Administrator Bezpieczeństwa Informacji, przeszedł pewną metamorfozę. Teraz nazywać się będzie Inspektorem Ochrony Danych.

Jego powołanie będzie obowiązkowe, dla:

1) Podmiotów administracji publicznej,

2) Jeśli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,

3) Jeśli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).

Wprost wskazano na możliwość pełnienia funkcji ABI przez jedną osobę w grupie przedsiębiorstw.

Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

Taka konstrukcja przepisu jednoznacznie wskazuje na możliwość outsourcingu świadczonego przez wyspecjalizowane w tym podmioty.

Co z dokumentacją ochrony danych osobowych?

Obecnie każdy administrator danych w Polsce, musi prowadzić specjalną dokumentację ochrony danych osobowych. Składa się na nią między innymi polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym, ewidencja upoważnień do przetwarzania danych osobowych.

Konieczność prowadzenia dokumentacji w obecnym kształcie wynika wprost z Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. (Dz. U. z 2004 r. Nr 100, poz. 1024 ) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: Rozporządzenie).

Specyfiką obecnego systemu jest pewien brak elastyczności. Rozporządzenie stwarza takie same obowiązki, dla każdego administratora danych. Politykę bezpieczeństwa, spełniającą rozporządzeniowe wymogi, musi prowadzić i wielka międzynarodowa korporacja i mały zakład fryzjerski czy restauracja. Oczywiście polityka bezpieczeństwa dla dużej korporacji będzie dużo bardziej skomplikowanym dokumentem, niż polityka bezpieczeństwa dla małej, jednoosobowej działalności gospodarczej.

Rozporządzenie kwestie dokumentacji opisuje w dość lakoniczny sposób, np.:

Art. 24 Polityki (fragmenty)

 Administrator danych wdraża odpowiednie środki techniczne i organizacyjne (…) W razie potrzeby przeglądane i uaktualniane.

Powyższe środki obejmują wdrożenie polityk bezpieczeństwa, jeśli jest to proporcjonalne.

Środki wdraża się uwzględniając:

  • Charakter
  • Zakres
  • Ryzyko i wagę ew. naruszeń

Wygląda na to, że właściciele mikro i małych przedsiębiorstw, nie przetwarzający dużej ilości danych osobowych, nie będą musieli wdrażać polityk bezpieczeństwa.

Z jeszcze jednym istotnym zastrzeżeniem. Może się okazać, że polski ustawodawca doprecyzuje wymogi dotyczące polityk. Zarówno jeśli chodzi o zakres podmiotowy (kto musi je prowadzić), jak i przedmiotowy (jak dokładnie będą one miały wyglądać).

Na wiosnę 2017 roku, ma być gotowy projekt założeń nowelizacji ustawy o ochronie danych osobowych i przepisów wykonawczych. Na razie pozostaje nam czekanie.

kurs IOD

Osiągnij zgodność z RODO. Zostań Super IOD!

Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu.

Sprawdź terminy:

Sprawdź

Prawa osób, których dane są przetwarzane

W aktualnie obowiązującej ustawie o ochronie danych osobowych (oraz Dyrektywie 95/46/WE), ujęto szeroki katalog praw osób, których dane są przetwarzane. Są to między innymi: prawo do zgłoszenia sprzeciwu, wglądu w dane, poprawiania danych, cofnięcia zgody na przetwarzanie danych, prawo do informacji.

W porównaniu do obowiązujących przepisów, katalog praw pozostał zbliżony. Doprecyzowano jednak tryby realizacji poszczególnych praw. Wskazano terminy i sposoby korzystania z nich.

Dotyczy to szczególnie prawa do wniesienia sprzeciwu wobec przetwarzania danych osobowych. Poprzednio procedura wniesienia sprzeciwu była uregulowana na bardzo ogólnym poziomie.

Administrator danych dostał prawo do odmowy realizacji praw osoby, której dane dotyczącą, jeśli nie uda się zweryfikować tożsamości wnioskodawcy.

Egzekwowanie praw przez osoby fizycznej jest wolne od opłat, poza przypadkami „ewidentnie nieuzasadnionych” lub „nadmiernych” żądań.

Całkowitym „novum” jest prawo do przenoszenia danych. W oryginale „brzmi” ono w ten sposób:

Artykuł 20

  1. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe.

Zobaczymy czy nowe prawo przyjmie się w praktyce. Realizacji praw osób, których dane są przetwarzane, służyć mają również bardzo wysokie kary finansowe dla organizacji lekceważących nowe przepisy (poniżej).

Nowy „bat” dla GIODO – kary do 20 000 000 EUR

Obecnie w Polsce kary nakładane przez GIODO to rzadkość. Ponadto mogą być one stosowane jedynie w sytuacji, kiedy adresat decyzji GIODO, nie zastosuje się do jej dyspozycji.

Rozporządzenie będzie dawało wszystkim organom nadzorczym w UE (w tym oczywiście również naszemu GIODO), możliwość nakładania kar finansowych.

W zależności od tego, która część Rozporządzenia i które zasady zostaną naruszone, mogą być to kary administracyjne w wysokości do:

10 000 000 EUR lub (dla przedsiębiorcy) do 2 % światowego rocznego obrotu. A w przypadku naruszeń podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, kara może wynieść nawet 20 000 000 EUR lub do 4% światowego rocznego obrotu.

Kary robią wrażenie. Zwłaszcza, że będą mogły być stosowane „z urzędu” i bez uprzedniego wezwania do usunięcia uchybień.

Zmiany w samym GIODO

Dodanie nowych instrumentów w postaci nakładania wysokich kar finansowych, siłą rzeczy wymusi zmiany w samym GIODO. Potrzebne będą odpowiednie przepisy wykonawcze, szkolenia dla Inspektorów etc.

Poza nakładaniem kar finansowych GIODO otrzyma także nowe zadania (więcej w kolejnych akapitach) w postaci: akredytacji podmiotów certyfikujących, reagowania na incydenty zgłaszane przez IOD lub Administratorów Danych oraz samej bieżącej współpracy z Europejską Radą Ochrony Danych.

W jaki sposób Polska wdroży obowiązki zapisane w Rozporządzeniu, pozostaje wciąż kwestią otwartą. Rozważane są różne koncepcje, również takie jak połączenie GIODO i UOKiKu czy innych regulatorów.

Według mnie bardzo dobrym rozwiązaniem mogłoby być zreformowanie GIODO np. na wzór brytyjskiego ICO (Information Commissioner’s Office). W Wielkiej Brytanii odpowiednik GIODO zajmuje się nie tylko prawem do prywatności ale również prawem dostępu do informacji publicznej. Trochę jak połączenie „ognia z  wodą”. W praktyce takie połączenie może doskonale funkcjonować. Osoba, która jest świadoma istnienia dwóch, równie ważnych Konstytucyjnych wartości (prawa do informacji i prawa do prywatności), z reguły potrafi znaleźć lepsze i bardziej praktyczne rozwiązania różnych trudnych sytuacji.

A przy okazji mamy możliwość odciążenia Wojewódzkich Sądów Administracyjnych od ogromnej ilości rozpatrywanych spraw z zakresu dostępu do informacji publicznej.

Obowiązek zgłaszania incydentów do GIODO

Kolejną nowość stanowi obowiązek zgłaszania przez administratora danych, naruszenia ochrony danych osobowych organowi nadzorczemu (GIODO).

Artykuł 33

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu 1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (…), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Ciekawe jak to rozwiązanie sprawdzi się w praktyce. Podkreślam, że jeśli „jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”, to zgłaszanie nie będzie konieczne.

Procedura oceny skutków i konsultacji z Inspektorem Ochrony Danych oraz GIODO

Dość istotnym novum jest obowiązek uprzedniej oceny skutków przetwarzania danych osobowych np. przez wdrażane nowe technologie.

W takiej sytuacji administrator danych powinien skonsultować się z Inspektorem Ochrony Danych (jeśli go powołał) lub we własnym zakresie sporządzić „ocenę skutków dla ochrony danych” o której mowa w art. 35 Rozporządzenia.

W szczególnie uzasadnionych sytuacjach można będzie sie skonsultować również z GIODO.

I tutaj widzę pewną szansę dla innowacyjnych przedsiębiorców. Wprowadzanie np. systemów biometrycznych do bankomatów przez banki, będzie mogło być uprzednio skonsultowane z GIODO. I wprowadzone już po jego aprobacie.

Ograniczy to do minimum ryzyko, że nowa technologia będzie później „na cenzurowanym” u GIODO. Dużo będzie zależało również od elastyczności i otwartości GIODO. Takie konsultacje będą mogły być realnym wsparciem dla przedsiębiorców lub kolejną urzędniczą formalnością.

Nowe definicje

Ustawodawca unijny dodał wiele nowych terminów i definicji do Rozporządzenia. Znalazło sie miejsce na definicje danych biometrycznych, genetycznych. Jedne i drugie uznano za dane tzw. „szczególnie chronione” (wrażliwe).

Zdefiniowany też nowy środek ochrony danych polegający na ich „pseudonimizacji”. Chodzi o przetwarzanie danych (najczęściej na dużą skalę), uniemożliwiające ich przypisanie konkretnym osobom.

Możemy sobie wyobrazić pracownika banku lub ubezpieczyciela, który podejmuje decyzję jedynie w oparciu o „twarde fakty”, bez posiadania wiedzy o tym kogo dotyczy np. wniosek kredytowy.

Uwzględniono również coraz bardziej popularne pojęcie tzw. profilowania. Oznacza ono dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się (art. 4 pkt. 4 Rozporządzenia).

Certyfikacja ochrony danych osobowych

Rozporządzenie przewiduje procedurę certyfikacji podmiotów, które przestrzegają zasad Rozporządzenia. Chodzi o upowszechnianie i popularyzację przepisów. A także o budowanie zaufania do podmiotów posługujących się określonymi zasadami.

Podmioty certyfikujące będą musiały być uprzednio akredytowane u GIODO i spełniać szereg wymogów opisanych w art. 43 Rozporządzenia.

Ja przy tej okazji pochwalę się, że w ramach Lex Artist, już certyfikujemy podmioty spełniające aktualnie obowiązujące wymogi prawne (http://chronimydaneosobowe.pl/).

Z chęcią więc skorzystamy z możliwości akredytacji i tym samym podkreślenia rangi naszego certyfikatu.

Rozszerzenie terytorialnego zakresu stosowania europejskich przepisów ochrony danych osobowych

Nowoczesne technologie informatyczne, sprawiły, że dane europejczyków są przetwarzane na ogromną skalę przez podmioty z państw trzecich. Z jednej strony udało się stworzyć największy na świecie obszar o najwyższych standardach ochrony danych osobowych. Z drugiej strony ten obszar jest „infiltrowany” przez organizacje z państw trzecich, które nie muszą liczyć się z przepisami unijnymi.

Odpowiedzią na powyższy stan jest art. 3 ust. 2 Rozporządzenia:

art. 33 ust. 2

Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z: a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

W jaki konkretnie sposób organy UE wymuszą stosowanie przepisów Rozporządzenia przez Facebooka czy Google?  Tego niestety Rozporządzenie nie precyzuje.

Przekazywanie danych do państwa trzeciego

Tutaj również nastąpiły pewne zmiany i przemeblowania. Dokładnie sprecyzowano sytuacje, kiedy Komisja może podjąć decyzję o spełnianiu odpowiedniego stopnia ochrony.

Komisja może uznać za „spełniające odpowiedni stopień ochrony”, zarówno całe państwa jak i poszczególne organizacje.

