Przegłosowane w Parlamencie Europejskim dnia 14 kwietnia 2016 roku „ogólne
rozporządzenie o ochronie danych” z jednej strony wprowadza nowe zasady
związane z przetwarzaniem danych osobowych w państwach członkowskich Unii
Europejskiej, z drugiej strony utrwala i powtarza wiele przepisów istniejących już
wcześniej, zwłaszcza na gruncie dyrektywy 95/46/WE.
Już na początku preambuły, w ustępie 4 zostaje podkreślone, że „prawo do
ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać
w kontekście jego funkcji społecznej i wyważyć względem innych praw
podstawowych w myśl zasady proporcjonalności.”
Należy zauważyć, że takie podejście do kwestii związanych z ochroną danych
osobowych nie jest żadną zmianą w stosunku do poprzednio obowiązujących
przepisów, co wielokrotnie dostrzegane było zarówno w orzecznictwie
Europejskiego Trybunału Sprawiedliwości (wyrok sprawach połączonych C-9 2/09 i
C-9 3/09 z dnia 9 listopada 2010 roku), jak polskich sądów administracyjnych.
W tym przypadku (a także w wielu innych kwestiach, co zostanie opisane w dalszej
części) rozporządzenie powtarza znaczną część zasad, które zostały
wprowadzone do unijnego dorobku prawnego w poprzednich latach.
W dalszej części preambuły zostaje położony nacisk na „zdecydowane
egzekwowanie stabilnych i spójnych ram ochrony danych w Unii”, co uzasadnione
jest zmianami społeczno-gospodarczymi, głównie rozwojem nowych technologii
związanym ze skalą i znaczeniem zbierania i wymiany danych osobowych –
fragment o ”zdecydowanym egzekwowaniu” można odnieść to jednej z
„nowości”wprowadzanych rozporządzeniem, czyli kar finansowych za naruszenie
zasad ochrony danych osobowych (o czym w dalszej części).
Wiele postanowień zawartych w liczącym 88 stron (łącznie z preambułą)
dokumencie zostało wręcz bezpośrednio zaczerpniętych ze wspomnianej
dyrektywy – np. określenie zakresu obowiązywania:
- Niniejsza dyrektywa stosuje się do przetwarzania danych osobowych w
całości lub w części w sposób zautomatyzowany oraz innego przetwarzania
danych osobowych, stanowiących część zbioru danych lub mających
stanowić część zbioru danych (art. 3 ust. 1 dyrektywy). - Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych
osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do
przetwarzania w sposób inny niż zautomatyzowany danych osobowych
stanowiących część zbioru danych lub mających stanowić część zbioru
danych (art. 2 ust. 1 rozporządzenia).
Należy podkreślić, że doniosłe znaczenie ma nie tylko wprowadzenie przez
rozporządzenie całkowicie nowych, nie znanych do tej pory pojęć (o czym w
dalszej części), ale istotny jest już sam fakt, nowej formy unijnego aktu prawnego
odnoszącego się do spraw związanych z ochroną danych osobowych.
Rozporządzenie różni się od dyrektywy tym, że jest bezpośrednio stosowane w
pełnym zakresie, natomiast sama dyrektywa co do zasady jest jedynie
zobowiązaniem poszczególnego państwa członkowskiego do uregulowania
przedmiotowej materii w prawie wewnętrznym tak, by zachowana była
zgodność z dyrektywą – co ma takie znaczenie, że podmiot który np. poniósł
szkodę w powodu braku prawidłowej transpozycji dyrektywy do prawa
krajowego może dochodzić od państwa członkowskiego odszkodowania.
Dyrektywa więc, jako akt prawa unijnego, charakteryzuje się „bezpośrednim
skutkiem wertykalnym” (wiąże bezpośrednio państwa członkowskie, organy
publiczne – ale nie podmioty prywatne), natomiast rozporządzenie
charakteryzuje się „bezpośrednim skutkiem horyzontalnym”, co oznacza, że jest
skuteczne tak, jakby było ustawą lub innym aktem prawa krajowego
bezpośrednio stosowanym.
Nie należy się jednak spodziewać, by jedno unijne rozporządzenie całkowicie
zastąpiło krajowe akty prawa wewnętrznego takie jak np. polska ustawa o
ochronie danych osobowych, ponieważ pomimo możliwości bezpośredniego
jego stosowania, rozporządzenie pozostawia wiele spraw które można by
określić jako „szczegółowe” do wewnętrznej regulacji poszczególnym
państwom członkowskim. Otwarte pozostaje pytanie jaką formę przyjmie
uregulowanie przetwarzania danych osobowych na poziomie prawa
polskiego – czy ustawa o ochronie danych z 1997 zostanie jedynie
znowelizowana, czy też zostanie zastąpiona zupełnie nowym aktem
prawnym.
