Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.



Restrykcyjne przepisy unijne dotyczące ochrony danych osobowych

PrintMailRate-it

31 maja 2017 r. 

 

​W maju 2018 roku wejdzie w życie unijne rozporządzenie zapewniające jednolitą ochronę danych osobowych w całej Unii Europejskiej. Rozporządzenie przewiduje szereg rewolucyjnych zmian, do których już teraz warto dostosować praktyki przedsiębiorstwa. Za nieprzestrzeganie nowych obowiązków przedsiębiorcom grozić będą dotkliwe sankcje finansowe.


Rozszerzenie zakresu obowiązków podmiotów przetwarzających dane osobowe


Nowe przepisy dotyczyć będą znacznie szerszej grupy podmiotów, niż dotychczas – także przedsiębiorstw, które oferują usługi na terenie UE, mając jednocześnie siedzibę poza jej granicami. Jedną z istotnych zmian będzie także obowiązek przeprowadzania przez przedsiębiorców oceny skutków operacji przetwarzania dla ochrony danych osobowych, a w pewnych sytuacjach nawet konsultacje z Generalnym Inspektorem Ochrony Danych Osobowych (GIODO) jeszcze przed rozpoczęciem ich przetwarzania. Duża grupa przedsiębiorców będzie zatem musiała uwzględniać ochronę danych już na etapie planowania świadczenia konkretnej usługi.

Rewolucyjną zmianą w kwestii ochrony danych osobowych będzie także wprowadzenie obowiązku zgłaszania przypadków naruszenia danych osobowych do Generalnego Inspektora Danych Osobowych, nie później niż w ciągu 72 godzin od momentu ich wykrycia. Co więcej, przedsiębiorca będzie zobowiązany do dokumentowania wszelkich naruszeń w zakresie ochrony danych osobowych, w tym ich skutków oraz podjętych działań zaradczych. Dodatkowo, jeżeli naruszenie może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przedsiębiorca bez zbędnej zwłoki będzie zmuszony zawiadomić o tym osobę, której dane dotyczą, przekazując informację jasnym i prostym językiem.
 
W związku z powyższym już teraz warto zastanowić się nad przygotowaniem procedury awaryjnej, którą będzie można zastosować w przypadku wystąpienia tego typu naruszenia.
 
Przedsiębiorcy nie będą już mieli obowiązku rejestracji baz danych osobowych. Polski ustawodawca może ewentualnie utrzymać ten wymóg w mocy na podstawie krajowych regulacji ustawowych. Za to w niektórych przypadkach przedsiębiorcy będą zobowiązani powołać wewnętrznego Inspektora Danych Osobowych (tj. osobę odpowiedzialną za bezpieczeństwo przetwarzania danych w danym przedsiębiorstwie – w obecnym stanie prawnym jest to Administrator Bezpieczeństwa Informacji), a także prowadzić rejestr czynności przetwarzania danych.
 
Istotnie rozszerzony zostanie również obowiązek informacyjny wobec osób trzecich, których dane są przetwarzane. Niezbędne będzie podawanie m.in. danych Inspektora Danych Osobowych, podstawy prawnej przetwarzania czy informacji dotyczącej okresu przechowywania danych. Tę zmianę najsilniej odczują przedsiębiorcy, będą oni bowiem musieli znacząco rozszerzyć treść stosowanych formularzy dotyczących zgody na przetwarzanie danych osobowych.
 
Oprócz powyższych wprowadzone zostaną również inne istotne zmiany. Będzie to m.in. rozszerzenie katalogu danych wrażliwych (w szczególności o dane biometryczne), wprowadzenie prawa do bycia zapomnianym, a także nowe regulacje dotyczące przetwarzania danych osobowych dzieci.
 
Surowe konsekwencje nieprzestrzegania nowych przepisów dot. ochrony danych osobowych
Za nieprzestrzeganie przez przedsiębiorców nowych obowiązków przewidziane są dotkliwe sankcje finansowe, które zgodnie z rozporządzeniem mogą wynieść do 20 000 000 EUR lub 4% rocznego światowego obrotu przedsiębiorstwa, przy czym zastosowanie będzie miała kwota wyższa.
 
Nowe regulacje zaczną obowiązywać w państwach członkowskich 25 maja 2018 roku. Oznacza to, że za każde naruszenie popełnione od tej daty przedsiębiorcom grozi surowa kara finansowa. Rozporządzenie nie przewiduje żadnego okresu przejściowego na przetestowanie nowych rozwiązań zapewniających odpowiedni poziom ochrony danych. Kwestia ochrony danych osobowych nabiera zatem niezwykle ważkiego znaczenia, w szczególności z uwagi na wymiar kar grożących za niedostosowanie się do nowych przepisów.
 
Dlatego też warto jak najszybciej rozpocząć proces analizy wewnętrznych procedur oraz dokumentacji związanych z przetwarzaniem danych osobowych w przedsiębiorstwie. Kolejnym krokiem powinno być sformułowanie i wdrożenie odpowiednich środków naprawczych, tak by dostosować przetwarzanie danych osobowych w spółce do nowych wymogów. Ponadto warto już dzisiaj zastanowić się m.in. nad zasadnością powołania w przyszłości Inspektora Danych Osobowych oraz stworzeniem planu awaryjnego w razie naruszenia bezpieczeństwa danych osobowych.
 

W przypadku gdyby byli Państwo zainteresowani naszą pomocą w przeanalizowaniu praktyk stosowanych w Państwa przedsiębiorstwie oraz dokumentacji dotyczącej ochrony danych osobowych pod kątem ich zgodności z obecnymi standardami RODO. Nasi adwokaci jak i radcowie prawni oferują doradztwo prawne także w innych dziedzinach. Są dostępni dla Państwa w biurach Rödl & Partner: Gdańsk, Gliwice, Kraków, Poznań, Warszawa, Wrocław.

Kontakt

Contact Person Picture

Jarosław Kamiński

adwokat

Partner

+48 694 207 482

Wyślij zapytanie

Profil


Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu