Nowe zasady ochrony danych osobowych. Jak zmienią się obowiązki administratorów danych osobowych?
W maju 2018 r. wejdzie w życie unijne Ogólne Rozporządzenie o ochronie danych osobowych nr 2016/679 i zastąpi polską ustawę o ochronie danych osobowych z 1997 r. Ogólne Rozporządzenie o ochronie danych oznacza rewolucję w ochronie i przetwarzaniu danych osobowych. Oprócz rozszerzenia katalogu praw osób, których dane osobowe są przetwarzane, Ogólne Rozporządzenie wprowadzi też znaczne wymagania w stosunku do administratorów danych osobowych, a brak ich spełnienia może oznaczać kary pieniężne aż do 20.000.000 Euro.
Administrator danych osobowych, czyli kto?
Administratorem danych osobowych jest ten podmiot, który decyduje o celach, sposobach i zakresie przetwarzania danych osobowych. Administratorami danych osobowych mogą być więc jednoosobowi przedsiębiorcy, spółki czy urzędy państwowe. Administratorami danych osobowych są również szkoły czy fundacje. Ważne jest to, że dany podmiot staje się administratorem danych osobowych już w sytuacji, gdy przetwarza dane osobowe choćby jednej osoby. Pamiętać również trzeba, że fakt przetwarzania danych osobowych dla celów niezarobkowych nie powoduje, że dany podmiot nie będzie uznawany za administratora danych osobowych.
Dane osobowe, czyli co?
Zgodnie z Ogólnym Rozporządzeniem danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Oznacza to, że danymi osobowymi są takie informacje jak imiona i nazwiska, numery PESEL, dane o miejscu zameldowania czy wizerunek (zdjęcie) osoby. Istotny jest fakt, że dane osobowe może mieć tylko człowiek. Firmy, urzędy czy stowarzyszenia nie mają danych osobowych, ale mogą być ich administratorami.
Obowiązki administratora danych osobowych w Ogólnym Rozporządzeniu
Ogólne Rozporządzenie wprowadza rewolucje w obowiązkach administratorów danych osobowych. Jedną z najważniejszych zmian wprowadzonych przez Ogólne Rozporządzenie o ochronie danych osobowych jest nałożenie na administratora oceny ryzyka naruszenia praw i wolności osób, których dane osobowe są przetwarzane. W tym aspekcie administrator danych osobowych będzie musiał uwzględnić charakter, zakres, kontekst i cele przetwarzania danych osobowych, aby móc wdrożyć odpowiednie środki techniczne, które zapewnią bezpieczeństwo danych osobowych i ich przetwarzanie zgodnie z prawem. Administrator będzie mógł opracować odpowiednie polityki ochrony danych osobowych. Niestety, obecnie stosowane polityki bezpieczeństwa nie będą mogły być wykorzystywane, ponieważ nie uwzględniają przesłanek wskazanych w art. 24 Ogólnego Rozporządzenia, którymi są między innymi ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą, zakres przetwarzania danych i kontekst przetwarzania. Warto podkreślić, że w sytuacji gdy administrator danych osobowych jest dużym podmiotem (zatrudnia nie mniej niż 250 osób) lub przetwarza wrażliwe dane osobowe takie jak dane o stanie zdrowia czy o poglądach politycznych, będzie zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych.
Niezależnie od szczegółowych wymogów, każdy administrator danych osobowych będzie musiał przetwarzać dane osobowe rzetelnie, zgodnie z prawem i w sposób przejrzysty dla osoby, której dane dotyczą.
Znaki jakości – nowy sposób na wykazanie przez administratora danych osobowych zgodności przetwarzania danych z prawem
Ogólne Rozporządzenie o ochronie danych osobowych wprowadza nowe rozwiązania, dzięki którym administratorzy danych osobowych będą mogli wykazać, że przetwarzają dane osobowe zgodnie z prawem. Tym rozwiązaniem są znaki jakości i certyfikaty danych osobowych. Niezależne podmioty certyfikujące, po przeprowadzeniu audytu u administratora, będą mogły nadać administratorowi odpowiedni znak jakości.
Ogólne Rozporządzenie wyzwaniem dla administratorów
Wejście w życie Ogólnego Rozporządzenia o ochronie danych osobowych będzie wyzwaniem dla wszystkich administratorów danych osobowych. Zmiany zasad przetwarzania danych osobowych będą łączyły się z koniecznością przystosowania procedur i systemów u każdego administratora danych osobowych. Jest to szczególnie istotne tym bardziej, że Ogólne Rozporządzenie wprowadza sankcje pieniężne za niezgodne z prawem przetwarzanie danych osobowych, które mogą być bardzo dotkliwe, ponieważ ich górną granicą jest 20.000.000 Euro.
Łukasz Łyczkowski
Prawnik zajmujący się ochroną danych osobowych