Nowe rozwiązania wprowadzone przez rozporządzenie z 14 kwietnia 2016 (2)

a) Terytorialny zakres zastosowania

Doprecyzowany został określony w art. 3 rozporządzenia terytorialny zakres
zastosowania – gdzie jako bardzo szerokie kryterium określono działalność
prowadzoną przez jednostkę organizacyjną administratora lub podmiotu
przetwarzającego dane w Unii – ale niezależnie od tego, czy samo
przetwarzanie odbywa się w Unii. Podstawowym zatem kryterium kwalifikującym
dany podmiot pod unijne prawo ochrony danych jest wykonywanie działalności
na terenie jakiegokolwiek państwa członkowskiego, chociażby samo
przetwarzanie miało miejsce już poza UE.
Art. 3 ust. 2 rozporządzenia precyzuje, że wystarczy by sama czynność
przetwarzania była choćby związana z „oferowaniem towarów lub usług”
osobom przebywającym na terenie Unii lub monitorowaniem zachowania osób
przebywających na terenie Unii, by przepisy rozporządzenia miały zastosowanie
do podmiotu prowadzącego taką działalność.

b) Rozróżnienie skali działalności

Za właściwy kierunek uznać należy zawarte w ustępie 13 preambuły rozróżnienie
na kategorię mikroprzedsiębiorstw (a także małych i średnich) jako podmiotów
zatrudniających mniej niż 250 pracowników, co do których powinny znaleźć
zastosowanie mniej rygorystyczne wymogi, w tym przypadku dotyczące
„rejestrowania czynności przetwarzania”.

Dodać należy, że brak rozróżnienia pod względem skali prowadzonej
działalności był jedną z największych wad dotychczasowego stanu prawnego,
wystarczy zwrócić uwagę na fakt, że w rozumieniu polskiej ustawy bez względu
na to, czy administrator przetwarza dane np. miliona klientów, czy stu klientów –
jest on takim samym administratorem danych, który musi spełnić dokładnie te
same wymagania od strony formalnej (pomijając przepisy regulujące
specyficzne branże), w nowym unijnym rozporządzeniu co prawda ten problem
nie został całkowicie rozwiązany, ale już samo dostrzeżenie problemu różnic w
skali działalności należy uznać za krok w dobrym kierunku.
Sam „próg” zatrudnienia 250 pracowników ściśle jest związany z określonym w
art. 30 rozporządzenia obowiązkiem „rejestrowania czynności przetwarzania”, o
czym poniżej. Otwarte pozostaje pytanie, czy stworzone przez rozporządzenie
możliwości przyjęcia odrębnych „kodeksów postępowania” stworzonych w myśl
art. 40 rozporządzenia np. na potrzeby specyficznej grupy drobnych
przedsiębiorców działających w określonej branży wpłyną na ułatwienie
wykonywania poszczególnych obowiązków wynikających z rozporządzenia –
właśnie w kontekście skali prowadzonej działalności. By to stwierdzić, należy
jednak poczekać na praktykę zatwierdzania przez organy nadzorujące
konkretnych kodeksów postępowania.
Pewien problem interpretacyjny może też sprawiać zawarte między innymi w art.
37 kryterium „przetwarzania danych na dużą skalę”, czego niestety nie
doprecyzowano w rozporządzeniu, a stanowi jedno z kryteriów przesądzających
o zaistnieniu obowiązku wyznaczenia inspektora ochrony danych, lub braku
takiego obowiązku.
c) Obowiązek „rejestrowania czynności przetwarzania”

Art. 30 rozporządzenia wprowadza obowiązek prowadzenia przez administratora
danych „rejestru czynności przetwarzania”, który zawiera:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz
wszelkich współadministratorów, a także gdy ma to zastosowanie –
przedstawiciela administratora oraz inspektora ochrony danych

• cele przetwarzania;

• opis kategorii osób, których dane dotyczą, oraz kategorii danych
osobowych;

