W 2018 roku wejdą w życie przepisy unijne, które znacząco zmodyfikują zasady ochrony danych osobowych. Na podmioty je przetwarzają nałożonych zostanie szereg nowych obowiązków. Na czym polegać będą najważniejsze zmiany?

Na podstawie Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 IV 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE z 2016 r. L 119, s. 1) - skrótowo określanym „RODO”, od 25 maja 2018 r. znaczącej zmianie ulegną obowiązki w zakresie ochrony danych osobowych. Przepisy będą jednolite dla wszystkich krajów członkowskich UE. Rozporządzenie spowoduje, że wiele przepisów polskiej ustawy o ochronie danych osobowych ulegnie zmianie lub w ogóle przestanie obowiązywać.

Nowe zasady wejdą w życie w sposób bezpośredni, co oznacza, że nie będą wymagać krajowej implementacji. Ich celem jest wzmocnienie pozycji osób fizycznych i większą ochronę ich danych osobowych m.in. poprzez nałożenie nowych obowiązki na przedsiębiorców oraz pozostałe podmioty. Pomimo faktu, iż RODO zacznie obowiązywać dopiero za niecały rok, to nowe obowiązki – m.in. w zakresie zabezpieczenia danych osobowych i zgłaszania naruszeń - są na tyle istotne, a sankcje z nimi związane na tyle surowe, że przedsiębiorcy powinni zapoznać się z nadchodzącymi zmianami. Poniżej przedstawiamy część z nich.

Modyfikacja konstrukcji zgody na przetwarzanie danych

Podstawową zmianą przewidzianą w RODO jest zmiana procedury pozyskiwania zgody na przetwarzanie danych osobowych. Dostosowanie procedury do nowych przepisów jest o tyle istotne, że uzyskanie zgody w sposób nieprawidłowy będzie powodowało nieważność udzielonej zgody, a tym samym przedsiębiorca nie będzie mógł na jej podstawie przetwarzać uzyskanych danych osobowych. Nowe przepisy rozszerzają obowiązek informacyjny podczas zbierania danych. Katalog sytuacji, w których możliwe jest przetwarzanie danych osobowych, zasadniczo nie ulegnie zmianie i przetwarzanie będzie zgodne z prawem jeśli spełniony będzie jeden z warunków wskazanych w RODO, m.in. przetwarzanie będzie niezbędne do wykonania umowy lub do podjęcia działań przed samym zawarciem umowy, przetwarzanie będzie niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze itd. Dodatkowo, rozporządzenie doprecyzowuje jakie warunki powinna spełniać wyżej wskazana zgoda.

Jak wynika z treści punktu 32 RODO, „Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia”. W praktyce oznacza to, że tzw. formularze zgody powinny być sformułowane jasnym i czytelnym językiem. Formularze niezrozumiałe bądź zbyt zawiłe dla osoby, której dane mają być przetwarzane mogą okazać się wadliwe, a zgoda - uznana za bezskuteczną.

W formularzach zgody koniecznym będzie poinformowania osoby, której dane będą przetwarzane m.in. o tym, jakie jej dane i w jakim celu są zbierane, kto będzie je przetwarzał, ze wskazaniem informacji kontaktowych do inspektora danych osobowych w danej jednostce czy instytucji. Znajdzie się tam również informacja, na jakiej podstawie i komu będą mogły być udostępnione dane, a także wzmianka o prawach osoby, której dane są przetwarzane: do usunięcia, przeniesienia danych, ograniczenia lub cofnięcia zgody na ich przetwarzanie. Powyższe informacje mają także zostać przedstawione w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Szczególną ochroną w zakresie wyrażenia zgody RODO objęło osoby małoletnie - do przetwarzania danych dziecka poniżej szesnastego roku życia konieczne będzie uzyskanie zgody jego opiekuna prawnego.

