Autor: Agnieszka Zinek

W dniu 25 maja 2018r. zacznie obowiązywać tzw. RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/41/WE (General Data Protection Regulation). Zwracamy uwagę, że w Polsce obowiązek ochrony danych osobowych istnieje od przeszło 20 lat, a powyższy akt nie stanowi rewolucji w tym zakresie. Poniżej odpowiemy na pytanie dlaczego RODO budzi tyle emocji.

W pierwszej kolejności RODO wprowadza odpowiedzialność podmiotów przetwarzających dane osobowe, która przestaje być iluzoryczna. Odpowiedzialność ta występuje na trzech płaszczyznach:

• cywilnej,
• karnej ,
• administracyjnej.

RODO wprost daje podstawy odpowiedzialności cywilno-prawnej za szkodę wyrządzoną naruszeniem zasad przetwarzania danych. W jej ramach możemy dochodzić naprawienia szkody majątkowej i niemajątkowej (odszkodowania i zadośćuczynienia). Istotnym jest, że ciężar dowodu ciąży na administratorze i podmiocie przetwarzającym, a ich odpowiedzialność jest solidarna. Na gruncie karnym sankcją za nieprzestrzeganie przepisów o ochronie danych osobowych może być grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku. Jednakże największym zagrożeniem są kary finansowe nakładane w trybie postępowania administracyjnego, które mogą wynosić do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy w roku poprzedzającym rok nałożenia kary. Co istotne – nakładana jest kara wyższa.

Rozporządzenie przerzuca ciężar oceny na podmioty przetwarzające dane osobowe, jakie środki techniczne i organizacyjne skutecznie zapewnią właściwą ochronę przetwarzanych danych oraz bezpieczne ich usuwanie (analiza ryzyka). To podmiot przetwarzający jest zobowiązany do wykazania, że wprowadził odpowiednie środki, które należycie zabezpieczą dane osobowe. RODO nie przewiduje w tym zakresie gotowych rozwiązań, a jedynie wskazuje przykładowe środki. W razie powierzenia przez administratora przetwarzania danych osobowych innemu podmiotowi, musi on zapewnić wystarczające gwarancje wdrożenia odpowiednich środków, aby proces odbywał się zgodzie z przepisami prawa.

Nadto, generalną zasadą jest, że w razie naruszenia przepisów o ochronie danych osobowych administrator jest zobowiązany do zgłaszania organowi nadzorczemu o zaistniałym naruszeniu niezwłocznie, nie później w przeciągu 72 godzin (a jeżeli później to musi złożyć stosownej wyjaśnienia). Zwolnić się można z tego obowiązku, gdy mało prawdopodobnym jest, aby naruszenie skutkowało ryzykiem naruszania praw i wolności osób fizycznych. Administrator zobligowany jest zawiadomić osoby, których dane dotyczą o zaistniałym naruszeniu, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osoby.

RODO wprowadza również szereg innych zasad i obowiązków dotyczących danych osobowych, które będziemy stopniowo omawiać w kolejnych artykułach, w szczególności obowiązki administratora danych, zasady dotyczące zgody na przetwarzanie danych osobowych czy też prawa podmiotów danych. Warto dodać, że RODO wpłynie również na obecnie obowiązujące akty prawne, gdyż polski projekt ustawy o ochronie danych osobowych wprowadza zmiany w kilkuset innych aktach prawnych.

Autor: Agnieszka Zinek ZOBACZ MÓJ PROFIL