Jesteś w: Strona główna » Biznes » Firma

Ochrona danych osobowych - najważniejsze zmiany (cz.1)

23.11.2013 20:04  Firma
Ochrona danych osobowych - najważniejsze zmiany (cz.1)
Ustawa o ochronie danych osobowych  z dnia 29 sierpnia 1997r. (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm) obchodzi właśnie 15-lecie obowiązywania. Przez te lata pojęcia zdefiniowane w przepisach ustawy (uodo) utrwaliły się w świadomości obywateli (osób, których dane dotyczą) oraz przedsiębiorców przetwarzających dane osobowe (administratorów danych).

Ten ustalony porządek ulegnie wkrótce zmianie za sprawą przygotowywanej przez Komisję Europejską rewolucji w przepisach regulujących zasady przetwarzania danych osobowych w krajach członkowskich UE.

W styczniu 2012 r. zaprezentowany został projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem i swobodnym przepływem danych osobowych, które wprowadza odmienny od dotychczasowego sposób podejścia do przetwarzania danych osobowych. Ta odmienność związana jest przede wszystkim z pojawieniem się nowych lub z dużym zmodyfikowaniem już istniejących obowiązków dla administratora danych, praw osób, których dane dotyczą, oraz wprowadzeniem kar finansowych dla podmiotów naruszających przepisy rozporządzenia.

Warto podkreślić fakt, że zawarcie regulacji odnoszących się do przetwarzania danych osobowych nastąpiło w formie rozporządzenia, co oznacza bezpośrednią stosowalność tych przepisów w każdym państwie członkowskim UE bez konieczności ich implementacji w akcie prawa krajowego.

Z punktu widzenia przedsiębiorcy przetwarzającego dane osobowe najważniejszą zmianą wydaje się być wprowadzenie w rozporządzeniu kar finansowych za naruszenie jego przepisów. Obecnie obowiązujące przepisy o ochronie danych osobowych takich kar bowiem nie przewidują. Przedsiębiorca jest jedynie narażony na grzywny, które mogą zostać na niego nałożone w trybie przewidzianym przepisami ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r., Nr 229, poz. 1954 z późn. zm.) w sytuacji nie wykonania przez niego nakazów zawartych w decyzji wydanej przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) oraz przez sąd w związku z prowadzonym postępowaniem karnym w sprawach o przestępstwa opisane w rozdziale 8 uodo.

Wysokość kar finansowych przewidzianych w rozporządzeniu jest oczywiście zróżnicowana i uzależniona od rodzaju naruszenia. Przykładowo, za niedopełnianie wobec osób, których dane dotyczą, obowiązku informacyjnego przedsiębiorcy grozi kara finansowa do wysokości 500 000 Euro lub do 1 % rocznego światowego obrotu przedsiębiorstwa. Z kolei w  przypadku przetwarzania danych bez podstawy prawnej kara ta może sięgnąć 1 000 000 Euro lub 2 % rocznego światowego obrotu przedsiębiorstwa. Jak z powyższego wynika, określone zostały górne limity kary finansowej.

Ponadto, przy jej określaniu organ nadzorczy (on jest bowiem uprawniony do nakładania kar finansowych, w Polsce zatem będzie to należało do zadań GIODO) jest zobowiązany uwzględnić m.in. charakter, powagę i czas trwania naruszenia, umyślny bądź nieumyślny charakter naruszenia, stopień współpracy z organem nadzorczym w celu usunięcia naruszenia. Podana w rozporządzeniu wysokość kary finansowej odnosi się do naruszenia konkretnego przepisu, w przypadku naruszenia kilku z nich będzie prowadziło do kumulacji kary.

Kolejną istotną zmianą w porównaniu do aktualnie obowiązujących przepisów uodo, jest znaczne rozbudowanie regulacji dotyczącej osoby odpowiedzialnej za nadzór nad przetwarzaniem danych osobowych zgodnie z przepisami prawa, czyli inspektora ochrony danych, a więc dzisiejszego administratora bezpieczeństwa informacji. Nie każdy przedsiębiorca będzie zobowiązany do wyznaczenia takiej osoby. To obowiązek przedsiębiorcy, który zatrudnia co najmniej 250 osób, a także tego, którego główna działalność polega na operacjach przetwarzania danych osobowych np. przedsiębiorca prowadzący działalność w zakresie marketingu bezpośredniego).

Powołanemu inspektorowi ochrony danych należy zapewnić możliwość niezależnego wykonywania obowiązków oraz wyposażyć go w personel, pomieszczenia, sprzęt i zasoby niezbędne do realizacji zadań. Kadencja inspektora trwa co najmniej 2 lata z możliwością powoływania tej samej osoby na kolejne kadencje. Co więcej, możliwość odwołania ze stanowiska przed upływem kadencji, może nastąpić jedynie wówczas, gdy osoba powołana na inspektora ochrony danych, przestała spełniać warunki niezbędne do pełnienia swoich obowiązków.  Powyższe zmiany w przepisach przełożą się na wzmocnienie pozycji inspektora, a w konsekwencji zwiększą poziom ochrony danych osobowych u przedsiębiorcy. Wymienione wyżej przykłady to tylko część zmian wynikających z przepisów przedstawionego projektu rozporządzenia.

Najważniejsze pytanie, na które nikt nie zna jeszcze odpowiedzi, odnosi się do daty, od której rozporządzenie zacznie obowiązywać?  Wiadomo jedynie, że rozporządzenie wchodzi w życie po upływie 20 dni od opublikowania go w Dzienniku Urzędowym UE. I od tego terminu jest liczony dwuletni okres czasu na dostosowanie się do wynikających z niego wymogów.

Z informacji przekazywanych przez Ministerstwo Administracji i Cyfryzacji, które jest podmiotem odpowiedzialnym za prace nad projektem rozporządzenia na forum Rady Unii Europejskiej, wynika, że zarówno Parlament Europejski, jaki i Rada Unii Europejskiej, dążą do tego, aby rozporządzenie zostało przyjęte jeszcze w 2013 r. lub na początku 2014 r. Otwarte pozostaje również pytanie o ostateczny kształt rozporządzenia. W Parlamencie Europejskim trwa obecnie walka biznesu z organizacjami obrońców prywatności o jak najlepsze dla każdej z tych grup zapisy rozporządzenia. 

Czytaj część 2.

Czytaj część 3.


Adam Myziak
Audytor wiodący
Personal Data Protection Group

kk
 

Jeśli zainteresował Cię ten artykuł, już teraz możesz zapisać się do naszego newslettera:

  • RSS
Dodaj artykuł do: Facebook Wykop.pl twitter.com

Komentarze

  

Dodaj komentarz (10-500 znaków)

biznes