Nowe rozporządzenie UE (RODO) – wstęp
Ogromna reforma prawa ochrony danych osobowych nadejdzie już 25 maja 2018 r. To właśnie tego dnia nastąpi rozpoczęcie stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), potocznie określanego jako RODO. To największa zmiana w europejskich przepisach z zakresu ochrony danych osobowych, od czasu przyjęcia Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Omawiane rozporządzenie stanowi zwieńczenie ponad czteroletnich prac, mających na celu przystosowanie przepisów z zakresu ochrony danych osobowych do wyzwań współczesnego świata, zdominowanego przez technologie informatyczne.
Model obecnie obowiązujących przepisów dotyczących bezpieczeństwa danych osobowych został nakreślony treścią Dyrektywy 95/46/WE. Od jej implementacji do polskiego porządku prawnego minęło już 21 lat. Nie ulega wątpliwości, że w ciągu ostatnich dwóch dekad byliśmy świadkami dynamicznego rozwoju najnowszych technologii i postępującej globalizacji, w tym także integracji społeczno-gospodarczej na terytorium Unii Europejskiej,
Pojawienie się międzynarodowych korporacji działających na globalną skalę, takich jak m.in. Facebook czy Google sprawiło, że obecnie nasze dane osobowe są przetwarzane na ogromną, niespotykaną dotychczas skalę. Upowszechnienie się usług mediów społecznościowych skłoniło nas do udostępniania informacji osobowych w nad wyraz szerokim zakresie.
Pomimo przetwarzania danych osobowych milionów Europejczyków, globalne korporacje nie podlegały w sposób bezpośredni przepisom Dyrektywy. Ustawodawca europejski dostrzegł ten problem, dostosowując regulacje prawne do charakteru nowoczesnego świata i gospodarki.
Nadrzędnym celem rozporządzenia RODO jest ukorzenienie przysługującego wszystkim prawa do zachowania prywatności, a tym samym wdrożenie systemu, który pozwoliłby na zapewnienie realnego bezpieczeństwa danych osobowych.
Technologia coraz bardziej ułatwia swobodny przepływ danych pomiędzy państwami członkowskimi Unii Europejskiej. Przekazywanie danych do państw trzecich i organizacji międzynarodowych na szeroką skalę, wymusiło konieczność skutecznego zadbania o bezpieczeństwo przesyłanych informacji.
Z drugiej strony, zwiększone bezpieczeństwo danych osobowych to także dodatkowe obowiązki nakładane na przedsiębiorców, organizacje i wszelkie podmioty przetwarzające dane osobowe.
Podstawowe daty związane z rozporządzeniem:
§ wejście w życie: 24 maja 2016 r.
§ stosowanie od: 25 maja 2018 r.
Nadchodzi czas dużych zmian
Środowisko eksperckie mówi o prawdziwej rewolucji w ochronie danych osobowych. Oprócz wielu zmian w istniejących konstrukcjach prawnych, rozporządzenie RODO wprowadza także zupełnie nowe narzędzia zwiększające bezpieczeństwo danych osobowych.
Wobec realiów dzisiejszego świata, Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. staje się zdezaktualizowana i nieskuteczna w obliczu szeregu wyzwań związanych z cyfryzacją społeczeństwa. Przebudowa przepisów dotyczących ochrony danych osobowych była tylko kwestią czasu. Wszak ochrona danych osobowych jest niezwykle powszechnym zagadnieniem, w pewien sposób dotykającym każdego z nas. Rozporządzenie kładzie duży nacisk na dostosowanie przepisów w taki sposób, by spełniały swoją rolę ochronną również w konfrontacji z najnowszymi technologiami i środkami przetwarzania danych osobowych.
Aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym ? w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom ? pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych z różnych państw członkowskich.
? Motyw 13 Preambuły RODO.
Sankcje za nieprzestrzeganie nowych przepisów RODO
Biorąc pod uwagę niezwykle szeroki zakres wprowadzanych zmian, już teraz należy rozpocząć proces dostosowywania swojej firmy lub organizacji do rozpoczęcia stosowania przepisów rozporządzenia RODO. Trzeba mieć przy tym świadomość, że opieszałość lub niewłaściwe dostosowanie swojej działalności do nowego porządku prawnego może mieć dla nas dość dotkliwe konsekwencje.
Równocześnie warto mieć świadomość konsekwencji, grożących w przypadku niedostosowania się do regulacji zawartych w ogólnym rozporządzeniu o ochronie danych osobowych.
Za przetwarzanie danych osobowych niezgodnie z przepisami, ogólne rozporządzenie o ochronie danych osobowych przewiduje sankcje finansowe. Dotychczas obowiązująca ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych tego typu sankcji nie przewidywała. Do tej pory, naruszenie przepisów ustawy o ochronie danych osobowych narażało przedsiębiorcę na poniesienie odpowiedzialności administracyjnej, karnej, cywilnej lub dyscyplinarnej.
Wprowadzane regulacje mają na celu wzmocnienie i zharmonizowanie nakładanych sankcji administracyjnych. W myśl art. 83 RODO, to w gestii organu nadzorczego leży zapewnienie, by stosowane kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
RODO wymienia także katalog uchybień, stanowiących podstawę do ustalenia wysokości kary pieniężnej. Rozporządzenie przyznaje organowi nadzorczemu kompetencję, do nałożenia administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa ? w wysokości do 4 % jego całkowitego rocznego obrotu!
Dotkliwa kara pieniężna może grozić m.in. w przypadku naruszenia przepisów dotyczących:
? podstawowych zasad przetwarzania (np. przejrzystości, adekwatności czy celowości przetwarzania danych osobowych),
? warunków zgody na przetwarzanie danych,
? obowiązku informacyjnego,
? prawa do bycia zapomnianym.
Kary pieniężne:
§ do 20 000 000 EUR
§ do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
Wysokość kar pieniężnych wprowadzonych przez rozporządzenie RODO zostanie dopasowana do polskich realiów, jednakże wiele pytań dotyczących przystosowania przepisów krajowych do regulacji ogólnego rozporządzenia o ochronie danych osobowych wciąż pozostaje bez odpowiedzi.
W związku z tym, że tak istotna dla całego systemu ochrony danych osobowych data ? 25 maja 2018 r. ? zbliża się wielkimi krokami, z pewnością wiele wątpliwości będzie na bieżąco rozwiewanych.
Wprowadzenie administracyjnych kar finansowych będzie stanowić skuteczny instrument w egzekwowaniu właściwego stosowania przepisów o ochronie danych osobowych. Dzięki temu organ nadzorczy (PUODO) uzyska możliwość rzeczywistej ingerencji w działalność podmiotów, które ignorują kwestię zapewnienia właściwego poziomu bezpieczeństwa dla przetwarzanych danych osobowych.
Dodaj komentarz