Reforma ochrony danych osobowych

Od kilku lat w UE prowadzono prace zmierzające do szeroko zakrojonej reformy ochrony danych osobowych, która będzie odpowiadać rozwojowi technologicznemu i nowym wyzwaniom rynku. Prace te zostały zakończone wiosną tego roku. W dniu 4 maja 2016 r. w Dzienniku Urzędowym UE L 119 zostało opublikowane Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO). Rozporządzenie będzie stosowane bezpośrednio we wszystkich państwach członkowskich, w tym w Polsce, od 25 maja 2018 r.

RODO przewiduje wiele nowych rozwiązań zmierzających do zwiększenia poziomu ochrony danych osobowych, w tym dodatkowe obowiązki dla podmiotów przetwarzających dane. Istotne znaczenie ma rozszerzenie zakresu stosowania przepisów RODO także na przedsiębiorców działających poza UE, którzy oferują towary lub usługi osobom na terytorium UE (np. za pośrednictwem Internetu). RODO znacząco wzmacnia pozycję podmiotów danych, w tym rozszerza zakres obowiązku informacyjnego wobec takich osób, wprowadza prawo do przenoszenia danych osobowych, prawo do ograniczenia przetwarzania danych, tzw. „prawo do bycia zapomnianym” oraz szczególne regulacje dotyczące profilowania. Inne, nowe obowiązki to m.in.: (i) uwzględnienie ochrony danych osobowych w fazie projektowania przedsięwzięć (privacy by design), (ii) wprowadzenie domyślnej ochrony danych (privacy by default), (iii) dokonywanie oceny skutków planowanych operacji przetwarzania danych osobowych, (iv) rejestracja czynności przetwarzania danych osobowych, (v) zgłaszanie naruszeń ochrony danych osobowych.

Ze względu na duży zakres zmian wprowadzonych przez RODO, termin jego stosowania został odroczony do 25 maja 2018 r. Do tego czasu podmioty przetwarzające dane osobowe powinny dostosować wewnętrzne procesy i procedury do nowych wymogów. Jest to szczególnie ważne ze względu na wprowadzone przez RODO wysokie sankcje za naruszenie jego przepisów. Kary finansowe wymierzane przez organ nadzorczy (GIODO) mogą osiągnąć 4% rocznego obrotu przedsiębiorcy z poprzedniego roku obrotowego.

W związku z tym, że wymagane zmiany w organizacji ochrony danych osobowych w Państwa przedsiębiorstwie mogą mieć szeroki zakres i być czasochłonne, rekomendujemy Państwu przeprowadzenie już teraz audytu bezpieczeństwa danych osobowych, który pozwoli na zidentyfikowanie obszarów wymaganych zmian oraz zaplanowanie ich wdrożenia przed 25 maja 2018 r. Jesteśmy gotowi pomóc Państwu w przeprowadzeniu takiego audytu (w wymiarze około 10 godzin), który będzie zakończony sporządzeniem raportu opisującego wyniki badania oraz zalecenia dotyczące tego, jakie działania i w jakiej kolejności należy podjąć w celu wdrożenia wymaganych zmian.

Jeśli potrzebowaliby Państwo bardziej szczegółowych informacji dotyczących reformy ochrony danych osobowych lub jesteście Państwo zainteresowani przeprowadzeniem audytu bezpieczeństwa danych osobowych, prosimy o kontakt z radcą prawnym Agnieszką Kocon (e-mail: agnieszka.kocon@laszczuk.pl).