Wydaje sie jednak, że dla przedsiębiorców najpraktyczniejsze będą inne możliwości zaproponowane przez ustawodawcę.

A więc przede wszystkim tzw. standardowe klauzule umowne i wiążące reguły korporacyjne (funkcjonujące obecnie), a także certyfikaty i kodeksy postępowania akceptowane przez Europejską Radę Ochrony Danych.

Europejska Rada Ochrony Danych

Powstanie również nowy organ unijny: Europejska Rada Ochrony Danych (EROD). Jej zadaniem będzie dbanie o spójne stosowanie przepisów Rozporządzania przez wszystkie organy nadzoru państw UE.

EROD będzie także rozstrzygać spory między organami nadzoru z poszczególnych państw członkowskich oraz nadzorować kwestie związane z Certyfikacją podmiotów.

Podsumowanie

Zmian jest bardzo dużo. Część zmian to prawdziwa rewolucja. Inne to ewolucja i usprawnienie dotychczas obowiązującego systemu.

Systemy ochrony danych osobowych, które były budowane w Państwa organizacjach, trzeba będzie dostosować, a nie budować od podstaw. Doświadczenie zdobyte przy ich budowaniu na pewno nie pójdzie na marne.

Przepisy zaczną oddziaływać bezpośrednio na nasz krajowy porządek prawny 25 maja 2018 roku.

Tymczasem już na wiosnę 2017 roku, planowane jest opublikowanie przez Ministerstwo Cyfryzacji projektu nowelizacji między innymi ustawy o ochronie danych osobowych.

Po 25 maja 2018 roku, ustawa o ochronie danych osobowych nadal będzie obowiązywała ale w „szczątkowej formie”. Zostaną w niej przede wszystkim przepisy dotyczące funkcjonowania GIODO. Cała reszta będzie regulowana na poziomie Rozporządzenia.

Niemniej jednak na powyższe regulacje czekamy z dużą niecierpliwością. Są one z całą pewnością jedną z największych i najważniejszych niewiadomych całej reformy.

Jednak poza niewiadomą w postaci polskiej nowelizacji, mamy już najważniejszą stałą w postaci Rozporządzenia.

Na łamach Bloga, zajmiemy się wnikliwą analizą kolejnych elementów Rozporządzenia. Zaczęliśmy już publikację cyklu artykułów pod roboczą nazwą „RODOready”. Pierwszy artykuł cyklu można przeczytać tutaj: https://blog-daneosobowe.pl/byc-rodo-ready-narazajac-sie-atak-serca/

Wdrożenie podzielimy na kilkanaście odcinków, które będziemy publikować systematycznie. Dzięki temu piątek 25 maja 2018 roku, będzie dla nas jedynie…. powodem do świętowania.

Zapraszamy również do nowego działu: aktualnik RODO. Znajdą się tutaj uporządkowane chronologicznie, wszystkie najważniejsze wydarzenia związane z RODO: https://blog-daneosobowe.pl/aktualnik-rodogdpr/

Treść finalną rozporządzenia, mogą Państwo znaleźć tutaj:

Pobierz treść finalną rozporządzenia w języku polskim
Pobierz
Pobierz treść finalną rozporządzenia w języku angielskim
Pobierz

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
RODO 3, czyli Akt w sprawie sztucznej inteligencji
Rozporządzenie ePrivacy, dlaczego wciąż czekamy i co się zmieni?

19 Odpowiedzi

  1. Ola

    Artykuł fajnie wyjaśnia temat. Osobiscie obawiam sie jednak że znowu prawo nie nadąża za technologią.
    Kary są duże – a jak to wygląda teraz? nie znalazłam informacji żeby nalozono na firmę karę finansową za kwestie związane z ochroną danych

    1. Łukasz Zegarek

      Olu – cieszymy się, że artykuł Ci się podobał;) Jeśli chodzi o obecne kary FINANSOWE (o odpowiedzialności karnej nie piszę), to zależy od tego kto je nakłada. GIODO nakłada kary bardzo bardzo rzadko i to dopiero po niezastosowaniu się do jego decyzji. Zupełnie inną historią są kary nakładane przez sądy (np. za naruszenie dóbr osobistych), czy przez instytucje takie jak UOKiK i UKE (np. za wysyłanie niezamówionej informacji handlowej). Więcej informacji na ten temat zawrzemy w jednym z kolejnych artykułów, który poświęcimy w całości odpowiedzialności z tytułu przetwarzania danych osobowych.

  2. Andrzej

    Mnie za to bardzo interesuje definicja „Jeśli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych)”. Ciekaw jestem co z podmiotami, których główną działalnością nie jest przetwarzanie takich danych, ale w swoich strukturach, jako jeden z elementów pobocznych działań mają i przetwarzają takie zbiory na dużą skalę.

    1. Kancelaria Lex Artist

      Na gruncie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 za główną działalność administratora uznamy wszystkie czynności podejmowane przez administratora, które mają charakter zasadniczy. Na pewno praktyka stosowania rozporządzenia określi kryteria, na podstawie, których dana czynność zostanie uznana za czynność zasadniczą. Na chwilę obecną możemy posiłkować się jedynie przepisami rozporządzenia, które w sposób wyczerpujący określają sytuację, w których ustanowienie inspektora ochrony danych jest obligatoryjne. W każdym przypadku nie wymienionym w art. 37 ust. 1 rozporządzenia administrator lub podmiot przetwarzający będzie mógł podjąć swobodną decyzję dotyczącą wskazania inspektora danych pod warunkiem, że takiego obowiązku nie nałoży na niego prawo państwa członkowskiego lub prawo Unii (art. 37 ust. 4 rozporządzenia). Zatem do podmiotów, których działalnością poboczną jest przetwarzanie danych zastosowanie będzie miała regulacja zawarta w art. 37 ust. 4.

  3. Krzysiek

    Bardzo fajny wpis, wyjaśnia wszystko „w pigułce”.
    Chciałem tylko zwrócić uwagę na zdanie: „Obecnie w Polsce kary nakładane przez GIODO to rzadkość”.

    GIODO nie nakłada kar finansowych, działa zgodnie z zapisem art. 19 ustawy o ochronie danych osobowych.

    „żaden przepis nie uprawnia GIODO do nakładania kar finansowych” – http://www.giodo.gov.pl/560/id_art/8555/j/pl/

    pozdrawiam

    1. Krzysiek

      Przepraszam, źle zinterpretowałem opisaną przez Pana kwestię kar. Miał Pan tu oczywiście na myśli grzywnę za niewykonanie decyzji GIODO a nie karę finansową wynikającą z przepisów karnych określonych w ustawie o ochronie danych osobowych.

      Krzysiek

  4. Mat

    Jakiś czas temu w Rzeczpospolitej przeczytałem, że przetwarzanie danych oparte na dotychczasowych zgodach będzie bezprawne. Czy faktycznie do legalnego przetwarzania danych konieczne będzie pozyskanie nowych zgód od osób które już takich zgód udzieliły na gruncie obowiązujących przepisów?

    1. Kancelaria Lex Artist

      Nie będzie to konieczne jeżeli klauzula zgody na przetwarzanie danych osobowych na podstawie, której przetwarzane są dane osobowe będzie spełniała wszystkie warunki przewidziane w ogólnym rozporządzeniu w sprawie ochrony danych osobowych.

  5. To znaczy że czeka nas seria zmian regulaminów, e-maile z prośbami o kolejne zgody i możliwość pozywania firm i organizacji których zgody straciły ważność a nie przestały przetwarzać danych?

  6. Magda

    Witam. Mam pytanie, założyłam właśnie sklep internetowy, który prowadzę w domu. Nie zatrudniam żadnych pracowników. Do rejestracji w sklepie potrzebny jest wyłącznie adres e-mail, który zapisuje się w panelu administratora w kategorii użytkownicy. Dane osobowe klienci przekazują wyłącznie do wysyłki towaru lub do faktury. Posiadam również formularz kontaktowy. Ale ogólnie nie przetwarzam żadnych danych do jakichś reklam, wysyłania ofert itp., nie przekazuje ich nikomu. Czytając o obowiązku rejestracji w GIODO jestem przerażona, gdyż prowadząc sklep w domu trudno mi stworzyć jakikolwiek sensowny po­li­tykę bez­pie­czeń­stwa ochrony da­nych i in­struk­cję za­rzą­dza­nia sys­te­mem in­for­ma­tycz­nym. Czy w takiej sytuacji muszę rejestrować się w GIODO i tworzyć te dokumenty? Jeśli tak czy dostane jakieś rady odnośnie takich dokumentów. Z góry dziękuję za pomoc.

    1. Kancelaria Lex Artist

      Jeśli czytać prawo literalnie to tak, wszystkie obowiązki związane z ochroną danych osobowych dotyczą również Pani. Samo gromadzenie danych, wystawianie faktur etc., jest już przetwarzaniem danych osobowych.
      Nie zmienia to faktu, że jeśli przetwarza Pani dane w minimalnym zakresie i na niewielką skalę, to przygotowanie odpowiednich polityk będzie zadaniem względnie prostym.
      Co więcej, zastosowanie pewnego poziomu zabezpieczeń może Pani bardzo pomóc jeśli doszłoby do jakiejś trudnej sytuacji, np. kradzieży laptopa.
      W ramach takiej obowiązkowej dokumentacji, musi Pani opisać np. procedury wykonywania kopii zapasowych, ich częstotliwość. Oraz wskazać miejsce przechowywania.
      Wybrać i wdrożyć odpowiednie zabezpieczenie danych przechowywanych w wersji elektronicznej. I znów – nie chodzi tu o jakieś skomplikowane urządzenia. W tego typu sytuacji wystarczy np. zahasłowanie komputera hasłem BIOS. Znam sytuacje, gdzie takie proste do ustawienia hasło utrudniło złodziejowi szybką sprzedaż laptopa. I umożliwiło złapanie sprawcy.
      Chodzi mi o to, że przy odpowiednim podejściu te „formalności” mogą okazać się bardzo praktyczne i pomóc znaleźć słaby punkty systemu zabezpieczeń.
      Polecam nasze artykuły na blogu i szablony dokumentacji:

      https://blog-daneosobowe.pl/wzory-i-szablony-dokumentacji-ochrony-danych-osobowych-polityka-bezpieczenstwa/
      Albo kontakt z nami i przygotowanie całości przez specjalistę.

  7. Blanka

    fajny artykuł choć można by go rozszerzyć o informacje na temat jak dane trzeba niszczyć. To przecież ściśle wiąże się z tematyką bezpieczeństwa. Niestety często się zdarza że dyski z danymi trafiają w ręce osób które deklarują najwyższe standardy, a potem okazuje się ze takie „zniszczone” dane mozna łatwo odzyskać. Pamiętajmy że tylko firmy posiadające ISO oraz potwierdzenie ABW dają gwarancję rzetelnego zniszczenia danych, potwierdzone certyfikatem

    1. Łukasz Zegarek

      Oczywiście, zagadnienie SKUTECZNEGO niszczenia danych osobowych (zarówno w wersji elektronicznej jak i papierowej) to bardzo istotna kwestia. Natomiast nie mieliśmy już miejsca, żeby zająć się nim w artykule poświęconym kluczowym postanowieniom RODO. A do tematu niszczenia danych osobowych jeszcze na blogu wrócimy – poświęcimy mu osobny artykuł.

      1. Blanka

        super, będę z uwagą śledzić bloga. Społeczeństwo trzeba edukować – wiele osób nie zdaje sobie sprawy jakie konsekwencje niesie za sobą nieumiejętne niszczenie danych. Czekam na rzetelny artykuł 🙂

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO