BiznesPolecane tematy

Unia Europejska planuje zmianę przepisów dotyczących ochrony danych osobowych

 Trwają prace nad reformą systemu ochrony danych osobowych w Unii Europejskiej. Przygotowywane jest rozporządzenie, które ma zostać uchwalone pod koniec 2014 lub na początku 2015 roku uchwalone i pewnie wejdzie w życie w roku 2017.

Unia Europejska planuje zmianę przepisów dotyczących ochrony danych osobowych

Nowelizacja przepisów o ochronie danych osobowych próbuje odpowiedzieć na wątpliwości, które pojawiają się dziś. Świadczy o tym także ostatnie orzeczenie w sprawie Google Spain (Trybunał Sprawiedliwości Unii Europejskiej uznał, że można żądać usunięcia niektórych wyników wyszukiwania wyświetlanych po wpisaniu w okno wyszukiwarki imienia i nazwiska. – przyp. red.).

Ujednolicone prawo ochrony danych osobowych w całej UE

Trybunał uznał, że 28 różnych organów ochrony danych, w 28 krajach członkowskich UE może wydać 28 różnych decyzji na temat czegoś, co tak naprawdę jest usługą skierowaną do całego świata. “Wskazuje to, że dobrze byłoby wprowadzić jakiś porządek do tego systemu, choćby poprzez zastąpienie 28 ustaw o ochronie danych osobowych jednym rozporządzeniem na poziomie europejskim” – mówi dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych.

Nadal jednak utrzymane zostałyby krajowe instytucje ochrony danych osobowych. Wynika to z faktu, że większość trafiających do nich spraw ma charakter lokalny, dotyczy firm i podmiotów publicznych działających w danym kraju. Współpraca między poszczególnymi organami to jednak główny cel, który chce osiągnąć Unia Europejska.

Wdraża ona kilka podstawowych założeń, wzmacniając część zasad, które były przewidziane w obowiązującym już prawie europejskim, zmieniając nieco sposób ich realizowania. Po pierwsze, zamiast 28 ustaw implementujących dyrektywę pojawia się jedno, unijne rozporządzenie. Dzięki temu, teoretycznie, różnica między tym, jak działa polski organ ochrony danych osobowych, a jak hiszpański czy estoński, będzie znacznie mniejsza. Podobnie będą orzekać sądy.

Firmy podlegają pod lokalny organ ochrony danych osobowych

Po drugie, wprowadza się zasadę, że przedsiębiorca, który działa w kilku krajach europejskich – jest to szczególnie istotne w branży IT – będzie „rozliczał” się ze swoich obowiązków przed swoim organem krajowym. Jednocześnie skargi do niego mogą wpływać do różnych organów krajowych, ale one między sobą mają już rozwiązać sprawę, jednocześnie lokalnie informować konsumenta, co dzieje się z jego sprawą. Z drugiej strony spowoduje, że przedsiębiorca nie będzie musiał załatwiać swoich spraw jednocześnie w kilku krajach Unii Europejskiej.

Rezygnacja ze zgłaszania zbiorów do rejestru GIODO

Kolejna kwestia to rezygnacja ze zgłaszania prowadzonych zbiorów do rejestru GIODO, na rzecz poddania ocenie tego, jak wygląda przetwarzanie danych osobowych w danej firmie i jakie może mieć niepokojące skutki dla osób, których dane są przetwarzane. Raczej dokonujemy samooceny, niż zgłaszamy się do jakiegoś rejestru. Nawet, jeśli zbieramy te dane do celów marketingowych. Samo zgłoszenie nic tak naprawdę nie znaczy, ani dla tego rejestru, ani dla przedsiębiorcy. Wyjątkiem mają być zbiory, w których gromadzone są dane sensytywne wymienione w obecnym art. 27 ustawy o ochronie danych osobowych, np. dane o zdrowiu, wyznaniu czy poglądach politycznych.

Możliwe jest też zbieranie danych w ramach tzw. internetu rzeczy. Trzeba jednak znaleźć jedną z 6 podstaw prawnych, którą przewiduje obowiązująca dziś dyrektywa, np. gdy jest taki wymóg prawny lub gdy istnieje „uzasadniony interes” administratora danych osobowych. Tego specjalnie nie zmieni nowe rozporządzenie.

Obowiązek zgłaszania incydentów bezpieczeństwa

Nowością – z punktu widzenia polskiego prawa – będzie obowiązek zgłaszania incydentów bezpieczeństwa. Obecnie istnieje on tylko w Prawie telekomunikacyjnym. Incydent bezpieczeństwa oznacza sytuację, w której dane zostały zniszczone, skradzione lub z innego powodu wyciekły. Nowością będzie też nakładanie przez GIODO kar administracyjnych, czego do tej pory nie było w systemie polskim, a co sprawdzało się w systemach francuskim, brytyjskim.

Więcej w wywiadzie z dr. Wojciechem Rafałem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych w drugim numerze magazynu ITwiz. Zapraszamy do prenumeraty.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *