RODO – zmiany w przepisach dotyczących ochrony danych osobowych

ochrona danych osobowych

Po ponad 20 latach od uchwalenia dyrektywy 95/46/WE, będącej podstawą prawną ochrony danych w Polsce, nastąpi wprowadzenie nowych przepisów. Przedstawiamy kompendium najważniejszych zmian w przepisach dotyczących ochrony i przetwarzania danych osobowych przyjętych przez Parlament Europejski i Radę Unii Europejskiej w dniu 27 kwietnia 2016 r. Regulacje zaczną obowiązywać 25 maja 2018 roku i bezpośrednio dotyczą działań związanych między innymi z E-mail marketingiem. Dlatego już dziś warto się z nimi zapoznać i przygotować się do wdrażania odpowiednich systemów oraz zabezpieczeń.

Celem Rozporządzenia o Ochronie Danych Osobowych w Unii Europejskiej  (RODO) –  ang. General Data Protection Regulation (GDPR) jest ujednolicenie ochrony i bezpieczeństwa danych osobowych w całej Unii Europejskiej. Trzeba przyznać, iż w ciągu ostatnich lat mamy do czynienia z postępem technologicznym o niespotykanej dotychczas skali, dlatego regulacje musiały zostać dostosowane do zdigitalizowanego społeczeństwa i znacząco zmienią zakres obowiązków podmiotów pozyskujących, przetwarzających, magazynujących dane osobowe.

Jak RODO wpłynie na świat marketingu oraz osób działających w sieciach afiliacyjnych? Co należy wziąć pod uwagę, by przygotować przedsiębiorstwo na nadchodzącą rewolucję? O komentarz poprosiliśmy Kamila Henne – prawnika z kancelarii eMediator Legal:

porównanie przepisów
„Firmy nie mają już wiele czasu na przygotowanie się do nadchodzących zmian pod kątem organizacyjno – technicznym, jak i prawnym. Właściciele firm, menedżerowie, a także osoby odpowiedzialne za przetwarzanie baz danych osobowych w firmie (np. informatycy, pracownicy marketingu) powinni wykorzystać obecny czas na to, aby przygotować swoje organizacje do nowych przepisów, tym bardziej, iż nowe kary administracyjne za nieprzestrzeganie przepisów RODO będą nieporównywalnie wyższe niż ma to miejsce na gruncie jeszcze obowiązujących przepisów. Dlatego zalecam weryfikację wykorzystywanych klauzul zgód, regulaminów stron internetowych, polityk prywatności, dokonania audytu wykorzystywanych systemów informatycznych służących do przetwarzania danych osobowych oraz wytypowanie osoby, która będzie pełnić funkcję Inspektora Ochrony Danych, zanim będzie za późno”.

Przyjrzyjmy się bliżej najistotniejszym zmianom.

Po wprowadzeniu zmian regulacje prawne będą dotyczyły podmiotów przetwarzających dane osobowe, których siedziba znajduje się zarówno na terenie państwa członkowskiego Unii Europejskiej, jak i poza jej granicami (w przypadku, gdy dane należą do osób przebywających w UE, a ich wykorzystywanie będzie związane z oferowaniem towarów, usług oraz monitorowaniem ich zachowania w UE). Ważną kwestią jest także ułatwienie dla grup kapitałowych i organizacji przetwarzających dane osobowe w więcej niż jednym państwie UE administrowania tych samych danych. W takich przypadkach konieczne będzie wskazanie jednostki organizacyjnej, która będzie pełniła funkcję głównego organu zarządzającego we wszystkich sprawach. Miejsce Administratora Bezpieczeństwa Danych zajmie wspomniany już Inspektor Danych Osobowych, który będzie zobowiązany do współpracy z GIODO by nadzorować zgodność działalności przedsiębiorstwa z prawem oraz z którym będą mogły kontaktować się osoby w sprawach bezpośrednio dotyczących ich danych osobowych.

Zamiast stosowanej dotychczas rejestracji zbioru danych osobowych w GIODO wprowadzony zostanie rejestr czynności przetwarzania danych obejmujący między innymi następujące obowiązki podmiotów zobowiązanych:

  • Uzyskanie zgody na przetwarzanie danych rozumiane jako oświadczenie lub wyraźnie działanie stanowiące przejaw dobrowolnego, świadomego, konkretnego i jednoznacznego przejawu woli, będącego potwierdzeniem przyzwolenia na przetwarzanie danych przez podmiot. Przetwarzanie danych osób poniżej 16 roku życia będzie możliwe jedynie po uzyskaniu zgody opiekuna prawnego.
  • Rozszerzone obowiązki informacyjne – dane osobowe mogą być gromadzone jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego osiągnięcie nie jest możliwe przy użyciu innych sposobów, informacja o celu oraz okresie przechowywania musi być określona w momencie pozyskiwania danych. Oznacza to każdorazowe pozyskiwanie zgody, w przypadku, gdy zmienia się cel zbierania danych.
  • Zgłaszanie naruszenia bezpieczeństwa danych osobowych odpowiedniemu organowi nadzorczemu oraz osobom, których dane dotyczą – administrator jest zobowiązany, w terminie nie dłuższym niż 72 godziny, do zgłoszenia naruszeń, a gdy wystąpiło wysokie ryzyko zagrażające prawom lub wolności osób fizycznych o zaistniałym fakcie należy, w prosty, jasny, zwięzły i przystępny sposób, poinformować również także te osoby, których sytuacja dotyczy.
  • Rozszerzenie definicji danych osobowych oraz katalogu danych wrażliwych – dane osobowe według nowej, szczegółowej definicji odnoszą się wprost do danych dotyczących tożsamości fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej kulturowej społecznej i położenia osób fizycznych. Do katalogu danych wrażliwych dodane zostały dane genetyczne oraz biometryczne.
  • Regulacja prawna profilowania – administrator danych osobowych będzie musiał wykazać prawną podstawę (wyraźną zgodę) upoważniającą do zautomatyzowanego przetwarzania danych osobowych.

Kolejną nowością jest uwzględnienie ochrony już na wstępnym etapie projektowania systemów. Tak zwane “Privacy by design” to zupełnie nowa koncepcja obligująca podmioty przetwarzające dane osobowe do proaktywnej postawy względem nowych przepisów. Oznacza to rozpatrywanie takich rozwiązań, aby już na wczesnym etapie opracowywania uwzględniały one niezbędną ochronę danych, jeszcze zanim produkt zostanie wprowadzony na rynek.

Od maja 2018 będzie także obowiązywać konieczność oceny ryzyka i skutków planowanych operacji, zgodne z którą administrator będzie zobowiązany do samodzielnego wprowadzenia i ewentualnych aktualizacji odpowiednich środków technicznych, aby umożliwić zgodne z prawem przetwarzanie danych osobowych. Jednocześnie przed rozpoczęciem działań zobowiązany będzie do dokonania oceny skutków planowanych operacji dla prywatności.

Wraz z wejściem w życie RODO zmienią się uprawnienia osób fizycznych do ochrony ich danych. Obowiązujące obecnie prawo do bycia zapomnianym, czyli prawo do żądania usunięcia danych zostanie uzupełnione o prawo do przeniesienia danych. Osoba fizyczna będzie miała nie tylko prawo otrzymać od administratora swoje dane, ale także, przy sprzyjających możliwościach technologicznych, nakazać przesłanie tych danych bezpośrednio do innego administratora. Dzięki prawie do sprzeciwu osoby fizyczne i podmioty, których dane będą przetwarzane w interesie publicznym lub w związku z uzasadnionym interesem administratora będą mogły zakwestionować te działania. Rozporządzenie umożliwia także składanie skarg. W Polsce organem nadzoru, do którego będzie można zgłaszać skargi będzie GIODO, nie mniej jednak będzie możliwość odwołania się od decyzji GIODO do sądu. W przypadku naruszenia RODO, za wyrządzone szkody materialne i niematerialne, będzie przysługiwać prawo do odszkodowania.

Dla przedsiębiorców jedną z najważniejszych kwestii są możliwe sankcje za działania niezgodne z przepisami. Przewidziane maksymalne wysokości kar będą znacznie wyższe niż obecnie. W zależności od rodzaju naruszenia, kary finansowe będą oscylować w wysokości 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu naliczanego na podstawie obrotu w roku poprzednim. Jednakże, gdy dojdzie do naruszenia przepisów dotyczących praw obywatelskich grzywna może wynieść nawet do 20 000 000 EUR lub 4% całkowitego światowego obrotu liczonego na podstawie obrotu w roku poprzednim, przy czym zastosowanie będzie mieć kwota wyższa. Co ważne, kary te będą miały charakter administracyjny, znaczy to, iż organ nadzoru będzie orzekał nie o winie czy jej stopniu, a o fakcie zaistnienia danego naruszenia przepisów.

Mam nadzieję, że artykuł Ci się spodobał. 
Chcesz wiedzieć więcej? Koniecznie zapisz się do naszego newslettera. Warto!

Komentarze:

TWÓRZ Z NAMI AFILL.ME

Masz Newsa? Chciałbyś przeczytać o czymś na naszym blogu?
NAPISZ DO NAS

Treść wiadomości

Imię

Email

Wyrażam zgodę na przetwarzanie danych osobowych Pełna treść klauzuli