Ochrona danych osobowych w UE. "Skończyły się żarty"
W 2018 r. wejdzie w życie nowe rozporządzenie Parlamentu Europejskiego ws. ochrony danych osobowych. Już teraz wszyscy musimy się przygotować na nadchodzące zmiany. Czekają nas ciekawe czasy – ocenia mec. Izabela Kowalczuk-Pakuła z kancelarii Bird & Bird.
2016-06-09, 08:38
Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE wejdzie w życie 25 maja 2018 r.
- Kiedy przyjmowano dyrektywę 95/46/WE, założyciel Facebooka Mark Zuckerberg miał 13 lat, Google dopiero co został założony, a cloud computing raczkował. Rozporządzenie uchwalone w 2016 r. jest o wiele bardziej dostosowane do obecnego, zdigitalizowanego świata – mówi radca prawny Izabela Kowalczuk-Pakuła, kierująca praktyką ochrony danych osobowych i prywatności w kancelarii Bird & Bird.
Rozporządzenie będzie obowiązywać jednolicie we wszystkich krajach UE
Nowe przepisy we wszystkich państwach członkowskich zajmą miejsce dotychczas obowiązujących 28 odpowiedników polskiej ustawy o ochronie danych osobowych. - Rozporządzenie będzie jednolicie obowiązywać – niestety z wieloma wyjątkami – we wszystkich krajach członkowskich UE. To ułatwi stosowanie prawa przez podmioty o zasięgu międzynarodowym – uważa Kowalczuk-Pakuła.
- Zmienia się paradygmat podejścia do ochrony danych osobowych. Uciążliwe i biurokratyczne zgłoszenia zbiorów danych osobowych zostaną zastąpione koncepcją domyślnej ochrony danych – "data protection by design", czyli obowiązkiem dbania o ochronę danych osobowych już od rozpoczęcia procesów biznesowych związanych z przetwarzaniem danych – tłumaczy mecenas.
W obliczu nowych przepisów organizacje będą musiały przeprowadzać analizę skutków operacji przetwarzania dla ochrony danych osobowych, a także będą miały obowiązek uwzględniania ich ochrony już w fazie projektowania usługi. Zaostrzone zostaną także warunki powołania się przez organizacje na niektóre podstawy prawne przetwarzania danych, jak np. zgodę osoby, której dane dotyczą.
Daleko idące uprawnienia dla osób fizycznych
Jak wskazuje Kowalczuk-Pakuła, „rozporządzenie nadaje daleko idące uprawnienia osobom fizycznym, jak np. prawo do bycia zapomnianym czy prawo do przenoszalności danych”. - Organizacje będą musiały być o wiele bardziej transparentne co do sposobu przetwarzania danych osobowych oraz informować osoby, których dane dotyczą, o takich szczegółach, jak okres retencji danych czy kryteria jego ustalenia, jak również o prawie wniesienia skargi do organu nadzorczego. Ponadto w razie wycieku danych osobowych, w kwalifikowanych wypadkach administratorzy danych będą zobowiązani zgłaszać to do GIODO oraz informować osoby, których dane wyciekły – dodaje.
Rozporządzenie będzie miało zastosowanie do wszystkich biznesowych organizacji przetwarzających dane osobowe, jednak szczególnie mocno wpłynie na podmioty prowadzące analizę Big Data, zwłaszcza w kontekście profilowania konkretnych osób fizycznych. - Istotnym aspektem w kontekście profilowania w drodze analizy Big Data będą zapewne obostrzone kryteria dla uzyskania zgody na profilowanie od osób, których dane dotyczą – w tym bardzo rozbudowany obowiązek informacyjny – oraz obowiązek zgłaszania naruszeń ochrony danych do organów nadzorczych, takich jak GIODO – uważa Kowalczuk-Pakuła.
Ekspertka przyznaje, że "wielu przedsiębiorców kwestionuje niektóre zapisy rozporządzenia jako za mało uwzględniające interesy biznesu, a zbyt dalece chroniące osobę fizyczną, i to w większości przypadków niezależnie od tego czy mają miejsce stałego zamieszkania w UE czy nie”. W egzekwowaniu nowego prawa ma pomóc zaostrzenie sankcji. - Kary będą o wiele bardziej dotkliwe – do 20 mln euro, a w przypadku przedsiębiorstwa nawet do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – przestrzega Kowalczuk-Pakuła.
PAP, awi
REKLAMA