• kategorie odbiorców, którym dane osobowe zostały lub zostaną
ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach
międzynarodowych;

• gdy ma to zastosowanie, przekazania danych osobowych do państwa
trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa
trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o
których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich
zabezpieczeń;

[betteroffer]To tylko fragment tekstu. Aby uzyskać dostęp do całości, kliknij w przycisk Kup teraz.[/betteroffer][betterpay amount=”5″ amount_sms=”6″ sms_nr=”76068″ sms_id=”RBDO” button=”images/buynow_1.png” description=”Nowe rozwiązania wprowadzone przez rozporządzenie z 14 kwietnia 2016″ validity=”0″ validity_unit=”d” ids=””]

• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych
kategorii danych;

• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków
bezpieczeństwa, o których mowa w art. 32 ust.1 rozporządzenia (między
innymi stosowanie zatwierdzonego kodeksu postępowania, o którym
mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji)
Kto ma obowiązek prowadzenia „rejestru czynności przetwarzania” ?

• Przedsiębiorca lub podmiot zatrudniający powyżej 250 osób

• Przedsiębiorca lub podmiot zatrudniający mniej niż 250 osób, jeżeli
– przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw
lub wolności osób, których dane dotyczą
– przetwarzanie nie ma charakteru sporadycznego
– obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9
ust 1 rozporządzenia (pochodzenie rasowe lub etniczne, poglądy polityczne,
przekonania religijne lub światopoglądowe, przynależność do związków
zawodowych, dane genetyczne, dane biometryczne, a także dane
dotyczących zdrowia, seksualności lub orientacji seksualnej). Oraz dane, o
których mowa w art. 10 rozporządzenia (dane o naruszeniach prawa i
wyrokach skazujących)

W praktyce może się okazać problematyczne, w jaki sposób należy interpretować
sformułowanie o „sporadycznym charakterze” przetwarzania. Czy np. w przypadku
sprzedaży internetowej do niezarejestrowanych kupujących będzie można jeszcze
mówić o „sporadyczności”, ale już w przypadku częstej praktyki polegającej na
umożliwieniu klientom zakładania własnych kont, profili na serwisie sprzedażowym
będzie to wykluczone.

d) Obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu
nadzorczego

Art. 33 ust. 1 rozporządzenie nakłada na administratora obowiązek niezwłocznego
zgłoszenia do organu nadzorczego (w Polsce GIODO) naruszenia ochrony danych
osobowych. Takie zgłoszenie administrator musi wykonać niezwłocznie, ale nie
później niż w 72 godziny po stwierdzeniu naruszenia (a gdy administrator przekroczy
ten termin, administrator musi do zgłoszenia dołączyć wyjaśnienie przyczyn
opóźnienia).
Zgłoszenia nie należy dokonywać, jeżeli jest „mało prawdopodobne, by naruszenie
skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” – a zatem to
na administratorze będzie ciążył ciężar oceny wraz z odpowiedzialnością z tym
związaną (ocena prawdopodobieństwa ryzyka naruszenia praw lub wolności).
Należy także pamiętać, że administrator jest zobowiązany do dokumentowania
wszelkich naruszeń ochrony danych osobowych w ramach swojej dokumentacji
wewnętrznej (niezależnie od tego czy dane naruszenia podlegało zgłoszeniu, czy
nie). Jeżeli ryzyko naruszenia praw i wolności danej osoby jest wysokie,
administrator musi poinformować także tą osobę, chyba że zachodzą wyjątki
przewidziane w art. 34 ust. 3 rozporządzenia.

e) Ogólne obowiązki administratora danych osobowych
Art. 35 rozporządzenia wprowadza obowiązek dokonywania „oceny skutków
planowanych operacji przetwarzania dla ochrony danych osobowych” w
sytuacjach, gdy dany rodzaj przetwarzania ze względu na swój charakter, zakres,
kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko
naruszenia praw lub wolności osób fizycznych. W praktyce natomiast należy
spodziewać się wydania przez GIODO w związku z ustępami 4 oraz 5
wspomnianego artykułu podania do publicznej wiadomości wykazów rodzajów
operacji przetwarzania które pod taki obowiązek będą podlegały, oraz takich,
których przetwarzanie z takimi obowiązkami nie będzie się wiązało.

