Rozporządzenie GDPR (RODO) będzie mieć zastosowanie już w maju tego roku. Czym jest, jakie wprowadza zmiany i jak wpłynie na Ciebie i Twoją firmę?

Po analizie rozporządzenia ePrivacy (pierwszy artykuł z serii o ePrivacy przeczytasz tu) wracamy do samego GDPR.

 

Wstępne informacje o GDPR, a także kilka słów o założeniach niniejszego cyklu artykułów, znajdziesz we wpisie pilotowym, który przeczytasz tu.

 

Dla przypomnienia: GDPR zaktualizuje dotychczasowe rozwiązania obowiązujące w państwach Unii Europejskiej (Dyrektywę 95/46 WE) i dostosuje je do wymagań stawianych przez erę cyfrową oraz rozwój społeczeństwa informacyjnego.

 

Przeczytaj też dwa wpisy o ePrivacy, czyli rozporządzeniu towarzyszącemu RODO. Są tu: wpis 1 i wpis 2.

Jeszcze uwaga techniczna – określeń RODO i GDPR będziemy w niniejszym artykule używać zamiennie. Oznaczają one to samo rozporządzenie, ale ponieważ oba pojawiają się w dyskusjach, warto, abyś był „oswojony” z obydwoma terminami.

 

 

Podobnie jak w poprzednich artykułach o RODO i ePrivacy, poprosiliśmy o wpis gościnny i obszerny komentarz Panią Joannę Swaryczewską-Dede z kancelarii Porębski i Wspólnicy, specjalizującą się między innymi w zagadnieniach związanych z przetwarzaniem danych osobowych, oraz zajmującą się przygotowywaniem dokumentacji wewnętrznej dla przedsiębiorców, prowadzeniem audytów, a także doradztwem z zakresu ochrony danych osobowych.

Joanna Swaryczewska-Dede, adwokat w kancelarii Porębski i Wspólnicy

 

Rozporządzenie GDPR – Główne założenia

 

Tekst GDPR to ponad 86 stron języka urzędowego, zatem skupimy się na syntezie i najważniejszych punktach, które są następujące:

  1. Ujednolicenie prawa o ochronie danych osobowych w całej Unii Europejskiej.
  2. Zwiększenie kontroli osób fizycznych nad ich danymi osobowymi.
  3. Nałożenie na administratorów* i procesorów* danych dodatkowych obowiązków w zakresie ochrony danych.
    • zmiana podejścia do kwestii zabezpieczenia danych
    • samoocena ryzyka i środków ochrony danych po stronie przedsiębiorstw
    • ciągła kontrola adekwatności zastosowanych środków oraz ich bieżące udoskonalanie.
  4. RODO ma zastosowanie w odniesieniu do przetwarzania danych osobowych w związku z działalnością prowadzoną przez podmioty z siedzibą w Unii Europejskiej niezależnie od tego, czy przetwarzanie odbywa się w UE. Stosuje się ja także do podmiotów mających siedzibę poza UE, przetwarzające dane osób przebywających w UE jeżeli czynności przetwarzania wiążą się z: oferowaniem towarów lub usług takim osobom w UE lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w UE.
  5. Wymuszenie stosowania nowych przepisów poprzez umożliwienie organowi nadzorczemu nakładania wysokich kar pieniężnych.

 

* „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
*„procesor”, „podmiot przetwarzający” – podmiot, któremu administrator w udokumentowany sposób powierzył przetwarzanie danych osobowych.

 

Główne założenia GDPR/RODO – komentarz prawnika

„Pomimo wprowadzenia przez GDPR wielu nowych rozwiązań i wymogów zarówno dla administratorów, jak i procesorów danych, regulacja ta stanowi raczej ewolucję niż rewolucję przepisów. Obowiązujące dotychczas zasady przetwarzania i ochrony danych osobowych zostały zaktualizowane i wzmocnione.

W motywach RODO podkreślono, że szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Zmiany w zakresie norm ochrony danych osobowych i ujednolicenie prawa w tym zakresie okazały się zatem konieczne, aby zapewnić właściwy i jednolity poziom ochrony danych osobowych w całej UE, a także zagwarantować właściwe egzekwowanie przepisów dotyczących ochrony danych osobowych.

