Za niecałe dwa lata jednolite prawo w zakresie danych osobowych w Unii Europejskiej. Wysokie kary za niedostosowanie się do zmian

Pod koniec maja 2018 roku w życie wejdzie unijne rozporządzenie o ochronie danych osobowych, które ujednolici zasady obowiązujące w tym zakresie w 28 państwach Unii Europejskiej. Założeniem jest zapewnienie większej prywatności podmiotowi danych. Podmioty przetwarzające dane będą więc miały więcej obowiązków informacyjnych, będą też musiały oceniać wpływ tego przetwarzania na prywatność. To wymaga szeregu przygotowań, m.in. w systemach IT. Nierespektowanie przepisów będzie wiązało się z wysokimi karami.

– Zmian jest naprawdę sporo. To przede wszystkim rozszerzenie praw podmiotu danych osobowych. Rozszerzono również katalog obowiązków administratorów danych osobowych, który teraz będzie się nazywał inspektorem danych osobowych – mówi agencji Newseria Biznes Anna Dmochowska, adwokat, specjalista ds. ochrony danych w ODO 24.

Podmiot danych będzie musiał być poinformowany o tym, jakie dane i w jakim celu są zbierane, kto będzie je przetwarzał oraz kto w danej firmie czy instytucji jest inspektorem danych osobowych wraz z kontaktem. Dowie się też o swoich prawach: do usunięcia, przeniesienia danych, ograniczenia lub wycofania zgody na ich przetwarzanie. Klauzula, którą dziś klika lub podpisuje, będzie więc znacznie obszerniejsza, co – jak podkreśla ekspertka – może być problematyczne dla podmiotów danych, którzy już dziś rzadko je czytają.

Administratorzy będą też musieli poinformować klientów o tym, że podlegają profilowaniu, czyli wykorzystywaniu danych do tworzenia analizy klienta lub prognozowania jego przyszłych potrzeb. Możliwość tworzenia takich profili także zostanie ograniczona do określonych przypadków.

– Podmiot danych stał w centrum założeń unijnej reformy. Znacząco rozszerza ona prawa konsumentów, chociażby wprowadza dość kontrowersyjne prawo do bycia zapomnianym, a także prawo do przenoszenia danych osobowych. Dany podmiot będzie mógł przenosić swoje dane osobowe od jednego administratora do drugiego administratora – wyjaśnia Dmochowska.

Podmioty przetwarzające dane będą musiały zabezpieczyć ich ochronę od samego początku, czyli już na etapie projektowania przez przedsiębiorców nowych produktów i usług. Prywatność będzie także traktowana jako standardowe ustawienia systemów. Dla przykładu w serwisach społecznościowych domyślnie ustawiona będzie opcja, by jak najmniej informacji o użytkowniku było dostępnych publicznie, a on sam będzie mógł tę prywatność zmniejszać.

To oznacza wiele nowych obowiązków dla firm, które przetwarzają dane klientów.

– Rozporządzenie wprowadzi zasadę szacowania ryzyka. Administrator danych osobowych sam będzie musiał podjąć decyzję o tym, jakie środki musi podjąć, aby dane osobowe były w sposób odpowiedni chronione, aby nie dochodziło do jakichkolwiek incydentów. Co więcej, będzie musiał się z tego rozliczać, wykazując, że stosuje odpowiednie środki – mówi Anna Dmochowska.

Będą więc mogli zawierać umowy o powierzenie przetwarzania danych tylko z podmiotami, które gwarantują odpowiednie zabezpieczenie tego procesu.

W ocenie ekspertki ODO 24 dużym ułatwieniem dla grup kapitałowych może być możliwość wyznaczenia jednego wspólnego inspektora danych osobowych.

Rozporządzenie wprowadza wysokie kary za nierespektowanie przepisów. Firmy muszą się liczyć z sankcjami do wysokości 20 mln euro lub 4 proc. globalnego rocznego obrotu z poprzedniego roku finansowego.