Efektem oceny, o której mówi wyżej wymieniony przepis może być skierowanie
przez administratora wniosku o konsultacje, co do którego GIODO będzie miał
obowiązek ustosunkować się w terminie nie dłuższym niż 8 tygodni ( z możliwością
przedłużenia tego terminu maksymalnie o dodatkowe 6 tygodni).

Art. 24 rozporządzenia nakłada na administratora danych obowiązek wdrożenia
„odpowiednich środków technicznych i organizacyjnych” – by przetwarzanie
odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Dalej
rozporządzenie wskazuje, że o ile jest to „proporcjonalne” jako wyżej wymienione
środki należy rozumieć „przyjęcie odpowiednich polityk ochrony danych”.
Natomiast jako rozwiązanie związane z minimalizacją potencjalnego ryzyka
polegającego na tym, że w danym przypadku środki przyjęte przez danego
administratora mogły by zostać uznane za niewystarczające, w art. 24 ust. 3
przewiduje możliwość stosowania:
– zatwierdzonych kodeksów postępowania, o których mowa w art. 40
rozporządzenia
lub
– zatwierdzonego mechanizmu certyfikacji, o którym mowa w 42 rozporządzenia

f) Zatwierdzone kodeksy postępowania, oraz monitorowanie zatwierdzonych
kodeksów postępowania przez podmioty akredytowane przez właściwy organ
nadzorczy. Artykuł 40 i 41 rozporządzenia.
Z uwagi na specyfikę różnych sektorów działalności, często charakteryzujących
się wyjątkowymi, właściwymi dla siebie zasadami postępowania, ale także
uwzględniając szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich
przedsiębiorstw, rozporządzenie przewiduje w art. 40 możliwość tworzenia
„kodeksów postępowania”.
Kodeksy postępowania rozporządzenie dzieli na dwie kategorie:
• zatwierdzone kodeksy postępowania w trybie art. 40 ust. 5 rozporząd zenia
(zatwierdzenia będzie dokonywał organ nadzorczy, a więc w Polsce GIODO,
po przedłożeniu projektu kodeksu), zatwierdzony kodeks postępowania
będzie przez GIODO rejestrowany i publikowany

• powszechnie obowiązujące kodeksy postępowania zgodnie z art. 40 u st. 9
rozporządzenia to takie kodeksy postępowania, które zostały w drodze aktu
wykonawczego Komisji Europejskiej uznane za powszechnie obowiązujące w
całej Unii – może to mieć miejsce jeżeli np. GIODO, w związku ze
stwierdzeniem, że kodeks dotyczy postępowania w więcej niż jednym
państwie członkowskim przekaże go przed zatwierdzeniem do Europejskiej
Rady Ochrony Danych, która to rada następnie (w przypadku wydania
pozytywnej opinii) przekaże go  Komisji Europejskiej
Co ciekawe, monitorowaniem przestrzegania zatwierdzonych kodeksów
postępowania będzie mógł się zajmować nie tylko GIODO, ale także podmiot,
który został przez GIODO akredytowany – taki podmiot posiadający akredytację
będzie mógł zawiesić lub wykluczyć danego administratora lub podmiot
przetwarzający z grona podmiotów stosujących kodeks, przy czym będzie
jedynie musiał poinformować o tym GIODO, jako organ nadzorczy.

g) Proces dobrowolnej certyfikacji oraz podmioty certyfikujące certyfikacji także organ ochrony). Wprowadzenie „Europejskiego jakości ochrony danych”