Niewątpliwym skutkiem rozporządzenia będzie większe ujednolicenie oraz
zharmonizowanie wewnętrznych porządków prawnych państw
członkowskich – z uwagi jednak na obszary pozostawione państwom
członkowskim do wewnętrznej regulacji należy się spodziewać, że to
ujednolicenie nastąpi jedynie do pewnego stopnia.
Zapraszam do lektury i dyskusji,
Karol Cieniak, Dyrektor Działu Prawnego RBDO
faq@rbdo.pl
LISTA NAJWAŻNIEJSZYCH ZMIAN
- Wprowadzenie obowiązku prowadzenia „rejestru czynności przetwarzania” w określonych w rozporządzeniu przypadkach.
- Wprowadzenia możliwości ustanawiania „kodeksów postępowania”, określających sposoby realizacji procedur zabezpieczenia danych w określonych kategoriach podmiotów.
- Wprowadzenie możliwości przyjęcia „mechanizmów certyfikujących” odnoszących się do sposobu określenia procedur przetwarzania danych w konkretnych podmiotach.
- Wprowadzenie dodatkowych kryteriów warunkujących obowiązek ustanowienia wewnętrznego „inspektora ochrony danych” (odpowiednika ABI).
- Obowiązek zgłaszania naruszenia ochrony danych do organu nadzorczego w ciągu 72 godzin.
- Obowiązek dokonywania w określonych sytuacjach „oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”.
- Wprowadzenie nowych kar pieniężnych nakładanych w trybie administracyjnym za naruszenia określonych przepisów ochrony danych osobowych sformułowanych w ogólnym rozporządzeniu o ochronie danych nawet do 20 milionów euro.
- Określenie sfer, w których państwa członkowskie we własnym zakresie ustalą
szczególne regulacje odnoszące się do ochrony danych w ramach prawa danego państwa członkowskiego. - Wprowadzenie określenie definicji takich czynności jak „profilowanie”, „pseudonimizacja”.
- Zmiana sposobu (formy) uregulowania europejskiego prawa ochronnych danych z dyrektywy na rozporządzenie (które w przeciwieństwie do dyrektywy zawsze może być bezpośrednio stosowane w pełnym zakresie).
Aby uzyskać dostęp do treści, wyślij SMS o treści: AP.RBDO1 na numer: 72068. Koszt wysłania SMS wynosi 2 PLN netto +23% VAT (2.46 zł brutto)
W odpowiedzi otrzymasz SMS z kodem aktywacyjnym, który wpisz w oznaczone pole.
Usługę SMS obsługuje Eurokoncept, grupa Dotpay. Usługa dostępna jest u wszystkich operatorów (T-mobile, Plus, Play, Orange).
Link do reg.usług SMS: dotpay.eu/regulaminsms/
Link do reklamacji usług SMS http://www.dotpay.pl/reklamacje/
Operatorem serwisu jest firma DoradcyPrawa.pl Łukasz Cieniak, Kopalniana22A/7, 01-321 Warszawa, NIP: 118-165-16-57, biuro@rbdo.pl
Po wejściu w życie rozporządzenia UE – kary za brak procedur przetwarzania danych wzrosną do 4% przychodu za ubiegły rok a ilość kontroli znacznie się zwiększy!
Już teraz warto poznać przegląd zmian jakie czekają na firmy po okresie vacatio legis rozporządzenia:
- Czy Twoja firma będzie zobligowana do powołania Inspektora Ochrony Danych?
- Jakie procedury będą obowiązywały – np. zgłoszenie incydentu do 72 godzin!
- Jakie nowe terminy i organy powołuje rozporządzenie unijne?
NIE MASZ PEWNOŚCI CZY TWOJA FIRMA SPEŁNIŁA OBOWIĄZKI OCHRONY DANYCH
- Skorzystaj z oferty zakupu dokumentacji przetwarzania danych z instrukcją rejestracji do GIODO i wsparciem prawnym w cenie 149 zł >>
- Zamów Audyt wykonany przez prawnika wraz z dokumentacją i rejestracją do GIODO za 699 zł +23% VAT
- Złóż zamówienie na kompleksowe wdrożenie systemu ochrony danych ze szkoleniem wyznaczonej osoby aby pilnowała spraw ochrony danych na miejscu – za 2690 zł + 23% VAT
Szczegóły oferty pod mailem: biuro@rbdo.pl lub pod telefonem: (22) 487 86 70
OBEJRZYJ VIDEO KANCELARII RBDO Z PREZENTACJĄ OFERTY