Kowalczuk-Pakuła: skończyły się żarty z ochroną danych osobowych w UE

W 2018 r. wejdzie w życie nowe rozporządzenie Parlamentu Europejskiego ws. ochrony danych osobowych. Już teraz wszyscy musimy się przygotować na nadchodzące zmiany. Czekają nas ciekawe czasy - ocenia mec. Izabela Kowalczuk-Pakuła z kancelarii Bird & Bird.

09.06.2016 07:55

Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE wejdzie w życie 25 maja 2018 r.

"Kiedy przyjmowano dyrektywę 95/46/WE, założyciel Facebooka Mark Zuckerberg miał 13 lat, Google dopiero co został założony, a cloud computing raczkował. Rozporządzenie uchwalone w 2016 r. jest o wiele bardziej dostosowane do obecnego, zdigitalizowanego świata" - mówi PAP Technologie radca prawny Izabela Kowalczuk-Pakuła, kierująca praktyką ochrony danych osobowych i prywatności w kancelarii Bird & Bird.

Nowe przepisy we wszystkich państwach członkowskich zajmą miejsce dotychczas obowiązujących 28 odpowiedników polskiej ustawy o ochronie danych osobowych. "Rozporządzenie będzie jednolicie obowiązywać - niestety z wieloma wyjątkami - we wszystkich krajach członkowskich UE. To ułatwi stosowanie prawa przez podmioty o zasięgu międzynarodowym" - uważa Kowalczuk-Pakuła.

"Zmienia się paradygmat podejścia do ochrony danych osobowych. Uciążliwe i biurokratyczne zgłoszenia zbiorów danych osobowych zostaną zastąpione koncepcją domyślnej ochrony danych - +data protection by design+, czyli obowiązkiem dbania o ochronę danych osobowych już od rozpoczęcia procesów biznesowych związanych z przetwarzaniem danych" - tłumaczy mecenas.

W obliczu nowych przepisów organizacje będą musiały przeprowadzać analizę skutków operacji przetwarzania dla ochrony danych osobowych, a także będą miały obowiązek uwzględniania ich ochrony już w fazie projektowania usługi. Zaostrzone zostaną także warunki powołania się przez organizacje na niektóre podstawy prawne przetwarzania danych, jak np. zgodę osoby, której dane dotyczą.

Jak wskazuje Kowalczuk-Pakuła, "rozporządzenie nadaje daleko idące uprawnienia osobom fizycznym, jak np. prawo do bycia zapomnianym czy prawo do przenoszalności danych". "Organizacje będą musiały być o wiele bardziej transparentne co do sposobu przetwarzania danych osobowych oraz informować osoby, których dane dotyczą, o takich szczegółach, jak okres retencji danych czy kryteria jego ustalenia, jak również o prawie wniesienia skargi do organu nadzorczego. Ponadto w razie wycieku danych osobowych, w kwalifikowanych wypadkach administratorzy danych będą zobowiązani zgłaszać to do GIODO oraz informować osoby, których dane wyciekły" - dodaje.

Rozporządzenie będzie miało zastosowanie do wszystkich biznesowych organizacji przetwarzających dane osobowe, jednak szczególnie mocno wpłynie na podmioty prowadzące analizę Big Data, zwłaszcza w kontekście profilowania konkretnych osób fizycznych. "Istotnym aspektem w kontekście profilowania w drodze analizy Big Data będą zapewne obostrzone kryteria dla uzyskania zgody na profilowanie od osób, których dane dotyczą - w tym bardzo rozbudowany obowiązek informacyjny - oraz obowiązek zgłaszania naruszeń ochrony danych do organów nadzorczych, takich jak GIODO" - uważa Kowalczuk-Pakuła.

Ekspertka przyznaje, że "wielu przedsiębiorców kwestionuje niektóre zapisy rozporządzenia jako za mało uwzględniające interesy biznesu, a zbyt dalece chroniące osobę fizyczną, i to w większości przypadków niezależnie od tego czy mają miejsce stałego zamieszkania w UE czy nie". W egzekwowaniu nowego prawa ma pomóc zaostrzenie sankcji. "Kary będą o wiele bardziej dotkliwe - do 20 mln euro, a w przypadku przedsiębiorstwa nawet do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego" - przestrzega Kowalczuk-Pakuła.

"Biorąc pod uwagę szeroki zakres zmian, już teraz warto rozpocząć przygotowania do wejścia w życie nowych przepisów. Przede wszystkim organizacje powinny dokonać analizy luk i uchybień przepisów rozporządzenia, zaplanować środki naprawcze i kolejność ich wdrażania oraz zastanowić sią nad celowością powołania inspektora ochrony danych (chyba, że takie powołanie jest obowiązkowe na podstawie rozporządzenia)" - wylicza Kowalczuk-Pakuła. Jej zdaniem "warto także zastanowić się nad przeglądem i uaktualnianiem polityk prywatności i klauzul informacyjnych czy zgód, a także umów z dostawcami".

"Rozporządzenie jest dobrą okazją do zrobienia przez organizacje porządków na własnych podwórkach i ustalenia kategorii danych na potrzeby mapowania (identyfikacji danych), identyfikacji podstaw przetwarzania i przekazywania danych oraz środków zapewniających odpowiedni poziom bezpieczeństwa transferu danych, okresy lub kryteria retencji, itd." - wymienia.

"Wszyscy musimy się przygotować na nadchodzące zmiany - duzi i mali gracze, biznes i podmioty publiczne. Nie tylko europejskie, ale także wiele podmiotów spoza Unii, np. usługodawcy, którzy na co dzień świadczą usługi rezydentom UE. Żarty z ochroną danych osobowych się skończyły. Czekają nas ciekawe czasy" - przewiduje Kowalczuk-Pakuła.

Mateusz Kominiarczuk (PAP Technologie)

mk/ jbr/

Źródło artykułu:PAP
Wybrane dla Ciebie
Komentarze (2)