proti - to be online   

Od pewnego czasu trwają aktywne prace organów Unii Europejskiej w ramach realizowania idei jednolitego rynku cyfrowego na obszarze Wspólnoty. Jednym z jej elementów składowych jest zintegrowanie i ujednolicenie w Europie systemu ochrony danych osobowych. Aktem wprowadzającym te zmiany w niedalekiej przyszłości będzie rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych – powszechnie znane jako europejskie rozporządzenie o ochronie danych. Wielu podmiotom wydaje się, że nie są to zmiany istotne, jeśli koncentrują się one na działalności krajowej. Nie jest to przekonanie prawdziwe. Jakie zmiany czekają zatem polskich przedsiębiorców?

Nowe obowiązki informacyjne. Część z informacji, które administrator danych ma obowiązek przekazać, osobie, której dane osobowe są przetwarzane, pokrywają się z dotychczasowymi obowiązkami z naszej krajowej ustawy, jednakże dotychczas stosowane procedury będą musiały zostać odpowiednio uzupełnione m. in. o pouczenie o prawie złożenia skargi organowi nadzorczemu (tj. GIODO) oraz o dane kontaktowe organu nadzorczego.

Prawo do bycia zapomnianym. Oprócz usystematyzowania uprawnień osób, których dane są przetwarzane takich jak korekta lub uzupełnienie danych osobowych czy wgląd do ich treści, rozporządzenie ustanawia wprost prawo do bycia zapomnianym, które swoje korzenie czerpie w precedensowym wyroku hiszpańskiego sądu przeciwko Google. Zgodnie z tym prawem administrator musi na żądanie podmiotu nie tylko usunąć przetwarzane dane ale także poinformować podmioty trzecie o takim żądaniu, aby dane te w najszerszym możliwym zakresie zniknęły z przestrzeni publicznej.

Inspektor Ochrony Danych. Podmiot o zbliżonych funkcjach do naszego, krajowego odpowiednika - Administratora Bezpieczeństwa Informacji. Rozporządzenie kompleksowo będzie regulować jego status prawny i obowiązki. Prawdopodobnie zatem Administrator Bezpieczeństwa Informacji zostanie zastąpiony przez Inspektora Ochrony Danych, choć nomenklatura nadal pozostaje do uzgodnienia.

Prawo do skargi do GIODO. Prawo do skargi do GIODO na niezgodne z prawem przetwarzanie danych osobowych zostało przyznane nie tylko podmiotowi, którego dane te dotyczą, ale również organizacjom i zrzeszeniom działającym w imieniu tego pojedynczego podmiotu albo grupy osób. Nadto od decyzji GIODO w sprawie skargi przysługuje prawo odwołania się do sądu. Jeżeli w wyniku niezgodnego z prawem przetwarzania danych osoba taka doznała szkody, administrator danych lub podmiot przetwarzający dane jest zobowiązany ją naprawić, tj. wypłacić odszkodowanie.

GIODO wyposażony w uprawnienia do nakładania kar pieniężnych. Prawdziwą rewolucją jednakże jest przyznanie GIODO możliwości stosowania sankcji administracyjnych, tj. udzielania ostrzeżeń i nakładania kar pieniężnych (Parlament Europejski dodatkowo postuluje sankcje w postaci regularnych okresowych kontroli w zakresie ochrony danych). Rozporządzenie wyróżnia trzy kategorie sytuacji, w których GIODO ma być uprawniony do zastosowania grzywna, i różnicuje w zależności od nich górną granicę kar pieniężnych. Maksymalna wysokość sankcji, jaką GIODO będzie mogło nałożyć, to kwota do 1.000.000 EURO albo odpowiadająca maksymalnie do 2% rocznego, światowego obrotu przedsiębiorcy (Parlament Europejski dąży do podwyższenia tej kwoty do 5%). Warto jednakże nadmienić, że przy wymierzaniu kary GIODO będzie musiał uwzględnić stopień współpracy przedsiębiorcy z organem i w ostatecznym rozrachunku być może nawet odstąpić od kary.

Przyjęcie europejskiego rozporządzenia o ochronie danych niewątpliwie  będzie się wiązać z pewnymi, natychmiastowymi zmianami w polskim systemie prawym.  Państwa członkowskie są uprawnione do wprowadzania odrębnych regulacji we wskazanych przez rozporządzenia zakresach, takich jak: wolność wypowiedzi, zdrowie, zatrudnienie czy statystyka. Prawdopodobnie zatem polski ustawodawca uchwali nową ustawę o ochronie danych osobowych, która będzie kompatybilna z omawianym rozporządzeniem lub dokona jej nowelizacji.

Obecnie szczegóły europejskiego rozporządzenia o ochronie danych są omawiane na posiedzeniach trójstronnych Parlamentu Europejskiego, Komisji Europejskiej i Rady, choć wydaje się, że na chwilę obecną główne założenia projektu pozostaną już bez zmian. Tym samym przedsiębiorcy powinni być świadomi, iż w niedługim czasie czekają ich zmiany w procedurach przetwarzania danych osobowych oraz ryzyko kar finansowych, związanych z naruszeniami w tym zakresie. 

Jakub Kurzawski

27.07.2015 

Copyright © Kaszubiak Jędrzejko Adwokaci. Wszelkie prawa zastrzeżone. Biuro: ul. Winogrady 60/2, 61-658 Poznań
projekt i realizacja: proti - to be online