Pomimo, że RODO będzie mieć zastosowanie od 25 maja 2018 r., wprowadzenie nowych ram prawnych dla ochrony danych osobowych odniosło już z pewnością pozytywny efekt. „Zamieszanie” wokół nowej regulacji spowodowało wzrost świadomości dotyczącej zasad ochrony danych osobowych. Sygnalizuję jednak, że konieczne jest pogłębienie wiedzy w tym temacie, w szczególności jeśli chodzi o przedsiębiorców, którzy związku z prowadzoną działalnością przetwarzają, czyli wykonują jakiekolwiek operacje na danych osobowych.
Od wskazanej wyżej daty administratorzy i procesorzy będą musieli wykazać, że spełniają wymogi RODO. Czas więc rozpocząć intensywne działania w celu dostosowania swojej firmy do przepisów GDPR. Podstawową wiedzę o zasadach ochrony danych wynikających z RODO powinny mieć nie tylko podmioty, na które rozporządzenie nakłada obowiązki, ale również podmioty danych, czyli osoby fizyczne, których dane dotyczą. Warto wiedzieć jakie prawa nam przysługują oraz co możemy zrobić jeżeli zostaną one naruszone.”

 

 

Rozporządzenie GDPR w Polsce

 

GDPR ma formę rozporządzenia, zatem zaczyna obowiązywać na całym terenie Unii i nie wymaga wdrożenia do prawa krajowego przez poszczególne państwa członkowskie.

Mimo to, RODO pozostawia pewien zakres swobody dla państw UE i konieczne jest dostosowanie krajowych regulacji do rozwiązań przewidzianych w rozporządzeniu.

GDPR zastąpi dyrektywę 95/46/WE w sprawie ochrony danych osobowych, której implementację stanowią przepisy krajowe. W Polsce jest to przede wszystkim Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ale również i niektóre przepisy sektorowe.

Na stronie Ministerstwa Cyfryzacji został opublikowany projekt ustawy o ochronie danych osobowych oraz projekt ustawy „Przepisy wprowadzające ustawę o ochronie danych osobowych”.
Projekty obu wyżej wskazanych ustaw przeszły etap konsultacji publicznych; wg Ministerstwa Cyfryzacji, powinny trafić do Sejmu na początku marca 2018 roku.
Ostatecznie, nowe krajowe przepisy powinny wejść w życie przed 25 maja 2018 r.
Projekt ustawy o ochronie danych osobowych zakłada powołanie nowego państwowego organu – zwanego Prezesem Urzędu Ochrony Danych Osobowych – w miejsce obecnego GIODO.

GDPR znacząco rozszerza kompetencje organu nadzorczego w porównaniu do kompetencji przyznanych aktualnie GIODO. Prezes Urzędu ochrony danych Osobowych będzie miał możliwość nakładania wysokich kar finansowych bezpośrednio na podmioty, które dopuściły się naruszenia przepisów o ochronie danych.

Projekt nowej ustawy o ochronie danych osobowych zawiera postanowienia dotyczące kodeksów postępowania oraz mechanizmów certyfikacji i akredytacji w zakresie ochrony danych osobowych. Mają one pomagać we właściwym stosowaniu RODO.

 

Rozporządzenie GDPR w Polsce – komentarz prawnika

Krajowe akty prawne będą jedynie uzupełnieniem modelu ochrony danych uregulowanego w RODO. Podstawowym aktem prawnym regulującym zasady przetwarzania i ochrony danych będzie RODO. Rozporządzenie to, jak wskazano wyżej, będzie stosowane bezpośrednio i będzie mieć bezpośrednią skuteczność wobec instytucji, podmiotów prawa i obywateli każdego z państw członkowskich UE.
Oznacza to, że na terenie UE będą obowiązywały spójne i jednolite przepisy w tym zakresie. Dla przedsiębiorców prowadzących działalność na terenie wielu państw UE będzie to niewątpliwie korzystne – dzięki temu będą mogli tworzyć wspólne i jednolite procedury w zakresie ochrony i przetwarzania danych osobowych.”

 

 

Znasz już podstawowe założenia GDPR, wiesz też, czego możesz spodziewać się w polskim prawie dostosowującym. W kolejnym artykule zejdziemy głębiej – poznasz bliżej prawa osób, których dane osobowe dotyczą (tak, to Ty!) oraz obowiązki przedsiębiorstw związane z pozyskiwaniem zgody na przetwarzanie danych i ich przetwarzaniem. Kliknij tu, aby przeczytać artykuł „Co GDPR oznacza dla Ciebie”!