Restrykcyjne przepisy unijne dotyczące ochrony danych osobowych

Nowe przepisy dotyczyć będą znacznie szerszej grupy podmiotów, niż dotychczas – także przedsiębiorstw, które oferują usługi na terenie UE, mając jednocześnie siedzibę poza jej granicami. Jedną z istotnych zmian będzie także obowiązek przeprowadzania przez przedsiębiorców oceny skutków operacji przetwarzania dla ochrony danych osobowych, a w pewnych sytuacjach nawet konsultacje z Generalnym Inspektorem Ochrony Danych Osobowych (GIODO) jeszcze przed rozpoczęciem ich przetwarzania. Duża grupa przedsiębiorców będzie zatem musiała uwzględniać ochronę danych już na etapie planowania świadczenia konkretnej usługi.

Rewolucyjną zmianą w kwestii ochrony danych osobowych będzie także wprowadzenie obowiązku zgłaszania przypadków naruszenia danych osobowych do Generalnego Inspektora Danych Osobowych, nie później niż w ciągu 72 godzin od momentu ich wykrycia. Co więcej, przedsiębiorca będzie zobowiązany do dokumentowania wszelkich naruszeń w zakresie ochrony danych osobowych, w tym ich skutków oraz podjętych działań zaradczych. Dodatkowo, jeżeli naruszenie może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przedsiębiorca bez zbędnej zwłoki będzie zmuszony zawiadomić o tym osobę, której dane dotyczą, przekazując informację jasnym i prostym językiem.

 

W związku z powyższym już teraz warto zastanowić się nad przygotowaniem procedury awaryjnej, którą będzie można zastosować w przypadku wystąpienia tego typu naruszenia.

 

Przedsiębiorcy nie będą już mieli obowiązku rejestracji baz danych osobowych. Polski ustawodawca może ewentualnie utrzymać ten wymóg w mocy na podstawie krajowych regulacji ustawowych. Za to w niektórych przypadkach przedsiębiorcy będą zobowiązani powołać wewnętrznego Inspektora Danych Osobowych (tj. osobę odpowiedzialną za bezpieczeństwo przetwarzania danych w danym przedsiębiorstwie – w obecnym stanie prawnym jest to Administrator Bezpieczeństwa Informacji), a także prowadzić rejestr czynności przetwarzania danych.

 

Istotnie rozszerzony zostanie również obowiązek informacyjny wobec osób trzecich, których dane są przetwarzane. Niezbędne będzie podawanie m.in. danych Inspektora Danych Osobowych, podstawy prawnej przetwarzania czy informacji dotyczącej okresu przechowywania danych. Tę zmianę najsilniej odczują przedsiębiorcy, będą oni bowiem musieli znacząco rozszerzyć treść stosowanych formularzy dotyczących zgody na przetwarzanie danych osobowych.

 

Oprócz powyższych wprowadzone zostaną również inne istotne zmiany. Będzie to m.in. rozszerzenie katalogu danych wrażliwych (w szczególności o dane biometryczne), wprowadzenie prawa do bycia zapomnianym, a także nowe regulacje dotyczące przetwarzania danych osobowych dzieci.

 

Surowe konsekwencje nieprzestrzegania nowych przepisów dot. ochrony danych osobowych

Za nieprzestrzeganie przez przedsiębiorców nowych obowiązków przewidziane są dotkliwe sankcje finansowe, które zgodnie z rozporządzeniem mogą wynieść do 20 000 000 EUR lub 4% rocznego światowego obrotu przedsiębiorstwa, przy czym zastosowanie będzie miała kwota wyższa.

 

Nowe regulacje zaczną obowiązywać w państwach członkowskich 25 maja 2018 roku. Oznacza to, że za każde naruszenie popełnione od tej daty przedsiębiorcom grozi surowa kara finansowa. Rozporządzenie nie przewiduje żadnego okresu przejściowego na przetestowanie nowych rozwiązań zapewniających odpowiedni poziom ochrony danych. Kwestia ochrony danych osobowych nabiera zatem niezwykle ważkiego znaczenia, w szczególności z uwagi na wymiar kar grożących za niedostosowanie się do nowych przepisów.

 

Dlatego też warto jak najszybciej rozpocząć proces analizy wewnętrznych procedur oraz dokumentacji związanych z przetwarzaniem danych osobowych w przedsiębiorstwie. Kolejnym krokiem powinno być sformułowanie i wdrożenie odpowiednich środków naprawczych, tak by dostosować przetwarzanie danych osobowych w spółce do nowych wymogów. Ponadto warto już dzisiaj zastanowić się m.in. nad zasadnością powołania w przyszłości Inspektora Danych Osobowych oraz stworzeniem planu awaryjnego w razie naruszenia bezpieczeństwa danych osobowych.

 

W przypadku gdyby byli Państwo zainteresowani naszą pomocą w przeanalizowaniu praktyk stosowanych w Państwa przedsiębiorstwie oraz dokumentacji dotyczącej ochrony danych osobowych pod kątem ich zgodności z obecnymi standardami RODO. Nasi adwokaci jak i radcowie prawni oferują doradztwo prawne także w innych dziedzinach. Są dostępni dla Państwa w biurach Rödl & Partner: Gdańsk, Gliwice, Kraków, Poznań, Warszawa, Wrocław.