Jest  to pierwszy artykuł z serii wpisów dotyczących zmian w ochronie danych osobowych. Z nowym rokiem  ruszamy pełną parą, aby dobrze przygotować się do RODO!

Skąd się wzięły zmiany?

Na pewno już słyszałeś, że w maju 2018 roku czekają nas zmiany w przepisach regulujących ochronę danych osobowych.

Wydaje się, że jeszcze jest sporo czasu na zapoznanie się z nimi, ale nie łudźmy się. 

Zanim się zorientujemy będzie majówka.

Nowa ustawa o ochronie danych osobowych jest efektem uchwalenia rozporządzenia unijnego o długiej nazwie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

W praktyce używa się skrótów: „RODO”, GDPR” oraz „Ogólne Rozporządzenie o Ochronie Danych”.

Państwa członkowskie mają na dostosowanie wewnętrznych przepisów dwa lata.

Termin ten upływa właśnie 25 maja 2018 roku.

Zmiana, która nas czeka jest kolejną dotyczącą ochrony danych osobowych.

Przy szybkiej zmianie realiów, w której funkcjonują przedsiębiorcy, nowych warunkach technologicznych, czy obrotu transgranicznego – trudno się temu dziwić.

Nowe rozporządzenie z jednej strony wzmacnia istniejące już uprawnienia.

Z drugiej kreuje zupełnie nowe uprawnienia osób fizycznych w zakresie gromadzenia i przetwarzania ich danych, o czym będę szczegółowo pisała w kolejnych artykułach.

Obowiązek dostosowania wewnętrznych procedur dotyczy w największym stopniu przedsiębiorców przetwarzających dane osób fizycznych, czyli dla przykładu Ciebie, jeśli wysyłasz oferty handlowe, zaproszenia do skorzystania z rabatu itp.

Polski system prawa a ochrona danych osobowych

Obecnie, jeszcze obowiązujące przepisy, zostały wprowadzone ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Zmiana ta została wymuszona postanowieniami dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, które zobowiązywało państwa członkowskie do implementacji dyrektywy w krajowym systemie.

W dużym uproszczeniu można opisać to tak, że Unia dała dyrektywę i powiedziała: Drogi kraju członkowski, teraz masz tyle i tyle czasu aby wprowadzić dyrektywę do swoich przepisów krajowych.

Była to taka prośba nie do odrzucenia.

Obecnie jest inaczej.

Nie ma potrzeby implementacji, gdyż kwestia ochrony danych osobowych została uregulowana w rozporządzeniu, które jest aktem bezpośrednio stosowanym oraz bezpośrednio skutecznym.

Jednak każde z państw członkowskich zobowiązane jest do zapewnienia jego skutecznego stosowania w swoim porządku prawnym poprzez przyjęcia właściwych przepisów wewnętrznych.

W Polsce odpowiedzialnym za zapewnienie skutecznego stosowania rozporządzenia w Polsce jest Ministerstwo Cyfryzacji.

Zakres stosowania rozporządzenia

Rozporządzenie weszło w życie w dniu maju 2016r. Jednak zacznie ono obowiązywać od 25 maja 2018r.

Celem zmian było wprowadzenie wspólnych regulacji, które niezależnie od miejsca przetwarzania danych, to znaczy w którym państwie, byłyby jednakowo stosowane zapewniając taka samą ochronę osób fizycznych.

Dlatego zostały wprowadzone pewne ogólne zasady, o których będę szczegółowo pisać w odrębny wpisie.

Tutaj jedynie przytoczę zasadę przetwarzania danych wyłącznie na określonej podstawie prawnej, np. na podstawie zgody podmiotu danych, lub w ramach uprawnienia albo obowiązku określonego w konkretnym przepisie prawa.

Zakres podmiotowy i przedmiotowy został uregulowany w Rozdziale 1 projektu ustawy o ochronie danych osobowych (ustawa jeszcze nie została uchwalona).

Kto podlega przepisom?

Nowe przepisy mają zastosowanie do „administratora danych osobowych” oraz „podmiotu przetwarzającego”, czyli podmiotów, które zbierają i przetwarzają dane osobowe osób fizycznych, np. spółki, jednoosobowe firmy, czy sklepy internetowe.

Uwaga! Ustawa nie dotyczy ochrony danych osób zmarłych. W tej kwestii należy stosować przepisy kodeksu cywilnego (np. w ramach kultu pamięci osoby zmarłej).

Administratorem jest osoba fizyczna lub prawna, organ publiczny jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Podmiotem przetwarzającym jest osoba fizyczna lub prawna organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Zakres przedmiotowy

Nowa ustawa analogicznie do uregulowań unijnych przyjmuje zakres przedmiotowy.

Przepisy mają zastosowanie do przetwarzania:

• danych  osobowych  w  sposób  całkowicie  lub  częściowo zautomatyzowany
• w  sposób  inny  niż  zautomatyzowany  danych osobowych stanowiących lub mających stanowić część zbioru danych

Ustawa nie ma zastosowania do ochrony innych podmiotów w związku z przetwarzaniem ich danych osobowych (np. firm).

Czyli nie można mówić o ochronie danych firmy „XX”, a raczej o ochronie danych konkretnego Kowalskiego, czy Nowaka.

Analogiczne uregulowanie znajduje się w Rozporządzeniu. Zgodnie z motywem 14 preambuły:

Ochrona  zapewniana  niniejszym Rozporządzeniem powinna  mieć  zastosowanie  do  osób  fizycznych – niezależnie  od  ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych.

Wyjątki przewidziane w  przepisach stanowią katalog zamknięty i muszą być stosowane zawężająco.