Zmiany w ochronie danych osobowych

Od dnia 25 maja 2018 r. (Rozporządzenie o ochronie danych osobowych przyjęte przez Parlament Europejski i Radę, nr 2016/679 w dniu 27.04.2016 r.) obowiązywać nowe unijne zasady ochrony danych osobowych, uzupełniające dotychczasowe przepisy i wymagania.

Wejście w życie zmian będzie oznaczało nowe kary pieniężne, możliwe do nałożenia przez GIODO w przypadku naruszenia przepisów o ochronie danych osobowych. Do daty wejścia w życie unijnego rozporządzenia, każdy podmiot przetwarzający dane osobowe powinien wdrożyć nowe regulacje.

CO NIECO O EUROPEJSKIM ROZPORZĄDZENIU O OCHRONIE DANYCH OSOBOWYCH

W pierwszej kolejności należy wskazać, że od maja 2018 roku zacznie obowiązywać zmodyfikowana definicja zgody na przetwarzanie danych osobowych, znacznie rozszerzająca elementy, których tylko łączne spełnienie gwarantuje skuteczność udzielonej zgody. A mianowicie, w trakcie uzyskiwania danych osobowych od podmiotu, którego te dane dotyczą, podmiot ten musi być każdorazowo poinformowany o swobodzie udzielenia zgody administratorowi danych (tzw. ADO). Osoba, która ma zamiar udzielić zgody na przetwarzanie (np. rodzic dziecka, zawierając umowę z przedszkolem albo rodzic dziecka, składając oświadczenie o wyrażeniu zgody na umieszczenie wizerunku dziecka wraz ze wskazaniem jego imienia i nazwiska na internetowym portalu społecznościowym lub stronie internetowej żłobka) powinien być przekonany, że brak tej zgody nie wywoła dla niego negatywnych skutków zarówno prawnych, jak i finansowych. Administrator danych nie powinien również uzależniać wyrażenia przez osobę zgody na przetwarzanie danych osobowych w sytuacji, w której podmiot ten dodatkowo chciałby zyskać zgodę na przetwarzanie tych samych danych, jednak w innym celu (np. zgoda na umieszczenie danych osobowych dziecka na stronie internetowej i jednocześnie wyrażenie zgody na otrzymywanie od przedszkola „newslettera”). Ponadto, podmiot ten powinien być informowany o okresie, przez który będą przechowywane jego dane osobowe. Niedostosowanie wymogów do nowego rozporządzenia bądź ich niespełnienie może oznaczać dla administratora danych ryzyko nałożenia wysokiej kary pieniężnej. Kara ta może osiągnąć wysokość nawet 4% całkowitego, rocznego, światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (górna wysokość kary może wynieść do 20 mln EUR).

PRAWO DO BYCIA ZAPOMNIANYM

Prawo do bycia zapomnianym wprowadzone europejskimi przepisami oznacza przede wszystkim prawo podmiotu do usunięcia jego danych osobowych na każde jego wezwanie. Dodatkowo, w przypadku, gdy podmiot, którego dane dotyczą złoży do administratora żądanie usunięcia jego danych, ADO powinien poinformować o tym innych administratorów danych w celu usunięcia przez nich danych osobowych z uwzględnieniem różnych możliwości technicznych. Uprawnienie to będzie ważne także z punktu widzenia osób, które nigdy nie wyraziły zgody na przetwarzanie danych osobowych dla konkretnego podmiotu. Czy technicznie będzie możliwe w każdym przypadku trwałe usunięcie danych osobowych np. z sieci internetowej? Rozporządzenie obliguje do tego, że należy wziąć pod uwagę dostępną technologię i koszty realizacji.

CZY WARTO POWOŁAĆ ABI?

W wyniku nowelizacji zmianie ulegnie również nazwa z dotychczasowej: „administrator bezpieczeństwa – ABI”, na nową „inspektor ochrony danych osobowych”. Obecnie pełnienie funkcji ABI nie jest obowiązkowe, jednak w przypadku zawarcia z taką osobą umowy, jednym z obowiązków ABI jest zapewnienie prawidłowej ochrony danych osobowych. Ponadto ABI prowadzi zbiory danych osobowych, co oznacza, że podmiot, który jest zobowiązany do ich złożenia, nie musi ich formalnie zgłaszać do GIODO. Może się to okazać korzystne, jeśli dana organizacja posiada sporo zbiorów danych osobowych. ABI jako osoba o znajomości i wiedzy w zakresie przepisów o ochronie danych osobowych, mogłaby przeprowadzić audyt procesu przetwarzania danych osobowych u danego administratora oraz wskazać błędy i dalsze zalecenia.