BANK 2017/07-08

Prawo: Europejczyk w cyfrowej twierdzy

Igor Lagenda
Prawo: Europejczyk w cyfrowej twierdzy
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Obowiązkowe zgłaszanie wycieków danych w ciągu 72 godzin, zwiększenie uprawnień dla klientów oraz wielomilionowe kary - to tylko niektóre ze zmian, które wejdą w życie w ramach ogólnej ochrony danych w maju 2018 r. Firmy już teraz powinny zacząć przygotowania do nowych przepisów - alarmują eksperci.

Igor Lagenda

Zdanych Komisji Europejskiej wynika, że aż 92% Europejczyków niepokoi gromadzenie danych osobowych bez ich zgody przez aplikacje mobilne, a 70% obawia się, że zostaną one wykorzystane w niewłaściwy sposób przez przedsiębiorstwa lub ujawnione w wyniku ataku hakerskiego.

Nic dziwnego, że Bruksela uznała, że nadszedł czas na wprowadzenie nowych mechanizmów ochrony praw konsumentów i kilka lat temu rozpoczęła prace nad The General Data Protection Regulation (GDPR), czyli Ogólnym rozporządzeniem o ochronie danych (RODO). Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 zostało przyjęte 27 kwietnia 2016 r. W życie weszło 17 maja 2016 r., a zacznie obowiązywać od 25 maja 2018 r.

Uregulowanie kwestii ochrony danych osobowych w rozporządzeniu, a nie jak do niedawna w dyrektywie, ma na celu ujednolicenie przepisów we wszystkich państwach całej Unii Europejskiej i ułatwienie prowadzenia transgranicznej działalności gospodarczej. W ten sposób wyeliminowane zostaną rozbieżności w prawie ochrony danych osobowych w poszczególnych krajach Unii i dzięki temu można będzie stosować jednolity formularz zgody na przetwarzanie danych osobowych we wszystkich państwach Wspólnoty.

Nowe przepisy zawierają zamknięty katalog sytuacji, w których przetwarzanie danych może zostać uznane za zgodne z prawem. Aby ten proces mógł zostać uznany za legalny, musi zostać spełniony jeden z następujących warunków:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych;
  • przetwarzanie jest niezbędne do wypełnienia umowy, której stroną jest osoba udostępniająca dane;
  • przetwarzanie jest nieodzowne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest konieczne do ochrony interesów osoby, której dane dotyczą;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do wypełnienia celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter mają interesy lub podstawowe prawa i wolności osoby udostępniającej dane, w szczególności gdy jest nią dziecko.

Rozporządzenie kładzie szczególny nacisk na ochronę w sieci. Kiedy osoba, której dane dotyczą, będzie wyrażać zgodę w odpowiedzi na elektroniczne zapytanie, musi ono być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z głównej usługi. Administratorzy będą musieli pozyskiwać i ewidencjo-nować zgody w taki sposób, aby w przypadku skarg osób fizycznych, mogli wykazać, że rzeczywiście je uzyskali.

Wyzwanie dla firm

Prawnicy ostrzegają, że dostosowanie do nowych przepisów to proces długotrwały i aby dobrze się do niego przygotować, przedsiębiorcy powinni już teraz rozpocząć przygotowania. Deloitte radzi podjąć następujące działania:

  • przeprowadzić szkolenia dla pracowników (działów compliance, marketingu, sprzedaży, HR),
  • przygotować plan wdrożenia rozporządzenia,
  • implementować rozwiązania organizacyjne i techniczne.

Z opublikowanych w ostatnim czasie badań (m.in. przez IDC razem z ESET) wynika, że jedna czwarta europejskich przedsiębiorców nie ma pojęcia, że GDPR dotyczy także ich. Jedna czwarta z 700 przebadanych europejskich firm przyznała, że nie jest świadoma wdrożenia rozporządzenia, a ponad połowa (52%) nie zdaje sobie sprawy z wpływu GDPR na ich organizację. Wśród firm, które wiedzą o rozporządzeniu, co piąta (20%) nie zaczęła przygotowywać się do wdrożenia regulacji. Gotowych na wdrożenie nowych przepisów jest zaledwie 21% podmiotów.

Wejście nowych przepisów oznacza, że przedsiębiorcy muszą zweryfikować programy compliance. Zgodnie nowymi regulacjami oznacza to konieczność:

  • wyznaczenia inspektora ochrony danych osobowych,
  • utworzenia i prowadzenia rejestru wewnętrznego,
  • przeprowadzenia oceny skutków przetwarzania dla ochrony danych,
  • wprowadzenia odpowiednich zabezpieczeń danych i procedur związanych z ochroną danych,
  • uwzględniania ochrony danych w fazie projektowania oraz domyślnej ich ochrony.

Inspektorzy ochrony danych zastąpią administratorów bezpieczeństwa (ABI). Będą wypełniać zadania z zakresu compliance oraz współpracy z organem nadzoru. Wyznaczenie inspektora będzie obowiązkowe w następujących sytuacjach:

  • jeżeli główna działalność przedsiębiorcy w zakresie przetwarzania – ze względu na swój charakter, zakres lub cele -wymaga regularnego i systematycznego monitorowania osób na dużą skalę;
  • gdy główna ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI