Co się zmieni w ochronie danych osobowych od 25 maja 2018 r.

Co się zmieni w ochronie danych osobowych od 25 maja 2018 r.

25 maja 2018 r. wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, które będzie miało pierwszeństwo przed ustawami i aktami prawa krajowego niższego rzędu, co doprowadzi do unifikacji prawa w zakresie ochrony danych osobowych na terytorium Unii Europejskiej.

Administrator świadczący usługi w internecie na rzecz osób, które nie ukończyły 16 lat, będzie miał obowiązek uzyskać zgodę lub aprobatę osoby, która sprawuje władzę rodzicielską lub też opiekę nad dzieckiem. Nie musi być to zgoda pisemna, ale to administratora będzie obciążał obowiązek wykazania, iż podejmuje rozsądne starania, aby zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę, lub ją zaaprobowała. (art. 8 rozporządzenia)

Zostanie wprowadzony rozszerzony obowiązek informacyjny m.in. o: (art. 13 rozporządzenia)
• okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe kryteria ustalania tego okresu,
• informacje o prawie wniesienia skargi do organu nadzorczego,
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
• gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych

Użytkownik uzyska wyraźne prawo do żądania usunięcia jego danych osobowych tzn. prawo do bycia zapomnianym. Administrator wyłącznie w wyjątkowych okolicznościach będzie mógł oponować względem prawa użytkownika. (art. 17 rozporządzenia)

Użytkownik będzie mógł żądać ograniczenia przetwarzanych danych osobowych przez administratora. (art. 18 rozporządzenia)

Użytkownik będzie mógł żądać, aby dane osobowe zostały przesłane innemu administratorowi. (art. 20 rozporządzenia)

Administrator będzie zobowiązany poinformować użytkownika w sposób odrębny od innych informacji o prawie do wniesienia sprzeciwu względem przetwarzania jego danych osobowych. (art. 21 rozporządzenia)

Od 25 maja 2018 r. z pewnymi wyjątkami zakazanym będzie podejmowanie decyzji w oparciu o automatyczne przetwarzanie danych osobowych np: stosowanie reklamy opartej na zainteresowaniach użytkownika odnośnie danych wrażliwych takich jak zdrowie, rasa, religia, poglądy polityczne, czy też proponowanie użytkownikom określonych usług, czy też produktów z uwzględnieniem powyższych danych. (art. 22 ust. 4 rozporządzenia)

Opracowanie polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym będzie wymagane tylko i wyłącznie, gdy będzie to niezbędne ze względu na czynności przetwarzania danych osobowych. W chwili obecnej jest to wymagane przy jakimkolwiek przetwarzaniu danych osobowych. (art. 24 ust. 2 rozporządzenia)

Zamiast obowiązku rejestracji zbioru danych osobowych zostanie wprowadzony rejestr czynności przetwarzania danych osobowych. Jednakże powyższego rejestru nie będzie musiał prowadzić administrator, który zatrudnia mniej niż 250 pracowników, a przetwarzanie, którego dokonuje nie będzie powodować ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ma charakteru sporadyczny lub też nie obejmuje wrażliwych danych osobowych. Z powodu braku spełnienia przesłanki sporadyczności przetwarzania danych osobowych najczęściej rejestr czynności przetwarzania danych osobowych będzie obligatoryjny. (art. 30 rozporządzenia)

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Jest to nowy obowiązek, który wcześniej nie był znany w u.o.d.o. (art. 35 rozporządzenia)

Jeżeli ocena skutków dla ochrony danych, o której mowa w art. 35, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Obowiązek konsultacji z organem nadzorczym jest nowym obowiązkiem, który wcześniej nie był znany w u.o.d.o. (art. 36 rozporządzenia)

Administrator będzie zobowiązany do wyznaczenia inspektora ochrony danych osobowych, gdy dane przetwarzane będą przez organ lub podmiot publiczny, gdy administrator na dużą skalę będzie monitorował osoby, których to dane dotyczą, gdy główna działalność administratora będzie polegać na przetwarzaniu na dużą skalę wrażliwych danych osobowych. Inspektorem ochrony danych osobowych może być osoba, która posiada wiedzę na temat prawa i praktyki w dziedzinie ochrony danych osobowych, w tym także pracownik administratora. (art. 37 rozporządzenia)

Doprecyzowano przesłanki w związku z ponoszeniem przez administratorów odpowiedzialności zarówno za szkodę majątkową, jak i też niemajątkową w związku z przetwarzaniem danych osobowych. Z tego też powodu nie będzie konieczności sięgania do konstrukcji naruszenia dóbr osobistych, gdyż podstawą odpowiedzialności administratora będzie bezpośrednio rozporządzenie unijne. Nadto w szczególny sposób rozwiązano sposób właściwości miejscowej sądu, gdyż powództwo będzie można złożyć przeciwko zagranicznym administratorom także przed Sąd, w którym to też znajduje się zwykłe miejsce pobytu osoby, której to dane osobowe zostały naruszone.

Drastycznie wzrośnie wysokość kar za naruszenia związane z przepisami o ochronie danych osobowych. W chwili obecnej istnieje możliwość nałożenia kary grzywny wyłącznie w związku z wytoczonym postępowaniem karnym (maksymalna kara to 1.080.000,00 zł), albo też niewykonaniem decyzji nałożonej przez Generalnego Inspektora Ochrony Danych Osobowych (maksymalnie 10.000,00 zł). Od 25 maja 2018 r. każdy organ nadzorczy będzie mógł w drodze decyzji administracyjnej nałożyć karę w wysokości do 10 milionów euro lub też 20 milionów euro, a w przypadku przedsiębiorców do 2 lub 4 % ich rocznego przychodu.

 

Chcesz być gotowy na nowe rozporządzenie? Zleć nam analizę przetwarzanych przez Ciebie danych osobowych oraz wprowadzenie niezbędnych zmian!

SKONTAKTUJ SIĘ!

Jestem absolwentem prawa na Wydziale Prawa i Administracji Uniwersytetu Śląskiego. Obecnie jestem aplikantem w Okręgowej Izbie Radców Prawnych w Katowicach.

0 komentarzy

Zostaw odpowiedź

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Style Switcher

Layout options
Header options
Accent Color Examples
Background Examples (boxed-only)
View all options →