15

cze 2016

money-367973_640

Ile kosztować może niefrasobliwość? Nowe zasady odpowiedzialności z tytułu naruszenia przepisów z zakresu ochrony danych osobowych

Wiele mówi się i pisze w ostatnim czasie o unijnej reformie ochrony danych osobowych. Mowa jest o większej ochronie konsumenta, w szczególności na rynku usług świadczonych drogą elektroniczną. Zwraca się też uwagę na fakt wprowadzenia do europejskiego systemu prawnego nowych instytucji mających służących obywatelom, takim jak tzw. prawo do bycia zapomnianym. Warto jednak przyjrzeć się bliżej nowym zasadom odpowiedzialności administratorów danych osobowych z tytułu naruszenia przepisów nowego rozporządzenia, które najwięcej mówią o motywach europejskiego prawodawcy.

Gwoli przypomnienia, przyjęte przez Parlament Europejski w dniu 14 kwietnia 2016 r. ogólne rozporządzenie o ochronie danych osobowych zastąpi w ciągu dwóch lat przepisy krajowe, w tym w szczególności ustawę o ochronie danych osobowych. Rozporządzenie, stosowane bezpośrednio we wszystkich krajach członkowskich, ujednolici zakres ochrony danych osobowych oraz procedury z tym związane. Celem reformy nie jest jednak wyłącznie unifikacja w obszarze ochrony danych osobowych w skali całej Unii Europejskiej lecz również, a może przede wszystkim, podwyższenie poziomu tej ochrony oraz dostosowanie regulacji do dzisiejszych realiów.

Jak było…?

Z punktu widzenia polskiego systemu prawnego bardzo duże zmiany dotyczą zasad odpowiedzialności z tytułu naruszenia przepisów z zakresu ochrony danych osobowych. Dotychczas polskie przepisy obowiązki w obszarze ochrony danych osobowych obwarowywały sankcjami o charakterze karnym. Organem właściwym do ukarania winnych naruszenia przepisów były więc sądy powszechne.

Powyższe powodowało, że w praktyce trudno było zarówno Generalnemu Inspektorowi Danych Osobowych, jak również osobom, których dane były przetwarzane w sposób niezgodny z prawem, doprowadzić do ukarania niefrasobliwych administratorów danych. Postępowania sądowe w warunkach polskich potrafią trwać latami, co osłabiało społeczne oddziaływanie wyroku. Również mała determinacja organów ścigania, tj. policji i prokuratury w ściganiu sprawców przestępstw przeciwko bezpieczeństwu danych osobowych, prowadziła do marginalizowania znaczenia reguł rządzących przetwarzaniem danych.

W skrócie, nie wszystko działało tak jak powinno.

Jak będzie…?

Na pewno inaczej! Przede wszystkim europejski prawodawca zdecydował, że obok krajowych przepisów karnych, na szczeblu wspólnotowym winny funkcjonować przepisy, na podstawie których możliwe będzie nakładanie kar administracyjnych na naruszających zasady ochrony danych osobowych. I to kar niemałych…

Wspomniane kary będą miały charakter „mandatów” nakładanych przez upoważnione do tego, krajowe organy ochrony danych osobowych (np. polski GIODO). Na wyobraźnię działa jednak najbardziej nie sam fakt stworzenia możliwości nałożenia kary ale potencjalna wysokość tych kar. Za najcięższe przewinienia mogą one bowiem wynieść nawet 20 000 000 EUR lub do 4% wartości rocznego światowego obrotu z poprzedniego roku obrotowego!

Warto więc zwrócić uwagę, że nawet dla „dużych graczy”, takich jak Google czy Apple, kara może być dotkliwa. Już sam fakt posłużenia się wartością obrotu jako podstawą wyliczenia wysokości kary administracyjnej powinien dawać do myślenia. Europejski prawodawca reformując przepisy z zakresu ochrony danych osobowych daje nam jasny sygnał – koniec z naruszeniami w tym obszarze!

Nic już nie będzie takie samo…

Wnioski jakie płyną z analizy przepisów rozporządzenia są jasne. Prawodawcy chcą lepiej chronić dane osobowe obywateli, a przede wszystkim surowiej i przykładniej karać winnych naruszeń.

Administratorze danych osobowych, pamiętaj że krajobraz „po rozporządzeniu” będzie już inny. Obowiązków będzie więcej, a kary będą surowsze. Warto się do tego przygotować…

Co nowego?

31

maj 2016

trouble-114197_640

Zmiany! Dane osobowe przedsiębiorców wpisanych do CEIDG już nie tak chronione


Ostatnia nowela ustawy o ochronie danych osobowych przewraca do góry nogami kwestie związane z ochroną danych osobowych osób fizycznych prowadzących działalność gospodarczą. Począwszy od dnia 19 maja 2016 r. wyłączone zostało stosowanie zdecydowanej większości przepisów ustawy o ochronie danych osobowych w odniesieniu do danych oraz informacji dotyczących przedsiębiorców, zawartych w Centralnej Ewidencji Informacji o Działalności Gospodarczej (CEIDG).

Po niemal 4 latach od ostatniej zmiany w tej materii, informacje udostępniane w CEIDG (takie jak m.in. imię i nazwisko przedsiębiorcy, jego firma, dane kontaktowe lub zakazy ustanowione wobec niego) zostały wyjęte przez ustawodawcę spod kategorii chronionych danych osobowych. Oznacza to, że na podmiotach przetwarzających takie dane nie spoczywa już obowiązek oparcia procesu przetwarzania na jednej z przesłanek, określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych, takich jak w szczególności zgoda osoby, której dane dotyczą.

Chronione, choć nie do końca

Co istotne, wprowadzone wyłączenie nie dotyczy obowiązku stosowania wobec procesów przetwarzania danych udostępnionych w CEIDG przepisów regulujących kwestie kontroli przetwarzania danych przez Generalnego Inspektora Danych Osobowych oraz zabezpieczenia danych. W praktyce oznacza to, że choć przetwarzający ujawnione w CEIDG dane osobowe nie są obowiązani m.in. do wykazywania podstawy prawnej przetwarzania danych i nie wiąże ich cel, dla którego dane zebrano, nadal zawierania umów powierzenia przy przekazaniu danych innemu podmiotowi, a także przetwarzania danych jedynie w celu, dla którego zostały zebrane.

Dobra zmiana?

Podsumowując, nowelizacja wprowadziła znaczne ułatwienia w zakresie przetwarzania danych osobowych, jednakże jej ocena nie powinna być dokonywana zbyt wcześnie. Dla przedsiębiorców zmiana może oznaczać jeszcze większe niż dotychczas ograniczenie prywatności z uwagi na swego rodzaju „legalizację” swobodnego handlu bazami danych osobowych. Z drugiej jednak strony proceder ten, mimo ograniczeń i zakazów, był powszechny również przed wejściem w życie nowych przepisów, a dane przedsiębiorców – i tak dostępne w jawnej CEIDG.

Co nowego?

25

kwi 2016

mailboxes-1110112_640

Bądźmy Legalni/Legalni z Prawem – co zrobić, gdy nam grożą?

W ostatnich tygodniach rośnie liczba przedsiębiorców, którzy otrzymali maila z… no właśnie, czy mail przesyłany przez osoby podające się za przedstawicieli stowarzyszeń Bądźmy Legalni oraz Legalni z Prawem są rzetelnym ostrzeżeniem, czy też traktować je należy raczej w kategoriach manipulacji obliczonej na zastraszenie adresata?

czytaj dalej

Co nowego?