Dziennik Przedsiebiorcy

Publikacja 25.10.2016

KW_TAGS

Unia Europejska postanowiła zreformować zasady przetwarzania danych osobowych. Już w maju 2018 r. wejdzie w życie unijne Ogólne Rozporządzenie o ochronie danych osobowych nr 2016/679, które zastąpi krajową ustawę o ochronie danych osobowych z 1997 r. Nowe, jednolite zasady przetwarzania danych osobowych w całej Unii Europejskiej mają zapewnić ich lepszą ochronę, ale dla przedsiębiorców przetwarzających dane osobowe oznaczają konieczność gruntownej zmiany sposobu przetwarzania danych osobowych. Ogólne Rozporządzenie przewiduje, że administratorzy, którzy naruszają zasady ochrony danych osobowych będą mogli być karani karami pieniężnymi, których wysokość może sięgać 20.000.000 euro lub w przypadku przedsiębiorców do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Czy przedsiębiorca przetwarza dane osobowe?

Przedsiębiorcy, w zależności od prowadzonej działalności, przetwarzają różne rodzaje danych osobowych różnych osób. Mogą to być dane osobowe klientów, poddostawców, pracowników, podwykonawców i wszystkich innych osób współpracujących z przedsiębiorcą. Przedsiębiorcy są więc administratorami danych osobowych. Administratorami danych osobowych są, zgodnie z Ogólnym Rozporządzeniem te podmioty, które decydują o celach, sposobach i zakresie przetwarzania danych osobowych. Ważne jest to, że dany podmiot staje się administratorem danych osobowych już w sytuacji, gdy przetwarza dane osobowe choćby jednej osoby. Pamiętać również trzeba, że fakt przetwarzania danych osobowych dla celów niezarobkowych nie powoduje, że dany podmiot nie będzie uznawany za administratora danych osobowych.

Dane osobowe, czyli co?

Zgodnie z Ogólnym Rozporządzeniem danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Oznacza to, że danymi osobowymi są takie informacje jak imiona i nazwiska, numery PESEL, numery NIP, dane o miejscu zameldowania, dane o stanie zdrowia czy o poglądach politycznych. Te dwie ostatnie kategorie danych osobowych są tzw. danymi osobowymi wrażliwymi, przetwarzanie których może odbywać się tylko na szczególnej podstawie prawnej.

Czym jest przetwarzanie danych osobowych?

Przetwarzaniem danych osobowych jest każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Innymi słowy, każda operacja, która ma za przedmiot dane osobowe jest ich przetwarzaniem.

Obowiązki administratora danych osobowych w Ogólnym Rozporządzeniu.

Ogólne Rozporządzenie wprowadza swoistą rewolucję w obowiązkach nałożonych na administratorów danych osobowych. Jedną z najważniejszych zmian wprowadzonych przez Ogólne Rozporządzenie o ochronie danych osobowych jest nałożenie na administratora obowiązku oceny ryzyka naruszenia praw i wolności osób, których dane osobowe są przetwarzane. W tym aspekcie administrator danych osobowych będzie musiał zobowiązany charakter, zakres, kontekst i cele przetwarzania danych osobowych. Te czynności są konieczne po to, aby administrator mógł wdrożyć właściwe środki techniczne, zapewniające bezpieczeństwo przetwarzanych danych osobowych oraz  zgodność przetwarzania z prawem. Podobnie jak w obecnym stanie prawnym, administrator będzie mógł opracować odpowiednie polityki ochrony danych osobowych. Niestety, obecnie stosowane polityki bezpieczeństwa nie będą mogły być nadal stosowane, ponieważ zostały opracowane i wdrożone z uwzględnieniem innych przesłanek oceny ryzyka. Warto podkreślić, że w sytuacji gdy administrator danych osobowych jest dużym podmiotem (zatrudnia nie mniej niż 250 osób) lub przetwarza wrażliwe dane osobowe takie jak dane o stanie zdrowia czy o poglądach politycznych, będzie on zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych.

Niezależnie od szczegółowych wymogów, każdy administrator danych osobowych będzie musiał przetwarzać dane osobowe rzetelnie, zgodnie z prawem i w sposób przejrzysty dla osoby, której dane dotyczą.

Certyfikaty i znaki jakości ochrony danych osobowych – możliwość wykazania przetwarzania danych zgodnie z prawem.

Ogólne Rozporządzenie o ochronie danych osobowych wprowadza nowe rozwiązania, dzięki którym administratorzy danych osobowych będą mogli wykazać, że przetwarzają dane osobowe zgodnie z prawem. Tym rozwiązaniem są znaki jakości i certyfikaty danych osobowych. Niezależne podmioty certyfikujące, po przeprowadzeniu audytu u administratora, będą mogły nadać administratorowi odpowiedni znak jakości lub certyfikat potwierdzający przetwarzanie danych osobowych zgodnie z prawem. Uzyskanie znaku jakości danych osobowych lub certyfikatu przetwarzania danych osobowych będzie korzystne dla każdego przedsiębiorcy, ponieważ będzie wykazywało, że przetwarza on dane osobowe zgodnie z prawem. Certyfikaty i znaki jakości danych osobowych będą brane przez GIODO przy okazji kontroli sposobu i zakresu przetwarzania, a także mogą wpłynąć na zmniejszenie ewentualnych kar pieniężnych. Zdobycie certyfikatu przetwarzania danych osobowych lub znaku jakości danych osobowych będzie też istotne dla konsumentów, którzy uznają przedsiębiorcę dysponującego odpowiednim znakiem jakości lub certyfikatem przetwarzania danych osobowych za rzetelnego partnera.

Ogólne Rozporządzenie wyzwaniem dla administratorów.

Wejście w życie Ogólnego Rozporządzenia o ochronie danych osobowych będzie wyzwaniem dla wszystkich przedsiębiorców, którzy są administratorami danych osobowych. Zmiany zasad przetwarzania danych osobowych będą łączyły się z koniecznością przystosowania procedur i systemów ochrony danych osobowych u każdego przedsiębiorcy. Jest to szczególnie istotne tym bardziej, że Ogólne Rozporządzenie wprowadza sankcje pieniężne za niezgodne z prawem przetwarzanie danych osobowych, które mogą być bardzo dotkliwe, ponieważ ich górną granicą jest 20.000.000 Euro. Jednocześnie, prawodawca unijny przewidział możliwość przeprowadzenia audytu ochrony danych osobowych przez wyspecjalizowany podmiot certyfikujący i nadania certyfikatów przetwarzania danych osobowych i znaków jakości danych osobowych, które będą świadczyć o prawidłowym przetwarzaniu danych osobowych.

 
Łukasz Łyczkowski
Prawnik prowadzący stronę
www.certyfikatydo.pl

 

Dołącz do dyskusji

Kod antyspamowy
Odśwież

FacebookGoogle Bookmarks

Czytaj również

Audyt SEO

Co powinien zawierać audyt SEO

Nie istnieje jeden szablon według którego można przeprowadzić każdy audyt. Bardzo wiele zależy od specyfiki strony i jej sposobu prowadzenia działalności.

VoIP – technologia przyszłości czy już przeszłość?

Ostatnimi czasy coraz większą popularność zyskuje w Polsce telefonia VoIP. Nazwa ta jednak wzbudza najczęściej konsternację.

Podsumowanie badania: Poziom zaufania do "rozwiązań chmurowych"

Kompletne wyniki ankiety wskazują na ogromną, wręcz krytyczną potrzebę zwiększania poziomu zaufania do tych wciąż zyskujących na popularności rozwiązań.

Ich liczba sukcesywnie rośnie, ale czy warto mieć domenę .eu ?

Europejska domena .eu ma już niespełna dziesięć lat. Liczba adresów z rozszerzeniem .eu sukcesywnie rośnie, zbliżając się do 4 mln. Dla niektórych firm...

Google PLUS

Google Plus narzędziem dla przedsiębiorcy?

Jedną z najważniejszych funkcjonalności jakie oferuje Google Plus jest możliwość połączenia profilu na portalu z treściami tworzonymi na własnej stronie

Płatności w e-commerce - jak będzie wyglądał rynek w 2016 roku

Płatności ratalne wpisały się w obraz sprzedaży online. Dodatkowym udogodnieniem, o którym szeroko pisano w minionym roku, były płatności odroczone.

7 grzechów głównych systemów backupu

System backupu w przedsiębiorstwie cały czas pozostaje tematem, który często pomija się w planach rozwojowych, a jeśli już się w nich pojawia to w...

Czy stać Cię na utratę danych? Sprawdź jak się zabezpieczyć

Możemy sami w pewnym stopniu zabezpieczyć się przed skutkami takich awarii, a co najmniej mamy możliwość zmniejszenia negatywnych oddźwięków utraty danych