Do 20 mln euro kary za nieprzestrzeganie przepisów o ochronie danych osobowych przewiduje nowe Rozporządzenie Parlamentu Europejskiego i Rady ! ! !

W dniu 24 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – tzw. ogólne rozporządzenie o ochronie danych (Dz.Urz. UE L119 s. 1).

Rozporządzenie to będzie stosowane bezpośrednio we wszystkich państwach członkowskich Unii Europejskiej od dnia 25 maja 2018 r. jednak ze względu na drakońskie kary jakie przewidziane za jego nieprzestrzeganie warto pośpieszyć się z wdrożeniem w życie jego regulacji.

ZOBACZ TREŚĆ ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY NR (EU) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

W dniu 5 maja 2016 r. weszła również w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r.

Dyrektywa skierowana jest do państw członkowskich, które powinny implementować do własnych systemów prawnych normy zawarte w dyrektywie w terminie do dnia 6 maja 2018 r.

ZOBACZ TREŚĆ DYREKTYWY PARLAMENTU EUROPEJSKIEGO I RADY NR (EU) 2016/680 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.

Najważniejsze regulacje zawarte Rozporządzeniu:

  • ma ono zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną Administratora Danych Osobowych w Unii Europejskiej, niezależnie od tego, czy samo przetwarzanie danych odbywa się w Unii Europejskiej,
  • zgoda na przetwarzanie danych – jeśli stanowi fragment większego oświadczenia – musi być wyraźnie wyodrębniona od pozostałych treści,
  • wycofanie zgody na przetwarzanie danych osobowych musi być tak samo proste jak jej udzielenie,
  • tylko dzieci, które ukończyły 16 lat mogą skutecznie samodzielnie udzielić zgody na przetwarzanie ich danych osobowych,
  • dane dzieci, które nie ukończyły 16 lat mogą być przetwarzane gdy zgodę na ich przetwarzanie wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem,
  • wprowadzono prawo do domagania się usunięcia danych osobowych, które zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego (np. portale społecznościowe),
  • zdefiniowane „dane wrażliwe” jako: ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne – pozwalające na identyfikacje osoby, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby,
  • zniesiono wymóg pisemnej zgody na przetwarzanie danych wrażliwych,
  • wprowadzono obowiązek wydania przez administratora danych osobowych kopii przetwarzanych przez niego danych (pierwsza kopia gratis),
  • rozszerzono „prawo do bycia zapomnianym” nakładając na tego administratora danych osobowych, który dokonał ich upublicznienia obowiązek ich usunięcia i podjęcia rozsądnych (biorąc pod uwagę dostępną technologię i koszt realizacji) działań, by poinformować innych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje,
  • wprowadzono „prawo do przenoszenia danych”,  które polega na tym, że każda osoba, której dane dotyczą, może „otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe”,
  • administrator danych będzie musiał przekazać osobie, której dane dotyczą dodatkowe informacje tj.: dane kontaktowe inspektora ochrony danych (obecnie: Administrator Bezpieczeństwa Informacji – tzw. ABI), informację o okresie, przez który dane osobowe będą przechowywane (a gdy nie jest to możliwe – kryteria ustalania tego okresu), wskazanie prawnie uzasadnionych interesów realizowanych przez Administratora Danych Osobowych (tzw. ADO) lub przez stronę trzecią, które stanowią podstawę przetwarzania danych osobowych, informacje na temat automatyzacji procesu przetwarzania Danych Osobowych w tym konsekwencjach i zasadach takiej automatyzacji (np. profilowanie),
  • obowiązek prowadzenia przez ADO rejestr czynności przetwarzania danych osobowych,
  • wprowadzono pojęcie „współadministratorów danych osobowych” tj. co najmniej dwóch ADO, którzy wspólnie ustalają cele i sposoby przetwarzania DO,
  • wprowadzono w miejsce „administratora bezpieczeństwa informacji -ABI” nowe pojęcie „Inspektor Ochrony Danych – IOD”, którego trzeba obowiązkowo powołać w jednostkach publicznych oraz w każdym przypadku, kiedy wymaga tego kategoria przetwarzanych danych osobowych i cele przetwarzanych danych osobowych na duża skalę,
  • wprowadzono obowiązek zgłaszania do GIODO wszelkich naruszeń danych osobowych i – dodatkowo – informowania o tym fakcie osób których dane zostały zagrożone (z wyjątkami),
  • wprowadzono wysokie administracyjne kary pieniężne za nieprzestrzeganie przepisów Rozporządzenia – w wysokości do 20.000.000 euro lub – w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie będzie miała kwota wyższa) wysokość kary uzależniona będzie od okoliczności danego przypadku (charakter, wagę i czas trwania naruszenia oraz liczbę poszkodowanych – art 83 Rozporządzenia),
  • GIODO uzyskał nowe uprawnienia tzw. naprawcze tj. np.: wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu, dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania; udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia; nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu, nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych, wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania; nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania, nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono, zastosowanie administracyjnej kary pieniężnej, zależnie od okoliczności konkretnej sprawy.

 

Kiedy zaczyna się przetwarzanie danych osobowych – zobacz wyrok NSA

 

Zobacz treść wyroku TSUE w sprawie adresów IP jako danych osobowych

 

Linie papilarne to dane osobowe, których podania nie można wymagać od pracownika


powrót na stronę główną

Powiązane wpisy