W dniu dzisiejszym (4 maja 2016 r.) w Dzienniku Urzędowym UE opublikowano Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jakie zmiany czekają nas już wkrótce?

Nowe Rozporządzenie o ochronie danych osobowych

Celem Rozporządzenia jest ujednolicenie krajowych przepisów dotyczących ochrony danych osobowych oraz zapewnienie osobom, których dane dotyczą aby przetwarzanie danych osobowych odbywało się z poszanowaniem ich praw i wolności. Jak czytam w preambule Rozporządzenia:

regulacja ma przyczynić się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi.

Rozporządzenie będzie stosowane od dnia 25 maja 2018 r. i zastąpi polską ustawę o ochronie danych osobowych z 1997 r.

Zgodnie z zasadą wyrażoną w art. 6 Rozporządzenia, przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Podmiot przetwarzający dane osobowe zobowiązany będzie do udzielenia osobie, której dane są przetwarzane wszelkich niezbędnych informacji dotyczących jego tożsamości i danych kontaktowych, jak i celu przetwarzania danych osobowych. Informacje te mają zostać przedstawione w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Prawo do bycia zapomnianym

Co ważne, Rozrządzenie wprowadza „prawo do bycia zapomnianym”. „Prawo do bycia zapomnianym” to uprawnienie osoby, której dane dotyczą do żądania od administratora danych (podmiotu przetwarzającego dane) niezwłocznego usunięcia dotyczących jej danych osobowych. Żądanie to może zostać wysunięte w następujących przypadkach:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 Rozporządzenia wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 Rozporządzenia wobec przetwarzania;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 Rozporządzenia.

Jak widać, „prawo do bycia zapomnianym” zostało ukształtowane szeroko i nałoży na administratorów danych nowe obowiązki.

Rozporządzenie, co jest nowością, wprowadza sankcje pieniężne za przetwarzanie danych osobowych wbrew jego przepisom. Dotychczas polska ustawa o ochronie danych osobowych nie zawierała tego rodzaju sankcji.

Z pewnością Rozporządzenie o ochronie danych osobowych zmieni zasady i sposoby przetwarzania danych osobowych. Administratorzy danych osobowych będą musieli sprostać jego wymogom, jeżeli nie chcą narazić się na sankcje pieniężne i „negatywny PR”.

Na łamach lookreatywni.pl będziemy szczegółowo analizowali Rozporządzenie oraz jego wpływ na działalność przedsiębiorców.

***

fot. grafika autorstwa blue_island pochodzi z banku zdjęć Fotolia