Używamy plików Cookies dla zapewnienia poprawnego działania strony. Zgodnie z prawem, musimy zapytać Cię o zgodę. Proszę, zaakceptuj pliki Cookies i pozwól tej stronie działać poprawnie.
Korzystając z naszej strony akceptujesz zasady Polityki Prywatności.

Wyszukaj na naszej stronie

 
 
piątek, 11 maj 2012 12:57

Nowy – bardziej restrykcyjny model ochrony danych osobowych?

Napisał
Oceń ten artykuł
(0 głosów)
©  yanik chauvin - fotolia.com © yanik chauvin - fotolia.com

Komisja Europejska planuje znaczącą reformę przepisów odnoszących się do ochrony danych osobowych, do tej pory regulowanych dyrektywą 95/46/WE. Reformę zapowiedziała komisarz Viviane Reding na konferencji prasowej w dniu 25 stycznia 2012 r. Komisarz przedstawiła pakiet zmian, których ideą jest unowocześnienie obowiązującego prawa i jego całkowite zharmonizowanie, czyli ujednolicenie we wszystkich krajach Unii. Stąd, podstawowym założeniem jest zastąpienie obowiązującej dyrektywy rozporządzeniem, które obowiązuje bezpośrednio w  każdym kraju członkowskim, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Dotychczasowe stosowanie Dyrektywy 95/46/WE doprowadziło bowiem do znaczących różnic w poziomie ochrony danych osobowych w poszczególnych państwach Wspólnoty.

Jako uzasadnienie planowanych zmian wskazano na konieczność unowocześnienia obowiązujących przepisów ze względu na postępujący rozwój nowych technologii i globalizację, które niosą ze sobą coraz szerszy i łatwiejszy dostęp do danych osobowych. Aktualnie obowiązujące przepisy dyrektywy wprowadzono w 1995 r., gdy Internet był jeszcze na początkowym etapie rozwoju, a z sieci korzystało mniej niż 1% Europejczyków. Reforma ma przede wszystkim zapewnić dostosowanie obowiązujących przepisów do „ery cyfrowej” i wzmocnić prawa jednostek, zwłaszcza w kontekście korzystania z Internetu, ale jednocześnie zapewnić swobodny przepływ danych w ramach jednolitego rynku UE.accreo legal logotyp

 

Dane osobowe to informacje na temat życia prywatnego, zawodowego lub publicznego konkretnej  osoby. Mogą to być którekolwiek z informacji takich jak nazwisko, zdjęcie, adres e-mail, dane bankowe, wpisy na stronach internetowych, informacje medyczne czy adres IP komputera, dzięki którym można bezpośrednio lub pośrednio daną osobę zidentyfikować. Zgodnie z Kartą Praw Podstawowych Unii Europejskiej, każdy ma prawo do ochrony danych osobowych, które go dotyczą, we wszystkich aspektach swojego życia.

 

Główne zmiany które wprowadzi rozporządzenie:
•    Zwiększona odpowiedzialność i rozliczalność podmiotów przetwarzających dane osobowe.
•    Obowiązywanie unijnych przepisów, w przypadku gdy dane osobowe są przetwarzane poza granicami Unii przez przedsiębiorstwa prowadzące działalność na rynku UE i oferujące swoje usługi obywatelom
UE lub które monitorują zachowania obywateli online.
•    „Prawo do bycia zapomnianym” dotyczące ochrony danych online - jeżeli użytkownik nie będzie chciał, aby nadal przetwarzano jego dane i nie ma żadnych uzasadnionych powodów do ich przechowywania, dane zostaną usunięte.
•    Doprecyzowanie pojęcia zgody na przetwarzanie danych - jeżeli wymagane jest jej wyrażenie - zgoda nie może być domniemana i powinna być wyraźne udzielona. Zgoda nie będzie stanowiła podstawy przetwarzania danych osobowych, jeżeli pomiędzy pozycją, w jakiej znajduje się podmiot danych osobowych a administratorem zachodzić będzie „znacząca nierównowaga”.
•    Łatwiejszy dostęp do własnych danych oraz łatwiejsze przenoszenie danych osobowych między usługodawcami, np. między portalami społecznościowymi.
•    Przedsiębiorstwa i organizacje będą musiały niezwłocznie powiadamiać o poważnych naruszeniach danych, o ile to możliwe w ciągu 24 godzin, zarówno organ nadzoru (np. GIODO), jak i osobę, której danych naruszenie dotyczy.
•    Przedsiębiorstwa będą miały do czynienia tylko z jednym krajowym organem ochrony danych – w państwie UE, w którym posiadają swoją główną siedzibę. Osoby fizyczne będą miały prawo przedkładać wszystkie sprawy organowi ochrony danych w swoim kraju, nawet gdy ich dane osobowe przetwarzane są w innym kraju.
•    Rozszerzenie definicji „podmiotu danych” na wszystkie osoby, które mogą zostać zidentyfikowane (bezpośrednio lub pośrednio) przez administratora danych, ale także przez inne osoby fizyczne lub prawne. Identyfikacja, zgodnie z nową definicją, może nastąpić także poprzez dane dotyczące lokalizacji lub identyfikatora online.
•    Zdefiniowanie pojęcia danych genetycznych oraz danych biometrycznych.
•    Zaostrzenie przepisów dopuszczających możliwości profilowania opartego na automatycznym przetwarzaniu danych osobowych.

Rozporządzenie rozbudowuje również obowiązki informacyjne administratora danych. Także struktura dokumentacji jaką powinien posiadać administrator danych będzie miała znacznie bardziej rozbudowany charakter. Pojawi się obowiązek podawania planowanego okresu przechowywania i przetwarzania danych osobowych oraz daty ich zgromadzenia, obowiązek przedstawiania na żądanie dowodu zgody użytkownika na przetwarzanie danych udzielonej na piśmie, udostępnienia kontaktu do osoby odpowiedzialnej w firmie za bezpieczeństwo przetwarzania danych osobowych, czy też konieczność opracowania dokumentu o konsekwencjach wycieku przetwarzanych danych osobowych. Firmy będą musiały posiadać dokumentację procesu przetwarzania i magazynowania danych osobowych, wraz z opisem tego, komu i po co dane te są przekazywane. Jeśli firma będzie chciała przekazać dane do kraju, w którym przepisy nie wymagają wysokiej ochrony danych osobowych, będzie obowiązana zapewnić w kontrakcie odpowiedni poziom ich ochrony oraz uzyskać zgodę osób, których dane przekazuje, a także krajowego inspektora ochrony danych osobowych. Nowym elementem będzie także obowiązek wyznaczenia przez administratora danych osoby pełniącej funkcję inspektora ochrony danych w przedsiębiorstwie. Powyższy obowiązek dotyczyć ma administratorów, którzy zatrudniają więcej niż 250 osób lub są podmiotem publicznym lub ich główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych. Skutkiem wprowadzenia takiej regulacji z pewnością będzie powstanie obowiązku powołania inspektorów w wielu podmiotach ze sfery prywatnej i publicznej.

 

Sankcje za nieprzestrzeganie przepisów
Planowane zmiany przewidują również wysokie kary za zaniedbania w ochronie danych oraz obowiązek płacenia odszkodowań użytkownikom. Najniższa z przewidzianych sankcji to 250 000 EUR lub w przypadku przedsiębiorców, kara wynosząca do 0,5% ich rocznego światowego dochodu, np. za nieudostępnianie możliwości darmowego przeglądania, poprawiania i kasowania swoich danych przez użytkowników. Grzywną do pół miliona euro albo procenta globalnego obrotu zostanie ukarana firma, która nie honoruje żądania zapomnienia o użytkowniku, albo nie prowadzi dokumentacji procesu przetwarzania danych osobowych. Natomiast najwyższa kara w wysokości 1 000 000 EUR lub, w przypadku przedsiębiorców kara do 2% rocznego dochodu przewidziana między innymi za przetwarzanie danych użytkowników bez ich zgody lub bez odpowiedniej podstawy prawnej, czy też na podstawie zgody, która nie spełnia przesłanek wskazanych w Rozporządzeniu.
Dla przykładu, obecnie polski GIODO również może nakładać grzywny, jednak są to znacznie mniejsze kwoty. przedsiębiorca, który lekceważy zalecenia generalnego inspektora może być ukarany karą 50 tys. zł, zaś osoba fizyczna karą 10 tys. zł. Kara może być nakładana wielokrotnie - na osobę fizyczną aż do wysokości 50 tys. zł, zaś w przypadku przedsiębiorców - w sumie do 200 tys. zł. Za niektóre naruszenia przepisów ustawy (np. przetwarzanie danych których przetwarzanie jest niedopuszczalne lub utrudnianie kontroli) grozi kara ograniczenia wolności nawet do 2 lat. Co ważne, kara może być orzeczona zarówno wobec pracownika, który utrudni pracę GIODO, jak i wobec kierownictwa firmy. Zgodnie z raportami udostępnianymi przez urząd, od 2007 roku wpłynęło do niego ponad 5,5 tys. skarg dotyczących naruszeń przepisów o ochronie danych przeprowadzono ponad 1000 kontroli i skierowano do organów ścigania ponad 100 zawiadomień o popełnieniu przestępstwa. Dlatego, w oczekiwaniu na zmianę unijnych przepisów, warto upewnić się, czy w naszych firmach przepisy wciąż obowiązującej ustawy o ochronie danych osobowych są przestrzegane i czy stosujemy procedury zapewniające należytą ochronę danych.

 

Omawiana regulacja jest aktualnie w fazie projektu. Projekt Komisji został przekazany do prac w Parlamencie Europejskim i państwach członkowskich UE. Rozporządzenie ma wejść w życie w ciągu dwóch lat po jego przyjęciu. Zgodnie z obowiązującą w Unii procedurą, prawdopodobnie z początkiem 2015 roku. Wiele rozwiązań przyjętych w rozporządzeniu ma również zostać doprecyzowanych za pomocą aktów wykonawczych wydawanych przez Komisję Europejską. Analizując planowane zmiany można przypuszczać, że dostosowanie procedur obowiązujących w firmach przetwarzających dane osobowe do nowych regulacji będzie czasochłonne i może wymagać od przedsiębiorców wprowadzenia wielu nieznanych dotąd rozwiązań.
Dlatego warto już dziś zastanowić się, czy rozporządzenie będzie miało wpływ na funkcjonowanie firmy i wymagało podjęcia działań związanych z ochroną danych osobowych znajdujących się w naszych bazach.

Czytany 6073 razy
Reklama:
Najnowsze