Z dniem 25 maja 2018 roku zacznie obowiązywać na
terenie
Unii
Europejskiej
rozporządzenie
Parlamentu Europejskiego i Rady (UE) 2016/679 w
sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych (tzw. ogólne
rozporządzenie o ochronie danych). W odróżnieniu
od dotychczas obowiązującej dyrektywy, przepisy
rozporządzenia obowiązują i wymagają stosowania
w sposób bezpośredni, bez konieczności krajowej
implementacji. Tylko niektóre, wyraźnie wskazane
w rozporządzeniu kwestie, będą mogły zostać
doprecyzowane na poziomie krajowym.
Rozporządzenie wprowadza szereg rewolucyjnych
zmian w zakresie ochrony danych osobowych.
Przede wszystkim poszerza obowiązki informacyjne
przedsiębiorców.
Dodatkowo
wymaga,
aby
informacje były przekazywane w zwięzłej,
przejrzystej, zrozumiałej i łatwo dostępnej formie,
jasnym i prostym językiem. W związku z powyższym
konieczne jest opracowanie przez przedsiębiorców
nowych katalogów informacji przekazywanych
osobom, których dane są przetwarzane.
Ponadto, rozporządzenie przyznaje osobie, której
dane
dotyczą
prawo
otrzymywania
w
ustrukturyzowanym,
powszechnie
używanym
formacie nadającym się do odczytu maszynowego
danych
osobowych
jej
dotyczących,
które
dostarczyła administratorowi. Taka osoba może również żądać by jej dane osobowe zostały
przesłane
przez
administratora,
innemu
administratorowi.
Osoba, której dane dotyczą
może także, przy zaistnieniu odpowiednich
przesłanek, żądać od administratora danych
niezwłocznego usunięcia dotyczących jej danych
osobowych (tzw. „prawo do bycia zapomnianym”).
Realizacja
obowiązków
administratora
wynikających z powyżej opisanych praw podmiotów
danych,
będzie
wymagała
opracowania
odpowiednich wewnętrznych procedur a także
interpretacyjnych formatów, które umożliwią
przenoszenie danych.
Na mocy rozporządzenia administrator danych
będzie zobowiązany przeprowadzać analizę ryzyka
właściwego dla przetwarzania danych oraz wdrażać
środki administracyjne i techniczne minimalizujące
to ryzyko. Środki te powinny zapewniać odpowiedni
poziom bezpieczeństwa przy uwzględnieniu stanu
wiedzy technicznej oraz kosztów ich wdrożenia w
stosunku do ryzyka i charakteru danych osobowych
podlegających ochronie.
W
przypadku
naruszenia
ochrony
danych
administrator będzie miał obowiązek bez zbędnej
zwłoki (w miarę możliwości nie później niż z
terminie 72 godzin po stwierdzeniu naruszenia),
powiadomić o tym fakcie właściwy organ nadzorczy.
Ponadto,
administrator
musi
dokumentować
wszelkie naruszenia ochrony danych osobowych, w
tym okoliczności naruszenia danych osobowych,
jego skutki oraz podjęte działania zaradcze.
Niezwykle istotnym jest, że w przypadku
niewypełniania
obowiązków
wynikających
z
rozporządzenia, na administratora danych będzie
mogła zostać nałożona kara pieniężna w wysokości
do 20 milionów euro lub 4% całkowitego rocznego
światowego obrotu z poprzedniego roku, przy czym
zastosowanie będzie miała wyższa ze wskazanych
kwot.
Z uwagi na charakter niniejszej publikacji, powyżej
przedstawiono jedynie część spośród nowych
regulacji, jednak należy podkreślić, że zakres zmian
w prawie ochrony danych osobowych jest znacznie
większy. Przedsiębiorców ogólne rozporządzenie o
ochronie danych może przytłoczyć nie tylko swoją
objętością, ale także zakresem i złożonością
obowiązków, które na nich nakłada. Dlatego warto
już teraz podjąć działania mające na celu
wprowadzenie rozwiązań zapewniających zgodności
z postanowieniami rozporządzenia.
MILLER, CANFIELD,
W. BABICKI, A. CHEŁCHOWSKI I WSPÓLNICY SP.K.
ul. Batorego 28-32
81-366 Gdynia
Tel. +48 58 782-0050
Fax +48 58 782-0060
gdynia@pl.millercanfield.com
ul. Nowogrodzka 11
00-513 Warszawa
Tel. +48 22 447-4300
Fax +48 22 447-4301
warszawa@pl.millercanfield.com
ul. Skarbowców 23a
53-125 Wrocław
Tel. +48 71 780-3100
Fax +48 71 780-3101
wroclaw@pl.millercanfield.com
Zastrzeżenie: Niniejsza publikacja została przygotowana dla klientów i współpracowników kancelarii Miller Canfield. Ma ona na celu jedynie
przedstawienie streszczenia niektórych wydarzeń prawnych z wybranych dziedzin prawa. Z tego powodu informacje zawarte w niniejszej publikacji nie
powinny stanowić podstawy do podjęcia jakiejkolwiek decyzji dotyczącej określonego kierunku działania. Informacje te nie mogą też być traktowane
jako porada prawna ani nie zastępują szczegółowej opinii prawnej w konkretnej sprawie. W każdym przypadku należy skorzystać z usług doradców
prawnych w celu weryfikacji, czy odpowiednie przepisy prawa mają zastosowanie do określonej sytuacji.