Alternatywną do przyjmowania zatwierdzonych kodeksów postępowania przyjęcie dobrowolnego zatwierdzonego mechanizmu certyfikacji oraz jakości.
Certyfikacji dokonuje albo podmiot akredytowany (przez GIODO krajową jednostkę akredytującą), albo GIODO jako organ nadzorczy podstawie ustalonych kryteriów (a jeżeli te kryteria są zatwierdzone Europejską Radę Ochrony Danych, może to skutkować „europejskim jakości ochrony danych” jako efektem „wspólnej certyfikacji”.)
Administrator (lub podmiot przetwarzający) w celu uzyskania certyfikacji udzielić podmiotowi dokonującemu certyfikacji wszelkich informacji wszelkiego dostępu do swoich czynności przetwarzania, które dostęp są niezbędne do przeprowadzenia procedury certyfikacji.
Certyfikacji można dokonać na maksymalny okres 3 lat, po nastąpić jej przedłużenie lub

Akredytacja podmiotów certyfikujących:

Warunki uzyskania akredytacji do dokonywania certyfikacji rozporządzenie art. 43 ust. 2 określa jako:
– wykazanie w sposób satysfakcjonujący wykazały właściwemu organowi nadzorczemu
swojej niezależność i wiedzy fachowej w dziedzinie podlegającej certyfikacji;
– zobowiązanie się do przestrzegania właściwych kryteriów mechanizmu certyfikacji,
zatwierdzonego przez organ nadzorczy dysponowanie procedurami wydawania, okresowego przeglądu i cofa nią
certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych;
– dysponowanie procedurami i strukturami, które pozwalają rozpatrywać skarg i
na naruszenie warunków certyfikacji przez administratora lub podmiot
przetwarzający lub na sposób wdrożenia lub wdrażania certyfikac ji przez
administratora lub podmiot przetwarzający, oraz które zapewniają przejrzystość
tych procedur i struktur dla osób, których dane dotyczą, i opinii publicznej; oraz
– wykazanie w sposób satysfakcjonujący organowi nadzorczemu, ż e ich
zadania i obowiązki nie powodują konfliktu interesów.

h) Wyznaczenie wewnętrznego inspektora ochrony danych


Rozporządzenie nie posługuje się nazwą znaną z polskiej ustawy z 1997 roku –
„administratora bezpieczeństwa informacji – ABI”, a sformułowaniem „inspektor
ochrony danych”.
Wyznaczenie wewnętrznego inspektora ochrony danych jest w rozumieniu art.
37 rozporządzenia obligatoryjne następujących przypadkach:
– przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w
zakresie sprawowania przez nie wymiaru sprawiedliwości;
– główna działalność administratora lub podmiotu przetwarzającego polega na
operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele
wymagają regularnego i systematycznego monitorowania osób, których dan e
dotyczą, na dużą skalę, lub
– główna działalność administratora lub podmiotu przetwarzającego polega na
przetwarzaniu na dużą skalę szczególnych kategorii danych osobowyc h, o
których mowa w art. 9 ust. 1 rozporządzenia, oraz danych o sobowych
dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10
rozporządzenia.

Na uwagę zasługuje fakt (przy utożsamieniu obecnego pojęcia ABI a pojęciem inspektora ochrony), że rozporządzenie może położyć kres obecnie stosowanej praktyce „masowego ABI” tzn. osoby, która podejmuje się pełnienia funkcji ABI w kilkudziesięciu różnych podmiotach.
Powyższa konkluzja wynika z faktu, że rozporządzenie wyraźnie zastrzega wyjątkowe sytuacje, w których kilka podmiotów może wyznaczyć jednego inspektora, dotyczą one wyłącznie:
– w ramach grupy przedsiębiorstw (ale tylko pod warunkiem, że można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej), której definicja znajduje się w art. 4 oraz precyzowana jest w preambule do rozporządzenia
– w organie lub podmiocie publicznym ( ale tylko z uwzględnieniem struktury organizacyjnej i wielkości)
– zrzeszenia lub podmioty reprezentujące określone kategorie administratorów (ale tylko w sytuacji, gdy nie zachodzą przesłanki określone w art. 37 ust. 1

i) Uregulowanie wieku pozwalającego na wyrażenie zgody na przetwarzanie
danych w celu „usług społeczeństwa informacyjnego”.
Rozporządzenie w art. 8 odnosząc się do „usług społeczeństwa informacyjnego”
bezwzględnie zakazuje przetwarzania danych osobowych dzieci (jeżeli podstawą
przetwarzania ma być zgoda, a nie np. realizacja zawartej umowy) poniżej 13 lat
bez uzyskania zgody (lub jej zaaprobowania) rodzica lub opiekuna prawnego
(domyślnie rozporządzenie ustala tą granicę na lat 16, ale zezwala państwu
członkowskiemu na obniżenie tego wieku do 13 lat), i jednocześnie nakłada na
administratora (np. operatora serwisu internetowego pozyskującego zgody)
„podjęcie rozsądnych starań, by zweryfikować, czy osoba sprawująca władzę
rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała”.
Jednocześnie, rozporządzenie ustala, że osoba po ukończeniu 16 roku życia może
sama wyrazić zgodę na przetwarzanie jej danych osobowych w przypadku usług
społeczeństwa informacyjnego i nie jest konieczne jej zaaprobowanie przez jej
opiekuna prawnego – państwo członkowskie natomiast nie może tej granicy
podwyższyć (może ją jedynie obniżyć do 13 roku życia.)

 

[/betterpay]

 Aby uzyskać dostęp do treści, wyślij SMS o treści: AP.RBDO na numer: 76068. Koszt wysłania SMS wynosi 6 PLN netto +23% VAT (7.38 zł brutto).
W odpowiedzi otrzymasz SMS z kodem aktywacyjnym, który wpisz w oznaczone pole.

Usługę SMS obsługuje Eurokoncept, grupa Dotpay. Usługa dostępna jest u wszystkich operatorów (T-mobile, Plus, Play, Orange).

Link do reg.usług SMS: dotpay.eu/regulaminsms/

Link do reklamacji usług SMS http://www.dotpay.pl/reklamacje/

Operatorem serwisu jest firma DoradcyPrawa.pl Łukasz Cieniak, Kopalniana22A/7, 01-321 Warszawa, NIP: 118-165-16-57, biuro@rbdo.pl

Powyższy materiał, jest fragmentem kompleksowego opracowania „Zmiany w prawie UE w zakresie ochrony danych osobowych na mocy rozporządzenia z 27 kwietnia 2016 roku w cenie 19 zł + 23% VAT” – autorstwa Dyrektora Działu Prawnego RBDO.

Po wejściu w życie rozporządzenia UE – kary za brak procedur przetwarzania danych wzrosną do 4% przychodu za ubiegły rok a ilość kontroli znacznie się zwiększy!

Już teraz warto poznać przegląd zmian jakie czekają na firmy po okresie vocatio legis rozporządzenia:

  • Czy Twoja firma będzie zobligowana do powołania Inspektora Ochrony Danych?
  • Jakie procedury będą obowiązywały – np. zgłoszenie incydentu do 72 godzin!
  • Jakie nowe terminy i organy powołuje rozporządzenie unijne?

Specjalnie dla Klientów RBDO przygotowaliśmy opracowanie o kluczowych zmianach w prawie UE w zakresie ochrony danych wg rozporządzenia z 27 kwietnia 2016 >>

Zapraszamy do zakupu rzetelnego opracowania w cenie 19 zł + 23% VAT

Zmiany w prawie UE w zakresie ochrony danych osobowych
Zmiany w prawie UE w zakresie ochrony danych osobowych – Rozporządzenie z dnia 27 kwietnia 2016 roku osobowych

 

[youtube]https://www.youtube.com/watch?v=2SVorNhy56Y[/youtube]

NIE MASZ PEWNOŚCI CZY TWOJA FIRMA SPEŁNIŁA OBOWIĄZKI OCHRONY DANYCH

Dodaj komentarz