Aktualności

Od 2018 roku nowe przepisy o danych osobowych

Za niespełna półtora roku zaczną być stosowane nowe unijne przepisy dotyczące danych osobowych. Firmy muszą się liczyć z nowymi obowiązkami. Za niewywiązanie się z nich grożą duże kary finansowe. Zmiany odczują również konsumenci, którzy uzyskają prawo do przenoszenia danych, ograniczenia profilowania, prawo do bycia zapomniany i szerszej informacji o tym, jak przetwarzane są ich dane. Zgody na przetwarzanie danych osobowych w internecie będą mogły udzielać samodzielnie również dzieci, które ukończyły 16 rok życia. Tę granicę w krajowej ustawie można obniżyć do 13 lat.

– Nowe przepisy, które będą obowiązywały od maja 2018 roku, wprowadzają pewne modyfikacje do obecnie obowiązującej ustawy o ochronie danych osobowych. Zmieniają się zasady uzyskiwania zgody na przetwarzanie tych danych. Jest też dużo nowych obowiązków nałożonych na administratorów – mówi agencji Newseria Biznes dr Dominik Lubasz, radca prawny z Kancelarii Lubasz i Wspólnicy.

Za półtora roku (dokładnie 25 maja przyszłego roku) wejdzie w życie unijne rozporządzenie RODO dotyczące ochrony danych osobowych. Nowa regulacja ma ujednolicić przepisy we wszystkich 28 państwach członkowskich Unii Europejskiej. Z jednej strony zwiększy ono kontrolę konsumentów nad ich danymi osobowymi, a z drugiej – nałoży szereg nowych obowiązków na firmy.

Jedną z kluczowych zmian, które wprowadza rozporządzenie RODO, jest obowiązek zadbania o ochronę danych osobowych już na etapie projektowania wdrażanych rozwiązań związanych z przetwarzaniem danych, np. aplikacji, portali internetowych, w tym społecznościowych, organizowania konkursów itp. Administratorzy będą musieli wdrożyć właściwe rozwiązania techniczne i organizacyjne, które zagwarantują odpowiedni poziom bezpieczeństwa danych.

– Administrator danych osobowych musi zweryfikować ryzyko związane z przetwarzaniem danych osobowych i stosownie do tego ryzyka wdrożyć odpowiednie rozwiązania. Może to być szyfrowanie, backupowanie danych albo rozwiązania pseudonimizacyjne, a zatem pozbawiające danych pewnych cech wewnętrznych do celów operacyjnych, tak by nie można było ich przypisać określonej osobie bez użycia dodatkowych informacji. Administrator musi podjąć decyzję dotyczącą zabezpieczeń i to on odpowiada za błąd w tejże decyzji – mówi Dominik Lubasz.

Zgodnie z nowymi przepisami nasze dane mają być chronione w sposób domyślny („by default”), co oznacza, że ustawienia dostępności naszych danych, zakresu, czasu czy ich ilości zbieranej przez firmy wiedzy muszą być domyślnie ustawione na minimum, które jest wyznaczane przez ograniczony przesłankę niezbędności do osiągnięcia celu przetwarzania. Firmy i programiści będą musieli uwzględnić ten przepis zwłaszcza przy tworzeniu nowych produktów i usług.

 Domyślna ochrona danych i ochrona danych w fazie projektowania to dwa zespolone ze sobą obowiązki. Mają dać impuls do tego, aby administratorzy danych zrozumieli, że już w fazie kreacji rozwiązań, opracowywania nowej aplikacji internetowej czy mobilnej trzeba uwzględnić ochronę danych. Potem, w trakcie użytkowania tej aplikacji, trzeba zadbać, aby dane klienta były w odpowiedni sposób zabezpieczone, aż do zakończenia współpracy – wyjaśnia radca prawny z Kancelarii Lubasz i Wspólnicy.

Ponadto obowiązek informacyjny wobec klientów zostanie rozszerzony, co w praktyce oznacza konieczność wymiany wszystkich formularzy, zarówno papierowych, jak i elektronicznych. Dotychczas klauzula zawierająca zgodę na przetwarzanie danych zawierała się w kilku zdaniach. Po wejściu w życie nowych przepisów znacznie się rozszerzy.

– W pozostałym zakresie mamy przesłanki zbliżone do obecnie obowiązujących. Przykładowo, gdy zawieramy umowę dotyczącą prowadzenia konta internetowego, umowę o dzieło lub zlecenie, nie musimy wyrażać zgody na przetwarzanie naszych danych osobowych. Przesłanką legalizacyjną, czyli uprawniającą do przetwarzania danych, jest po prostu zawarcie umowy – mówi dr Dominik Lubasz.

Nowością w przepisach jest za to możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 rok życia. Dotyczy to „usług społeczeństwa informacyjnego”. Dopiero uzyskanie zgody na przetwarzanie danych osobowych dziecka w związku z korzystaniem przez nie z usług internetowych i mediów społecznościowych poniżej tej granicy wiekowej będzie wymagało zgody rodzica lub opiekuna prawnego. Natomiast obowiązkiem firmy będzie zweryfikować i upewnić się, że wyrażona zgoda jest wiarygodna.

Dotychczas – w przypadku korzystania z poczty elektronicznej, gier czy portali społecznościowych – w regulaminie zwykle były określone wymogi wiekowe. Jednak dostawcy tych usług w zakresie dotyczącym ochrony danych nie mieli ani możliwości, ani wprost obowiązku weryfikowania wieku użytkownika. Nowe przepisy mają to zmienić.

– Rozporządzenie wyznacza 16 rok życia jako granicę, powyżej której dziecko może podejmować samodzielne decyzje związane z udzieleniem zgody na przetwarzanie jego danych osobowych w związku z usługami internetowymi bezpośrednio mu świadczonymi. Co ciekawe, ustawodawca krajowy będzie mógł obniżyć tę granicę do 13 lat, ale nie wiadomo jeszcze, czy taka decyzja zostanie podjęta – mówi dr Dominik Lubasz.

Naruszenie bezpieczeństwa danych osobowych, zniszczenie, nieuprawnioną modyfikację czy wyciek danych firmy będą zmuszone raportować do GIODO, a także w pewnych przypadkach powiadamiać o tym swoich klientów. Eksperci podkreślają fakt, że nowe unijne prawo „zauważa” również małe i średnie przedsiębiorstwa, różnicując obowiązki na nich nakładane. Dotychczasowa ustawa traktowała je na równi z dużymi koncernami czy spółkami akcyjnymi.

Za nieprzestrzeganie nowych przepisów o ochronie danych osobowych, które wejdą w życie w maju 2018 roku, przedsiębiorstwom grozić będą kary finansowe. O ich wysokości stosownie do naruszonych przepisów będzie decydował organ nadzorujący, czyli GIODO.

 Obecna ustawa o ochronie danych przewiduje sankcje karne za naruszenie przepisów. Rozporządzenie RODO wprowadza natomiast kary finansowe. Są to dość istotne kary, bo w zależności od przepisów naruszonych przez administratora będą sięgać do 20 bądź do 40 mln euro albo w przypadku przedsiębiorców 2–4 proc. rocznego światowego obrotu przedsiębiorstwa. Jeżeli te sankcje będą nieuniknione, to może stanowić impuls do urzeczywistnienia funkcjonowania ochrony danych osobowych w Polsce – mówi radca prawny.