25 maja 2018 r. to data, którą prawie każdy przedsiębiorca powinien podkreślić grubą kreską. Tego dnia należy bowiem zacząć stosować przepisy rozporządzenia Parlamentu Europejskiego i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych – w skrócie ogólne rozporządzenie o ochronie danych – RODO (ang. GDPR). Nazwa „RODO” coraz częściej pojawia się w mediach i coraz większa liczba osób zaczyna być świadoma, co oznacza ten skrót i jak wielkie zmiany niesie za sobą ten akt prawny.
Rozporządzenie będzie bezpośrednio stosowane przez wszystkie państwa członkowskie UE, co oznacza, że ten akt prawny będzie bezpośrednim źródłem praw związanych z ochroną danych osobowych – w Polsce nie zostanie więc uchwalona żadna nowa ustawa regulująca tą tematykę. Praktycznie przestanie istnieć w obecnym kształcie nasza polska ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. Ustawa ta będzie nadal obowiązywać, jednakże zostanie kompletnie zmieniona, gdyż nie będzie już wskazywać obowiązków podmiotów przetwarzających dane osobowe oraz praw osób, których dane są przetwarzane. Przedmiotem jej regulacji zostanie działanie nowego organu, który zastąpi GIODO – Urzędu Ochrony Danych Osobowych, na czele którego będzie stać Prezes UODO.
Ostateczna treść Rozporządzenia została przyjęta przez Parlament Europejski 14 kwietnia 2016 r., w związku z tym już od ponad roku znamy treść nowego prawa. UE dała nam więc naprawdę sporo czasu na dostosowanie się do przepisów Rozporządzenia. Do maja 2018 r. zostało jeszcze co prawda kilka ładnych miesięcy, lecz rozmiar zmian (99 artykułów i 173 motywy preambuły!) wymaga, aby zainteresować się tematem odpowiednio wcześnie. Szczególnie, że w Rozporządzeniu przewidziano iście drakońskie kary dla wszystkich, którzy naruszać będą jego postanowienia.
Zmiany są na tyle rozległe i poważne, że nie ma sensu nawet próbować opisać ich w jednym wpisie na blogu. Dlatego też wymienię kilka moim skromnym zdaniem najważniejszych nowości, które wejdą do naszego porządku prawnego już w połowie przyszłego roku:
– elastyczność RODO: Rozporządzenie ma być neutralne technologicznie, tj. ma pozostać aktualne przez długi okres czasu, pomimo dużej dynamiki zmian w otaczającym nas świecie, szybkiego postępu technicznego i informatyzacji życia codziennego. Ponadto przepisy RODO są dostosowane do wszelkich rodzajów przedsiębiorstw: zarówno wielkich korporacji jak banki czy też zakłady ubezpieczeń, jak i małych jednoosobowych działalności jak sklepy internetowe;
– przerzucenie ciężaru podjęcia decyzji o tym, jak zabezpieczać dane osobowe, na samych przedsiębiorców: w RODO nie znajdziemy zamkniętego katalogu wymogów, które należy spełnić, aby przetwarzać dane zgodnie z prawem – to przedsiębiorcy będą musieli sami ocenić, jakie zabezpieczenia wdrożyć w swojej firmie, aby odpowiednio chronić dane osobowe i tym samym spełnić wymogi RODO. Jest to więc spore wyzwanie dla wszystkich podmiotów przetwarzających dane osobowe;
– masa nowych uprawnień dla obywateli: m. in. prawo do bycia zapomnianym, prawo do przenoszenia danych, prawo do ograniczenia przetwarzania;
– modyfikacja zasad dotyczących wyrażania zgody na przetwarzanie danych osobowych: zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W innym przypadku wyrażenie zgody nie zostanie uznane za wiążące, co oczywiście wpędzi przedsiębiorcę w tarapaty. Ponadto, przed wyrażeniem zgody należy poinformować daną osobę, że ma prawo w każdym momencie wycofać zgodę;
– uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych (privacy by design, privacy by default): RODO wymaga, aby administratorzy danych przewidywali ochronę danych osobowych już na etapie projektowania swojej działalności (privacy by design), w związku z czym dane mają być odpowiednio zabezpieczone już na samym starcie. Ponadto RODO obliguje do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były tylko i wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania (privacy by default);
– zniesienie obowiązku rejestrowania zbiorów danych osobowych: niewątpliwie pozytywna zmiana i dobra nowina dla wszystkich przedsiębiorców. Co tu dużo mówić: rejestrowanie zbiorów danych osobowych było dla przedsiębiorców niepotrzebnym utrudnieniem, a sam rejestr zbiorów w ogóle nie spełniał swojej funkcji. Od 25 maja 2018 r. każdy administrator danych będzie musiał prowadzić rejestr czynności przetwarzania danych osobowych, który udostępniany będzie organowi nadzorczemu do wglądu na każde jego żądanie;
– zwiększenie kompetencji organu nadzorczego i drakońskie kary: jak już wspomniałem wyżej, stare dobre GIODO zostanie zastąpione przez Urząd Ochrony Danych Osobowych. Urząd wyposażony zostanie w naprawdę spore kompentencje, z czego najbardziej istotną będzie możliwość nakładania na łamiących zasady ochrony danych osobowych przedsiębiorców ogromne kary finansowe – nawet do 20.000,000 EURO lub 4% rocznego światowego obrotu!!!;
Jak widać zmiany są naprawdę poważne. Według niektórych nie jest to ewolucja systemu ochrony danych osobowych, lecz jego rewolucja. Warto więc zainteresować się tematem odpowiednio wcześnie i dostosować się do nadchodzących wielkimi krokami zmian, aby nie narazić się na istotne konsekwencje. Do 25 maja 2018 r. zostało, wbrew pozorom, naprawdę niewiele czasu.
Źródło zdjęcia: pixabay
OSTATNIE KOMENTARZE