Automatyczne zaznaczanie zgody przez administratora danych będzie zabronione

Powszechną praktyką jest domyślne lub automatyczne zaznaczanie przez administratorów danych osobowych (podmioty przetwarzające dane) okienek ze zgodą osób, których dane mają być przetwarzane. Przyjęte rozporządzenie RODO zabrania natomiast całkowicie stosowania takiej praktyki. Zgodnie z treścią rozporządzenia, wyrażenie zgody będzie mogło odbywać się jedynie poprzez faktyczne zaznaczenie pól z wyrażeniem zgody na przetwarzanie danych osobowych. Wyrażenie zgody musi więc wiązać się z aktywnym działaniem osoby fizycznej. Zgoda musi być konkretna. Nadto, niedopuszczalna jest ogólna zgoda, bez dokładnego określenia celu przetwarzania. Aby zgoda była konkretna, musi być zrozumiała, powinna wyraźnie i precyzyjnie odnosić się do zakresu oraz konsekwencji przetwarzania danych.

„Prawo do bycia zapomnianym”

Kolejną interesująca zmianą jest wprowadzenie tzw. „prawa do bycia zapomnianym”. Jest to uprawnienie osoby, której dane dotyczą do żądania od administratora danych niezwłocznego usunięcia dotyczących jej danych osobowych. W praktyce, na skutek wycofania zgody, dane powinny zostać usunięte ze wszystkich systemów danego przedsiębiorcy.

Żądanie to może zostać wysunięte w następujących przypadkach:
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
2) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się i nie ma innej podstawy prawnej przetwarzania;
3) osoba, której dane dotyczą, na mocy art. 21 ust. 1 rozporządzenia wnosi sprzeciw wobec przetwarzania danych i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub osoba, której dane dotyczą, w oparciu o art. 21 ust. 2 rozporządzenia wnosi sprzeciw wobec przetwarzania;
4) dane osobowe były przetwarzane niezgodnie z prawem;



5) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
6) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 rozporządzenia.

Jak można zauważyć, „prawo do bycia zapomnianym” zostało ukształtowane w rozporządzeniu dość szeroko i w konsekwencji nałoży na administratorów danych nowe obowiązki.

Ponadto, powyższe uprawnienie jest jednym z wielu, które będą przysługiwało osobom fizycznym. Innymi są m.in. prawo sprzeciwu czy też prawo do przeniesienia danych.

Zasada „One stop shop”

Kolejnym ważnym założeniem RODO jest zasada „One stop shop”, zgodnie z którą, w przypadku grup przedsiębiorstw, bądź pojedynczej spółki oferującej usługi na terenie kilku krajów Unii Europejskiej, główna jednostka organizacyjna będzie mogła wybrać właściwy organ ochrony danych osobowych właściwy dla całej grupy (np. GIODO). Wprowadzenie powyższej zasady jest bardzo korzystnym rozwiązaniem dla tego typu przedsiębiorstw, ponieważ na dzisiaj przedsiębiorstwa prowadzące działalność na obszarze kilku państw UE muszą mieć do czynienia z organami ochrony danych właściwymi dla każdego państwa.

Wysokie kary pieniężne

Niestosowanie się do przepisów RODO będzie niosło za sobą dotkliwe konsekwencje. Jako jedne z podstawowych należy wskazać:
1) odpowiedzialność finansową – kary nawet do 20.000.000 EURO lub, procentowo - do 4% rocznego światowego obrotu, w zależności od tego, która kara jest dotkliwsza,
2) odpowiedzialność cywilną – każda osoba, która poniesie jakąkolwiek szkodę w wyniku naruszenia nowego rozporządzenia przez przedsiębiorcę przetwarzającego jej dane, będzie miała prawo do żądania odszkodowania.

Mając na uwadze nadchodzące zmiany rekomendujemy dokładne zapoznanie się z postanowieniami RODO oraz dokonanie weryfikacji dokumentacji dot. przetwarzania danych osobowych. Skutki nieprzestrzegania przepisów dot. ochrony danych osobowych w świetle nowych przepisów mogą okazać się dla przedsiębiorców bardzo dotkliwe.

Sylwia Kilińska