Choć nowe przepisy o ochronie danych wejdą w życie dopiero za dwa lata, to przedsiębiorcy już dzisiaj powinni zacząć się do nich przygotowywać - ostrzega Generalny Inspektor Ochrony Danych Osobowych - dr Edyta Bielak-Jomaa.
Choć nowe przepisy o ochronie danych wejdą w życie dopiero za dwa lata, to przedsiębiorcy już dzisiaj powinni zacząć się do nich przygotowywać - ostrzega Generalny Inspektor Ochrony Danych Osobowych - dr Edyta Bielak-Jomaa.
Na pewno będzie pan miał większe niż dotychczas uprawnienia, choćby głośno komentowane prawo do bycia zapomnianym. W określonych sytuacjach, np. gdy cofnie pan zgodę na przetwarzanie swoich danych, będzie pan również mógł zażądać wykasowania innych informacji: swoich wpisów w internecie czy zdjęć. Administrator będzie zobowiązany to żądanie spełnić, a w dodatku poinformować wszystkich innych administratorów, którym dane przekazał, by również je usunęli.
Biorąc pod uwagę chociażby to, że rozporządzenie dotyczy wyłącznie podmiotów z UE, to rzeczywiście trudno mieć nadzieję, że prawo do bycia zapomnianym będzie w 100 proc. egzekwowalne. Problematyczne może być chociażby żądanie wykasowania określonych danych z chińskich serwerów. Niemniej bez wątpienia rozporządzenie wzmacnia pana prawa, choć w praktyce rzeczywiście może być pan zmuszony wysuwać żądanie usunięcia swoich danych do wielu serwisów oddzielnie.
Przede wszystkim łatwiejsze dochodzenie swoich praw. Polak będzie mógł złożyć do generalnego inspektora ochrony danych osobowych skargę na dowolny serwis, także spoza UE, i oczekiwać wydania decyzji. Jeśli zostanie ona zaskarżona, to sprawą zajmą się polskie sądy. Pozwoli to na realne dochodzenie roszczeń, dziś utrudnione chociażby ze względu na koszty prowadzenia sprawy sądowej za granicą.
/>
Status nowych regulacji. Jest to rozporządzenie, a więc będzie obowiązywać w sposób bezpośredni we wszystkich państwach Unii Europejskiej bez konieczności implementacji do krajowych porządków prawnych. Po jego wejściu w życie będziemy mieli do czynienia z pełną harmonizacją unijnego prawa. Administratorzy danych osobowych będą mieli wszędzie te same obowiązki, a podmioty danych te same prawa. Nie oznacza to oczywiście, że nie ma pewnego marginesu swobody. Nowe regulacje pozostawiają ją chociażby w kwestii kościołów i związków wyznaniowych czy prawa pracy, niemniej są to wyjątki od reguły, którą będzie jednolite prawo dla całej UE.
Wręcz przeciwnie. Musimy dostosować całe polskie prawo do unijnego rozporządzenia. Powiem tylko, że według szacunków Rządowego Centrum Legislacji do przejrzenia jest ok. 800 ustaw. Konieczne są też nowe przepisy dotyczące chociażby monitoringu wizyjnego. Pracy jest więc ogrom. Poza tym polski ustawodawca musi podjąć wiele decyzji, które rozporządzenie pozostawia w gestii państw członkowskich. Z jednej strony są to wspomniane już szczególne regulacje dotyczące chociażby związków wyznaniowych czy prawa pracy, z drugiej kwestie proceduralne, jak umiejscowienie organu zajmującego się ochroną danych osobowych.
Rozporządzenie daje trzy możliwości. Pierwsza to organ administracyjny, czyli GIODO. Druga to rzecznik ochrony danych, czyli organ na kształt rzecznika praw obywatelskich. Ostatnia możliwość to wariant mieszany – i organ administracyjny, i rzecznik.
Najważniejsza jest ocena własnej sytuacji, przegląd tego, jakie dane są przetwarzane, i określenie celu tego przetwarzania. Rozporządzenie wprowadza bowiem nowe kategorie danych, np. biometryczne, które dotychczas nie były zdefiniowane. Warto też zacząć zastanawiać się nad oceną ryzyka związanego z wyciekiem danych. Tylko w ten sposób można wprowadzić skuteczne zabezpieczenia zarówno organizacyjne, jak i techniczne. Być może trzeba będzie powołać inspektora ochrony danych. Bez wątpienia rozporządzenie zwiększa zakres odpowiedzialności administratora danych za bezpieczeństwo danych osobowych, dlatego to w dobrze rozumianym interesie przedsiębiorcy jest o nie zadbać.
Ten obowiązek będzie dotyczył całej administracji publicznej, bez względu na skalę i rodzaj przetwarzanych danych, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Przy czym rozporządzenie przewiduje możliwość ustanawiania wspólnych inspektorów ochrony informacji, tak aby np. każda szkoła czy każde przedszkole w danej gminie nie musiało powoływać ich dla każdej jednostki oddzielnie. Jeśli chodzi o przedsiębiorców, to obowiązek powołania inspektora będzie spoczywał na tych, których główna działalność polega na operacjach przetwarzania wymagających systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Przepisy nie precyzują, co to znaczy duża skala, dlatego konieczne będzie wypracowanie wykładni. Powołanie inspektora będzie też obowiązkowe wtedy, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. Ja jednak zachęcałabym wszystkich do wyznaczania inspektorów, gdyż odciążą oni administratorów danych i pomogą sprostać ich nowym obowiązkom.
Tak, bez wątpienia mamy do czynienia z zupełnie nowym spojrzeniem na pozycję administratora danych – przeniesieniem na niego ciężaru odpowiedzialności. I to jest racjonalne podejście, bo to administrator wie, a przynajmniej powinien wiedzieć, jakie środki ma podjąć, by zapewnić bezpieczeństwo przetwarzanym przez siebie danym. Konsekwencją tego nowego podejścia są sankcje, o których wszyscy mówią i wszyscy się ich boją, bo rzeczywiście mogą być dotkliwe. Ich górna wysokość to 4 proc. rocznych, globalnych obrotów, do kwoty 20 mln euro, co może być odczuwalne nawet dla największych firm.
Z samego założenia kary te mają być dotkliwe i odstraszające. Przy ich wymierzaniu decydować jednak musi indywidualna ocena każdego z naruszeń. Będzie więc miało znaczenie, jakie dane są przetwarzane, to, czy naruszenie miało charakter umyślny, warunki, w jakich do niego doszło, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody. Liczyć się też będzie, czy chodzi o pierwsze naruszenie, czy też kolejne, jak zachował się administrator danych, czy sam zgłosił np. wyciek danych, czy też GIODO dowiedział się o tym z innych źródeł, np. z prasy. Jak zachował się administrator względem osób, których dane dotyczyły, np. czy poinformował je o wycieku. Jest wiele różnych okoliczności i każda z nich powinna być uwzględniona przy ustalaniu wysokości kary.
Przyznaję, że również się nad tym zastanawiam. O ile są pewne możliwości, jeśli chodzi o kraje, z którymi UE ma podpisane porozumienia, o tyle jeśli chodzi o pozostałe państwa, np. azjatyckie, to nie wiem, na ile taka egzekucja jest możliwa. Tym będzie musiała już zająć się Komisja Europejska, stosując dostępne jej metody nacisku.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję
Reklama
Reklama