Unijne Rozporządzenie Ogólne o Ochronie Danych Osobowych (GDPR) wprowadza znaczące zmiany. Dotyczą one m.in. rozszerzenia zakresu podmiotów objętych obowiązkami ochrony danych osobowych oraz podniesienia wysokości kar za ich naruszenie. W II połowie 2017 roku powstać ma w Polsce ustawa uwzględniająca GDPR.

W kwietniu 2016 roku – po 4 latach prac i dyskusji – Parlament Europejski i Rada Unii Europejskiej przyjęły Rozporządzenie Ogólne o Ochronie Danych Osobowych – GDPR (General Data Protection Regulation). Reguluje ono ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych. GDPR ma wprowadzić regulacje jednolite dla wszystkich państw członkowskich Unii Europejskiej. Zastępują one obecnie obowiązujące w krajach UE ustawy, w tym polską ustawę.

Kluczowe zmiany wprowadzane przez nowe rozporządzenie UE

GDPR ma dostosować regulację o ochronie danych osobowych z 1995 r. do dynamicznie rozwijającego się i globalizującego świata nowych technologii. Ostatnie 20 lat przyniosło postęp technologiczny o niespotykanej dotąd skali. Skuteczna ochrona danych osobowych w świecie, w którym nieustanna wymiana informacji jest codziennością, usługi chmurowe standardem, a IoT przestał być już wizją, jest więc konieczna. GDPR ma stanowić odpowiedź na nowe problemy.

Zmiany wprowadzone przez GDPR dotyczą m.in. zmiany zakresu obowiązków i odpowiedzialności w kwestii ochrony danych osobowych. Nowa regulacją obejmie zarówno firmy, administratorów danych osobowych, jak i podmioty działające na ich zlecenie, np. dostawców usług cloud computing. Dodatkowo GDPR objęte będą również podmioty spoza Unii Europejskiej, „o ile przetwarzanie danych będzie związane z oferowaniem towarów i usług lub z monitorowaniem zachowania osób z krajów UE”.

Na co zwrócić uwagę w związku z GDPR

Podmioty, których główna działalność polega na przetwarzaniu danych osobowych, zobowiązane są do wyznaczenia Inspektora Ochrony Danych. Nowe, unijne rozporządzenie wprowadza także koncepcję Privacy by design. Oznacza ona konieczność stosowania rozwiązań technicznych i organizacyjnych – które uwzględniałyby mechanizmy ochrony prywatności – już na etapie projektowania systemów IT i procesów przetwarzania danych.

GDPR wprowadza też obowiązek zgłaszania istotnych naruszeń ochrony danych osobowych w terminie 72 godzin od ich stwierdzenia. Dotyczy to także informowania własnych klientów. Dostawcy usług chmurowych czy outsourcingowych będą zaś ponosić, od maja 2018 roku, odpowiedzialność w zakresie przetwarzania danych osobowych. Sankcje pieniężne będą mogły być nakładane także na nich, a nie tylko na administratorów danych osobowych.

Rozporządzenie Ogólne o Ochronie Danych Osobowych doprecyzowuje także wymóg skutecznego wyrażenia zgody na przetwarzanie danych osobowych. Jest to istotne w szczególności dla podmiotów prowadzących działalność marketingową. Jednocześnie jednak zlikwidowany zostanie obowiązek rejestracji zbioru danych. Zastąpi go obowiązek dokumentowania przetwarzania danych i oceny związanego z tym ryzyka.

Jak się przygotować do General Data Protection Regulation

Za niezgodne z GDPR przetwarzanie danych osobowych przewidywane są bardzo wysokie kary pieniężne. Może to być nawet do 20 mln euro lub do 4% całkowitego, rocznego, globalnego obrotu z poprzedniego roku. Aby uniknąć tego typu ryzyka, zalecane jest podjęcie odpowiednich działań już dziś. Półtora roku na przygotowanie się do nowych regulacji to niedługo. Tym bardziej, że chodzi o całkowitą zmianę sposobu ochrony danych osobowych.

Należy więc po pierwsze zastanowić się, jak zbierane, przechowywane, przetwarzane i wykorzystywane są w naszej firmie dane osobowe. W tym celu należy m.in. przeanalizować zawarte umowy powierzenia przetwarzania danych osobowych partnerom oraz procedurę udzielania zgód na takie przetwarzanie. Wziąć należy także pod uwagę miejsce, czas i sposób przechowywania oraz przetwarzania danych osobowych.

Kolejnym krokiem powinno być zaprojektowanie planu działań dotyczących dostosowania się do GDPR. Obejmować mogą one np. renegocjacje umów w celu ich dostosowania do zaktualizowanego prawa, jak i wdrożenie koncepcji Privacy by design do procesów projektowania i wdrażania rozwiązań IT. Uwzględnić muszą one nowe prawa, w tym do: informacji, dostępu do danych, sprostowania danych, bycia zapomnianym, ograniczenia przetwarzania danych, przenoszenia danych, a także sprzeciwu wobec przetwarzania oraz profilowania i zautomatyzowanego podejmowania decyzji.

Jeśli firma do tej pory przestrzegała regulacji dotyczących ochrony danych osobowych, będzie musiała dokonać zmian w dotychczasowej polityce, jednak nie będą to zmiany rewolucyjne.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn