ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27
Od dnia 25 maja 2018r. zacznie obowiązywać ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Rozporządzenie definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych oraz wprowadza szereg obowiązków, nowe rodzaje odpowiedzialności, jak również sankcje finansowe za naruszanie przepisów.
W najmniejszym z możliwych skrótów przedstawię zmiany jakie wprowadzi niniejsze rozporządzenie.
W pierwszej kolejności rozporządzenie wskazuje kto ma zastosować się do jego uregulowań, przewidując również grupy podmiotów, których jego zakres nie dotyczy. Rozporządzenie nie ma zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii; przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE; przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze; przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Rozporządzenie szczegółowo wskazuje na elementy obligatoryjne umowy o powierzeniu danych.
Rozporządzenie Unijne zobowiązuje administratora danych osobowych m.in. do podawania szeregu informacji w przypadku zbierania danych od osoby, której dane dotyczą jak również w inny sposób oraz do stworzenia takich systemów informatycznych, w których na żądanie osoby, której dane dotyczą, można będzie między innymi usunąć całkowicie jej dane osobowe lub przenieść je do innego administratora. Administrator danych będzie również zobowiązany w terminie jednego miesiąca do udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą i skierowała ona zapytanie do administratora.
Rozporządzenie wprowadza nową funkcję w osobie Inspektora Ochrony Danych, który odpowiedzialny będzie za bezpieczeństwo danych osobowych, jak również za przekazywanie raportów do organu nadzoru w przypadku zaistniałych naruszeń. Funkcję Inspektor będzie mogła pełnić osoba fizyczna powołana przez administratora danych, jak również jednostka organizacyjna powołana zarówno przez administratora, jak i podmiot przetwarzający.
Rozporządzenie nakłada obowiązek zgłaszania do organu nadzoru, w ciągu 72 godzin naruszeń co do ochrony danych osobowych, mogących z dużym prawdopodobieństwem skutkować zagrożeniem praw i swobód osób, których dane dotyczą.
Na mocy Rozporządzenia przetwarzający dane będzie ponosił bezpośrednią odpowiedzialność. Akt ten wskazuje na kary, jakimi zostanie obciążony podmiot w wyniku nieprzestrzegania jego postanowień. I tak wymienia maksymalne kary pieniężne w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega na mocy ust. 2 niniejszego artykułu administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Rozporządzenie, odmiennie niż dotychczas, nie przewiduje rejestracji zbioru danych, nakłada jednakże na przetwarzającego dane obowiązek prowadzenia wewnętrznych rejestrów.
Powyższe bardzo ogólne omówienie zmian wprowadzonych przez Parlament Europejski już niebawem zacznie być respektowane przez polskie podmioty.
Radca prawny Agnieszka Lichnowska-Kaczmarek