25 maj 2018 – nowa rzeczywistość dla polskich przedsiębiorców w obszarze prawa ochrony danych osobowych

 

RODO – wielkie zmiany

W połowie września 2017 r. Ministerstwo Cyfryzacji opublikowało na swojej stronie nowy projekt ustawy o ochronie danych osobowych. W tym samym czasie udostępniono jego uzasadnienie oraz projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych dostosowujący ponad 130 ustaw sektorowych do nowej rzeczywistości, z którą będziemy mieli do czynienia po 25.05.2018 r.

Gruntowne zmiany wynikają z konieczności zapewnienia skutecznego stosowania Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (dalej: RODO – Rozporządzenie o Ochronie Danych Osobowych, ang. GDPR- General Data Protection Regulation). RODO weszło w życie 27.04.2016 r., jednak nie zostało jeszcze przyjęta do stosowania. Nastąpi to już niebawem, 25.05.2018 r. Ta data niewątpliwie spędza sen z powiek niektórych przedsiębiorców, jednak zadziwiająca ich ilość nieświadoma jest nadal nadchodzących, kluczowych zmian, do których będą musieli się bezwzględnie stosować.

Do tej pory w Polsce kwestie związane z omawianą materią regulowała ustawa o ochronie danych osobowych z 29.08.1997 r. implementująca dyrektywę Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych (…) oraz precyzujący ją akt wykonawczy – Rozporządzenie w sprawie warunków technicznych (…) z 2004 r. Od maja następnego roku sytuacja ulegnie zmianie, gdyż nie do ustawy, ale do RODO bezpośrednio stosować się będą wszyscy jego adresaci. Celem polskiej ustawy jest więc jak najlepsze zapewnienie wykonywania rozporządzenia UE w Polsce. Data 25 maja 2018 roku będzie niosła za sobą ogromne zmiany. Polska jako pierwszy kraj UE wdrażając nowe normy, zrekonstruuje cały system prawny, zmieniając 133 ustawy resortowe.

Jak widać, sprawa jest poważna. Przedsiębiorcy stanowią potężną grupę mającą dostęp do danych osobowych innych osób, swoich pracowników, klientów, opierają niekedyswoją całą działalność na przetwarzaniu danych dla innych podmiotów, dlatego muszą już teraz myśleć o przygotowaniu się na dzień 25.05.2018 r., aby z tą datą w pełni spełniać wymogi zapewnienia bezpieczeństwa danych. W przeciwnym wypadku będą mogli spotkać się z realnym zagrożeniem bardzo dotkliwej kary pieniężnej.

Analiza projektu świadczy o jego dokładnym przemyśleniu. Chociaż projekt konsultowany jest nadal ze środowiskiem naukowym, przedsiębiorcami, informatykami, administratorami bezpieczeństwa informacji, Generalnym Inspektorem Ochrony Danych Osobowych oraz organizacjami pozarządowymi i może on ulec jeszcze kolejnym zmianom, wydaje się, że jest obecnie na tyle już dojrzały, że zmiany mogą być jedynie kosmetyczne.

 

Na co należy się przygotować?

Zacząć należy od tego, że przedmiotowe obowiązywanie ustawy nie będzie zasadniczo dotyczyć m.in. działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, działalności literackiej, artystycznej o ile takie ujęcie i wykorzystanie danych w podanym zakresie nie będzie prowadzić do obejścia przepisów.
Należy zdawać sobie sprawę, że urząd Generalnej Inspekcji Ochrony Danych Osobowych oraz Generalny Inspektor stojący na jego czele, zostanie zastąpiony Urzędem Ochrony Danych Osobowych oraz odpowiednio osobą Prezesa, wobec którego zaostrzą się kryteria zawodowe. Zmiana nazwy zwierzchnika zdaje się konieczna, ze względu na powołanie odrębnego stanowiska Inspektora Ochrony Danych, co ze względu na podobieństwo nazw mogłoby wywoływać zamieszanie terminologiczne.

Prezes będzie udostępniał w Biuletynie Informacji Publicznej podlegające aktualizacji rekomendacje, zastępujące wcześniej obowiązujące, nieprzystające już do rzeczywistości rozporządzenie z 2004 r. Rekomendacje będą ważne z punktu widzenia przedsiębiorcy, gdyż otrzyma on w nich odpowiednie wskazówki dotyczące zapewnienia bezpieczeństwa przetwarzania danych. W pierwotnej wersji projektu rolę rekomendacji miały spełniać tzw. dobre praktyki.

