Prawo: Unijna reforma ochrony danych osobowych – istotna czy kosmetyczna zmiana?

BANK 2017/01

Krzysztof Radziwon
partner w dziale usług doradczych, w zespole zarządzania ryzykiem w KPMG w Polsce.

27 kwietnia 2016 r. po wielu latach negocjacji, kompromisów, analiz kolejnych wersji aktu, Komisja Europejska uzgodniła i opublikowała ostateczne zapisy Rozporządzenia w zakresie ochrony danych osobowych (ang. General Data Protection Regulation, GDPR, RODO). Unijne rozporządzenie ma charakter obowiązującego prawa, jednakże wiąże się z koniecznością dostosowania przez Ministerstwo Cyfryzacji wielu obecnie obowiązujących aktów prawnych (treść ustaw powinna zostać przedstawiona w pierwszym kwartale 2017 r.). Okres przejściowy, z upływem którego firmy będą musiały uzyskać pełną zgodność, trwa do 25 maja 2018 r.

 

 

W przypadku Polski warto pamiętać, że obowiązująca ustawa o ochronie danych osobowych w porównaniu do aktów regulujących ten obszar w innych krajach Unii Europejskiej była relatywnie restrykcyjna. Stąd wpływ RODO na obszar przetwarzania danych osobowych w naszym kraju jest mniej fundamentalny niż w wielu innych państwach członkowskich Unii.

Rozporządzenie dotyczy praktycznie wszystkich organizacji przetwarzających dane osobowe i wprowadza szereg istotnych zmian, takich jak: konieczność pozyskania zgody na przetwarzanie danych w sposób jednoznaczny w stosunku do określonego celu przetwarzania; brak konieczności zgłaszania zbiorów danych osobowych do rejestru prowadzonego przez GIODO; konieczność przeprowadzania analizy ryzyka danych osobowych i stosowania adekwatnych do poziomu ryzyka zabezpieczeń technicznych oraz organizacyjnych; prawna dopuszczalność pseudoanonimizacji i szyfrowania danych, czy też prawo do bycia zapomnianym lub zaprzestania przetwarzania danych. Powyższych zmian nie można uznać za kosmetyczne.

 

Konsekwencje finansowe do 4% globalnych przychodów grupy:

Kary finansowe za brak zgodności mogą wynieść do 4% globalnych przychodów grupy lub 20 milinów euro, w zależności od tego, która z kar jest bardziej dotkliwa. Kraje członkowskie mogą uzupełnić katalog sankcji o dodatkowe elementy.

Inspektor Ochrony Danych Osobowych:

Musi zostać powołany inspektor ochrony danych osobowych (DPO) w jednostkach publicznych oraz jednostkach, gdzie działalność podstawowa wiąże się z regularnym i systematycznym monitorowaniem i przetwarzaniem specjalnych kategorii danych osobowych.

Szeroka definicja danych osobowych:

GDPR/RODO definiuje dane osobowe jako jakiekolwiek informacje odnoszące się do zidentyfikowanej lub identyfikowalnej osoby w tym dane pseudoanonimowe.

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: