14 kwietnia 2016r. zakończyły się prace nad reformą prawa unijnego w zakresie ochrony danych osobowych. Parlament Europejski przyjął „Ogólne Rozporządzenie o ochronie danych osobowych”, czyli RODO.
Nowe przepisy będą obowiązywać od 2018 roku. Oznacza to, że najbliższe miesiące to czas na wdrożenie nowych wymogów prawnych w zakresie przetwarzania danych osobowych.
Rozporządzenie unijne wprowadza wiele zmian, szczególnie dotkliwe są te dotyczące kar finansowych dla przedsiębiorców lub instytucji przetwarzających dane osobowe niezgodnie z przepisami. Nowe rozporządzenie w znacznym stopniu pozostawia w mocy aktualne obowiązki i zasady przetwarzania danych, które zostają zaktualizowane i dodatkowo wzmocnione.
Przedstawiamy najważniejsze zmiany nowego prawa oraz wskazówki, jak się do nich przygotować.
Inspektor ochrony danych zamiast ABI
Nowe rozporządzenie szczególny nacisk kładzie na wymóg powołania administratora bezpieczeństwa informacji – ABI, którego nowe rozporządzenie nazywa „inspektorem ochrony danych”.
Do posiadania inspektora zobowiązane są wszystkie podmioty, gdy m.in. główna działalność administratora lub podmiotu przetwarzającego obejmuje przetwarzanie na dużą skalę danych wrażliwych (np. danych o stanie zdrowia) lub których główna działalność obejmuje regularne i systematyczne monitorowanie osób, których dane dotyczą, na dużą skalę (np. obserwowanie ich wyborów i aktywności w Internecie i wykorzystywanie wynikających
z tego wniosków).
Spotkaliśmy się z sytuacjami, w których placówka medyczna lub firma starała się powołać wewnętrznego ABI spośród swojego personelu. Może to być ryzykowne z trzech powodów:
- przepisy wymagają, aby ABI dysponował niezależnością w wykonywaniu swoich obowiązków – jest to trudne do osiągnięcia w przypadku pracowników etatowych,
- trudno wykazać, że pracownik wewnętrzny, któremu powierzone jest pełnienie funkcji ABI, posiada niezbędne kwalifikacje w zakresie ochrony danych osobowych,
- w razie nieumyślnej pomyłki pracownika będącego wewnętrznym ABI, kierownik placówki może żądać od niego pieniężnego odszkodowania, ale wyłącznie do wysokości trzymiesięcznego wynagrodzenia.
Zaletą posiadania zewnętrznego ABI jest jego pełna odpowiedzialność odszkodowawcza, ponieważ przepisy nie limitują jego odpowiedzialności tak, jak odpowiedzialności pracownika. Ma to szczególne znaczenie w kontekście zwiększenia kar finansowych w nowym rozporządzeniu.
Nowe kary pieniężne
Za naruszenie przepisów ODO dotyczących danych wrażliwych grożą kary w wysokości aż do 20 mln euro lub aż do 4% rocznego światowego obrotu. Wysokość kar powinna zmobilizować wszystkie instytucje do przestrzegania przepisów dotyczących przetwarzania danych osobowych.
Obowiązek raportowania naruszeń bezpieczeństwa do GIODO
W świetle RODO każde naruszenie ochrony danych osobowych będzie wymagało zgłoszenia do GIODO. Musi to nastąpić w terminie do 72 godzin od chwili jego stwierdzenia oraz odpowiedniego dokumentowania wszelkich naruszeń ochrony danych, co pozwoli na sprawdzenie, czy są one prawidłowo raportowane i odnotowane.
Naszym klientom zalecamy, aby już teraz dostosowywali swoje wewnętrzne procedury tak, aby zapewnić terminowe zgłaszanie incydentów do inspektora ochrony danych osobowych. To, czy i w jakim terminie administrator danych zgłosi naruszenie, wpłynie na wysokości ewentualnej kary finansowej ustalanej przez GIODO.
Większy zakres przekazywanych informacji
Rozszerzone regulacje w dotyczą także obowiązku informacyjnego przy zbieraniu danych przez administratora. Nowością jest konieczność poinformowania o:
- danych kontaktowych do inspektora ochrony danych (ABI), jeśli został powołany,
- podstawie prawnej i celu przetwarzania danych,
- okresie, przez który dane będą przechowywane lub kryteriach jego ustalania,
- możliwym profilowaniu,
- prawie wniesienia skargi do organu nadzorczego,
- prawach osoby, której dane dotyczą: prawie dostępu do danych, korekty i sprzeciwu wobec ich przetwarzania, przenoszenia i prawie do cofnięcia zgody na przetwarzanie.
Dlatego już teraz zalecamy uwzględnianie na formularzach odpowiednich zgód na przetwarzanie danych, które zabezpieczą placówki przed konsekwencjami niestosowania się do nowych przepisów.
Odszkodowania – większe ryzyko roszczeń
Rozporządzenie unijne wprowadza nowy przepis ułatwiający klientom i pacjentom dochodzenie roszczeń przeciwko organizacji.
Aby domagać się odszkodowania (zadośćuczynienia), nie będzie konieczne dochodzenie przed sądem naruszenia swoich dóbr osobistych, a jedynie fakt naruszenia przepisów nowego rozporządzenia przez organizację oraz fakt poniesienia szkody majątkowej lub niemajątkowej. Zgodnie z nowymi przepisami otrzymują oni możliwość kierowania skarg bezpośrednio do inspektora ochrony danych osobowych (ABI).
Ochrona danych osobowych niezależnie od miejsca ich przetwarzania
Reforma unijna wprowadza jednolity poziom ochrony prywatności obywateli UE. Oznacza to, że będzie on musiał być respektowany również przez firmy spoza UE, jeśli oferują swoje usługi lub produkty w państwach członkowskich. Reforma unijna daje również prawo kierowania skarg do organu ochrony danych w państwie zamieszkania klienta na firmy z innych państw członkowskich.
Rozporządzenie unijne – przestrzeganie przepisów
Uwaga! Rozporządzenie wprowadza również inne, znaczące zmiany. Przepisy unijne rozszerzają aktualny zakres obowiązków o:
– obowiązek prowadzenia przez instytucję nowego rejestru – rejestru czynności przetwarzania, oraz udostępniania go na żądanie GIODO;
– obowiązek poinformowania osoby, której dane są przetwarzane o naruszeniu ochrony jego danych osobowych, np. o ich wycieku;
– obowiązek poinformowania osoby, której dane są przetwarzane o profilowaniu danych (np. w celach marketingowych) oraz wyrażenie przez niego odpowiedniej zgody na takie działania.
Ochrona danych osobowych i obowiązki z nią związane funkcjonują już od dawna. Pomimo przestrzegania tych zaleceń poziom ochrony prywatności wciąż jest bardzo niski.
Nowe rozporządzenie tworzy mechanizmy, które ułatwiają GIODO kontrolowanie wszystkich organizacji. Kadra zarządzająca organizacją powinna zwrócić szczególną uwagę na wprowadzane zmiany. Pozwoli to uniknąć wysokich kar, roszczeń ze strony klientów i pacjentów oraz ponoszenia odpowiedzialności cywilnej. Wyznaczając zewnętrznego eksperta na swojego ABI kierownicy organizacji mogą już teraz przekazać mu obowiązki związane z przetwarzaniem danych.