Funkcję Administratora Bezpieczeństwa Informacji przejmie Inspektor Ochrony Danych. Będzie to osoba dysponująca specjalistyczną wiedzą w zakresie ochrony danych osobowych, pośrednicząca bezpośrednio między administratorem danych, a osobą której dane są przetwarzane (czyli w spółce kapitałowej będzie to zarząd, w przypadku osoby fizycznej prowadzącej działalność gospodarczą, ta osoba). Nowością będzie możliwość ustanowienia jednego inspektora dla kilku wspólnie administrujących danymi przedsiębiorców.

Ostatecznie Prezes nie tylko będzie uprawniony do akredytowania podmiotów uprawnionych do monitorowania przestrzegania zatwierdzonych kodeksów postępowania, ale także do certyfikowania. Ponadto rejestr podmiotów certyfikowanych i akredytowanych będzie znajdował się w Biuletynie Informacji Publicznej na stronie urzędu. Certyfikacja będzie opierać się na podstawie określonych w Biuletynie informacji, z którymi przedsiębiorca koniecznie będzie musiał się zapoznać. Rozpatrzenie wniosku, którego złożenie będzie mogło nastąpić w formie papierowej lub elektronicznej będzie trwało maksymalnie 3 miesiące. Jego koszty wyniosą trzykrotność przeciętnego miesięcznego wynagrodzenia w roku poprzednim, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego.
Kluczową sprawą z punktu widzenia zapewnienia bezpieczeństwa ochrony danych będzie obowiązek zgłaszania w ciągu 72 godzin do organu nadzorczego naruszenia ochrony danych. Dziś taki obowiązek mają jedynie firmy telekomunikacyjne. Zgłaszać będzie trzeba naruszenia wywołujące duże prawdopodobieństwo pogwałcenia praw i wolności osób, których dane są przetwarzane. Obowiązkiem tym objęty będzie nie tylko administrator danych, ale także procesor, czyli osoba bezpośrednio je przetwarzająca. Brak takiego zgłoszenia będzie surowo karany, o czym później. Przechodząc do procesorów, także wobec nich stosowane będą zaostrzone kontrole. Będą oni odpowiadać za działania podprocesorów, czyli tych podmiotów zewnętrznych, którym przekazują zadania przetwarzania danych. W przypadku posiadania przez procesorów określonych rodzajów danych, także i oni będą mieli obowiązek powołania Inspektora Ochrony Danych. Prawidłowe wypełnianie zadań w zakresie ochrony danych będzie kontrolował również administrator danych.

Poza tym zgodnie z art. 4 ust 4. RODO profilowanie tzn. dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej (…)” będzie musiało zostać objęte zgodą podmiotu na początku procesu zbierania danych, którego informacje dotyczą, a ponadto osoba będzie mogła się na nie nie zgodzić.

Jednym z ważniejszych wprowadzonych wymogów jest rozszerzenie katalogu informacji, jakie przedsiębiorca będzie musiał podać przed pozyskaniem przez podmiot zgody na przetwarzanie danych osobowych, którą będzie mógł wycofać. Poza tym wymaga się również zamieszczania informacji o zamiarze przekazania danych państwu trzeciemu, o prawie do bycia zapomnianym, czasie przechowywania danych, prawie do wniesienia skargi do podmiotu nadzorczego, możliwości wniesienia sprzeciwu oraz możliwości ograniczenia przetwarzania danych, profilowaniu, danych kontaktowych do inspektora ochrony danych, jeśli został wyznaczony etc.

Ważną zmianą jest zastąpienie obowiązku informowania organu nadzorczego o prowadzonych przez administratorów zbiorach danych na rzecz prowadzenia rejestru czynności przetwarzania danych osobowych w przedsiębiorstwach zatrudniających powyżej 250 osób, także tych, które przechowują dane wrażliwe, czyli dotyczące poglądów politycznych, religijnych, stanu zdrowia, a od maja 2018 r. również danych biometrycznych i genetycznych, kolejno również przez podmioty przechowujące informacje mogące potencjalnie naruszać prawa i wolności osób te, które nie prowadzą przetwarzania danych sporadycznie, a także takie, które przetwarzają wyroki skazujące lub informacje o naruszeniu przepisów prawa.

 

Surowe sankcje

Po skrótowym omówieniu zmian i wymagań stawianych przez RODO, czas zapoznać się z konsekwencjami ich nieprzestrzegania.

Podmiotem bezpośrednio odpowiedzialnym za naruszenie RODO będzie podmiot przetwarzający dane osobowe, nawet jeżeli dokonuje ona tego dla klienta na zasadzie outsourcingu. W praktyce oznacza to zwykle odpowiedzialność zarządu przedsiębiorstwa w przypadku spółki albo osoby fizycznej w przypadku prowadzenia jednoosobowej działalności gospodarczej.

Odpowiednie wykonywanie postanowień rozporządzenia będzie sprawdzane poprzez kontrole podejmowane z urzędu, jak również na skutek skarg. Kontrole te będą mogły być niezapowiadane, a czas ich trwania nie będzie dłuższy niż miesiąc. Upoważnieni pracownicy dokonujący kontroli będą uprawnieni do wstępu na teren budynku, wglądu w dokumenty, przeprowadzenia oględzin urządzeń, żądania wyjaśnień oraz do przesłuchania pracowników. Do momentu rozstrzygnięcia sprawy Prezes będzie kompetentny do wydania środka tymczasowego polegającego na nakazie ograniczenia przetwarzania i gromadzenia danych np. wyłącznie do ich posiadania.

W obecnym stanie prawnym kary za nieprzestrzeganie ustawy są znikome i egzekwowane dopiero w wyniku nie zastosowania się do nałożonej na podmiot decyzji administracyjnej, dlatego część przedsiębiorców często kalkuluje czy zachowywanie ochrony danych będzie się opłacać. Takie podejście zakończy się z datą 25.05.2018 r. Od tego momentu źle przygotowani przedsiębiorcy będą mogli jedynie drżeć przed konsekwencjami. Co prawda w przypadku znikomej wagi naruszenia oraz jego zaprzestania Prezes będzie mógł udzielić upomnienia w drodze decyzji, jednakże funkcję prewencyjną przed naruszeniami będą spełniać drastyczne kary finansowe sięgające rzędu milionów Euro. Będą przy tym brane pod uwagę różne przesłanki. Zgodnie z art. 83 RODO w zależności od rodzaju naruszenia trzeba będzie się liczyć z karą w wysokości do 10 lub 20 mln Euro, natomiast w przypadku przedsiębiorców odpowiednio do 2 lub 4 % całkowitego, rocznego,obrotu. Pozyskane środki będą stanowiły dochód budżetu państwa w zakresie rozwoju ochrony danych osobowych (1% zasilał będzie nowo utworzony Fundusz Ochrony Danych Osobowych (FODO).

Obok odpowiedzialności administracyjnej wprowadzono możliwość dochodzenia jednocześnie roszczeń z tytułu naruszeń na gruncie prawa cywilnego i karnego. Może to oznaczać nawet trzykrotne ukaranie przedsiębiorcy. Sprawy cywilne będą mogły być kierowane do cywilnego sądu okręgowego na nowej, niezależnej od art. 24 Kodeksu cywilnego podstawie. Odpowiedzialność karna zostanie ograniczona. Jedynie udaremnianie bądź utrudnianie kontroli UODO oraz przetwarzanie bez podstawy prawnej danych sensytywnych, wymienionych w art. 9 RODO będą traktowane jako przestępstwa. We wcześniejszym stanie prawnym wiele innych czynów niezgodnych z często nieprecyzyjnymi postanowieniami ustawy traktowano jako przestępstwa, co nie było dobrym rozwiązaniem, gdyż ostatecznie i tak nie dochodziło do ich ścigania. Za udaremnianie bądź utrudnianie kontroli będzie grozić kara grzywny natomiast za przetwarzanie bez podstawy prawnej danych wrażliwych grzywna, ograniczenie wolności lub pozbawienie wolności do roku.

 

Podsumowanie

Reasumując, rozporządzenie RODO ma na celu ujednolicenie systemu ochrony danych osobowych w całej Unii Europejskiej. Dzięki niemu każdy obywatel będzie wiedział, jak przetwarzane są jego dane oraz będzie miał prawo do większej ochrony prywatności. Dostosowanie się przedsiębiorców do nowych wymagań wymaga od nich już teraz gruntownego przygotowania zarówno w sferze prawnej, organizacyjnej, jak i technicznej. Nie należy bowiem zapominać o wyposażeniu przedsiębiorstwa w konieczne aplikacje, programy, urządzenia i analizy ryzyka, które zapewnią właściwą ochronę. Warto zapoznac się z Projektem Ministerstwa Cyfryzacji oraz innymi dokumentami i informacjami, które zamieszczone są na stronie: https://www.gov.pl/cyfryzacja/nowe-prawo-ochrony-danych-osobowych .