W 2018 r. wejdzie w życie rozporządzenie Parlamentu Europejskiego i Rady UE ws. ochrony danych osobowych.

Jest to rewolucyjna zmiana w tym zakresie, która odnosi się również do ochrony danych osobowych – przyszłych i aktualnych – pracowników.

Postanowiłam zatem poświęcić temu zagadnieniu kilka artykułów. Pierwszy wpis ma charakter wprowadzający -wskazuje na zasadnicze zmiany, które niesie ze sobą nowe rozporządzenie.

I. Zmiany w ochronie danych osobowych

Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zacznie obowiązywać od 25 maja 2018 r.

Głównym celem tego unormowania jest ujednolicenie procedur w tym zakresie, a także nakierowanie na wzmocnienie ochrony danych osób fizycznych.

Regulacja wprowadza pewne – nieznane wcześniej – zasady:

a) ochrona danych osobowych osób fizycznych odnosi się nie tylko do pracodawców, przedsiębiorców czy administracji z obszaru unijnego, ale równie spoza niego – tyczy się to sytuacji gdy oferowane będą obywatelom UE dobra lub usługi, a także, gdy monitorowane będą przez te podmioty zachowania mieszkańców Unii Europejskiej,

b) tzw. privacy by design – podmiot przetwarzający dane – bez ingerencji osoby, której dane dotyczą – musi je chronić; zatem już w fazie tworzenia, projektowania jakiejś usługi/produktu oferowanego później klientom,

c) tzw. privacy by default – podstawowe ustawienia powinny chronić prywatność użytkownika, gromadzić minimalny zakres danych osobowych, dawać mu swobodę decydowania w tym zakresie,

d) prowadzenie rejestru czynności związanych z przetwarzaniem danych – aktualnie należy zgłaszać dane do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Jest to dość uciążliwy obowiązek, przez niektórych postrzegany nawet jako biurokratyczny, dlatego ustawodawca europejski postanowił go znieść; jednakże w dalszym ciągu do GIODO trzeba będzie zgłaszać przypadki naruszenia danych osobowych oraz w przypadku cięższych naruszeń informować podmioty, których taka sytuacja dotyczy,

e) wprowadzone zostaną także pewne prawa, np. do bycia zapomnianym, przenoszenie danych, ich profilowanie itd.,

f) transfer danych osobowych do państw trzecich zostanie ułatwiony,

g) pogłębiony zostanie obowiązek informacyjny w trakcie zbierania informacji o charakterze prywatnym, co przyczyni się do zwiększenia ilości klauzul informacyjnych,

h) Administrator Bezpieczeństwa Informacji (ABI) zostanie zastąpiony funkcją Inspektora Ochrony Danych (IOD), która w wielu przypadkach będzie funkcja obligatoryjną.

II. Jaki mechanizm ma zapewnić realizację zmian  w zakresie danych osobowych w krajowych porządkach prawnych?

W/w rozporządzenie PE i Rady UE stosuje się bezpośrednio – co oznacza, że nie ma konieczności transponowania tych przepisów do krajowych porządków prawnych, co nie zmienia faktu, że w przypadku gdy przepisy wewnętrzne danego państwa członkowskiego są sprzeczne z aktem unijnym – należy je dostosować.

III. Co grozi za nieprzestrzeganie nowych przepisów dotyczących ochrony danych osobowych?

Otóż, kary są wysublimowane – ma to motywować podmioty do przetwarzania danych osobowych zgodnie z prawem.

Za przetwarzanie danych w sposób niezgodny z prawem – kara do 20 mln euro. W przypadku samych przedsiębiorców sankcje będą wynosić do 4% wartości światowych obrotów z poprzedniego roku obrotowego. ,

Kto będzie nakładał powyższe kary ?

GIODO, przy czym musi kierować się zasadą proporcjonalności, ale i skuteczności.

Czy zaskarżenie naruszeń ochrony danych osobowych jest płatne ?

Otóż nie. Skargi do odpowiednich krajowych instytucji będą darmowe.

Co ciekawe, podmiot będzie miał możliwość uzyskania potwierdzenia – w postaci certyfikatów czy znaków jakościowych – że chroni dane osobowe w sposób gwarantujący wysoką jakość.

W kolejnym artykule poruszę kwestię przetwarzania danych osobowych kandydatów do pracy i pracowników w świetle aktualnie obowiązujących przepisów oraz projektu ustawy nowelizującej kodeks pracy, która ma na celu dostosować polskie przepisy do rozporządzenia unijnego.

icon
Jeśli masz pytania, potrzebujesz pomocy, indywidualnej konsultacji albo potrzebujesz szkolenia z zakresu ochrony danych osobowych napisz do mnie na adres: katarzyna@klemba.pl


Jeśli zaś interesuje Cię szerzej tematyka związana z ochroną danych osobowych i indywidualnie chcesz ją zgłębić, to polecę również książkę Wydawnictwa C. H. Beck Sp. z o.o:

Ochrona danych osobowych pracowników w świetle rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679

Napisz komentarz

Twój adres email nie zostanie opublikowany. Zaznaczone pola są obowiązkowe *