Jakie zmiany wprowadza RODO?
RODO wprowadza szereg zmian w systemie ochrony danych osobowych zastępując w tym zakresie dotychczasowe ustawodawstwo krajowe. Do najważniejszych różnic pomiędzy regulacją polskiej ustawy o ochronie danych osobowych a RODO zaliczyć należy:
- wprowadzenie obowiązku administratora danych do informowania o naruszeniach ochrony danych osobowych – administrator danych zobowiązany został do zgłoszenia, w niektórych przypadkach, tego typu naruszeń zarówno organowi zajmującemu się przetwarzaniem danych osobowych, a w niektórych przypadkach także osobie, które dane te dotyczą. Podmiot przetwarzający natomiast zobligowany jest do niezwłocznego zgłaszania takich naruszeń administratorowi danych,
- funkcja administratora bezpieczeństwa informacji (tzw. ABI) zostaje zastąpiona funkcją Inspektora Ochrony Danych Osobowych – RODO przyznaje inspektorowi szersze uprawnienia oraz większe gwarancje niezależności. Niemniej powoływanie inspektor nadal, w większości przypadków, będzie dobrowolne,
- wprowadzony został obowiązek oceny skutków planowanego przetwarzania dla ochrony danych osobowych – w niektórych sytuacjach, zwłaszcza gdy przetwarzanie danych osobowych będzie wykonywane przy użyciu nowych technologii, administrator danych będzie zobligowany do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych,
- pojawia się instytucja uprzednich konsultacji – jest ona powiązana z oceną skutków przetwarzania danych osobowych. Jeżeli ocena taka ujawni wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zaś administrator danych nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator danych będzie miał obowiązek skonsultowania się z organem nadzorczym, co do sposobów minimalizacji ww. ryzyka,
- rozporządzenie wprowadza obowiązek szacowania ryzyka – administrator danych oraz podmiot przetwarzający zobowiązani zostali do wprowadzenia odpowiednich do zidentyfikowanego ryzyka środków technicznych i organizacyjnych mających na celu zapewnienie właściwego poziomu bezpieczeństwa ochrony danych osobowych,
- dodano obowiązek uwzględnienia ochrony danych osobowych w fazie projektowania – administrator danych zobowiązany jest, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania do wdrażania odpowiednich środków technicznych i organizacyjnych (np. pseudonimizacja, minimalizacja danych), tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą,
- wprowadzony zmiany w sposobie powierzania i podpowierzenia przetwarzania danych osobowych – ustawa z 1997 roku w sposób szczątkowy reguluje kwestię powierzenia danych osobowych innym podmiotom oraz milczy w zakresie dopuszczalności oraz zasad podpowierzania przetwarzania danych osobowych. RODO wprowadza w tym zakresie rozbudowaną regulację. Nakłada także na podmiot przetwarzają wymóg uzyskania zgody administratora danych na podpowierzanie danych osobowych innym podmiotom,
- wprowadzono zmiany w zakresie udzielania zgody na przetwarzanie danych osobowych – RODO zmienia nieznacznie katalog przesłanek przetwarzania danych osobowych bez zgody osoby, której dane dotyczą. Nadto, wprowadza regulacje odnoszące się do zgody osoby niepełnoletniej udzielanej przy realizacji usług społeczeństwa informacyjnego, a także nowej instytucji przetwarzania danych osobowych bez konieczności identyfikacji osoby, której dane są przetwarzane,
- liczne zmiany dotykają praw osób, których dane są przetwarzane –ustawa z 1997 roku posługuje się instytucjami: sprzeciwu oraz żądania zaprzestania przetwarzania danych osobowych, na gruncie RODO funkcjonuje tylko instytucja sprzeciwu łącząca cechy i funkcje ww. instytucji. Ponadto, pojawiają się całkowicie nowe uprawnienia osoby, której dane są przetwarzane, przykładowo: prawo do bycia zapomnianym, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych (zob. art. 12-22 RODO),
- RODO zawdzięczamy wprowadzenie kompleksowej regulacji w zakresie profilowania – pojawia się generalny zakaz podejmowania wiążących decyzji przez administratora danych na podstawie zautomatyzowanego przetwarzania danych, w tym profilowania. Niemniej, w rozporządzeniu przewidziano także wyjątki od tego zakazu,
- w RODO zrezygnowano z rejestracji zbiorów danych osobowych na rzecz rejestrowania czynności przetwarzania – znikną rejestry zbiorów danych osobowych prowadzone przez GIODO albo przez ABI, administrator danych natomiast ma obecnie obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada. Analogiczny obowiązek nałożono na podmiot przetwarzający,
- wprowadzono zmiany w obowiązku udzielania informacji przez administratora danych – także obecnie administrator danych ma obowiązek udzielać informacji osobom, których dane osobowe przetwarza, niemniej RODO wprowadza w tym zakresie ustawowe terminy, a także możliwość pobierania opłaty za udzielane informacje, gdy żądania takie są ewidentnie nieuzasadnione lub nadmierne, zwłaszcza z uwagi na ich ustawiczny charakter. Co ważne zwiększono znacznie rangę tego obowiązku, który stał się jedną z przesłanek legalnego przetwarzania danych osobowych,
- dodano prawo do odszkodowania oraz odpowiedzialność ADO za szkodę majątkową i niemajątkową – RODO wprowadza regulacje w zakresie cywilnoprawnej odpowiedzialności ADO za szkody wywołane naruszeniem przezeń przepisów rozporządzenia. Nadto, wprowadzono katalog roszczeń, z którymi osoba, której dane są przetwarzane będzie mogła wystąpić do administratora danych. W Polsce roszczenia z tego tytułu będzie rozpatrywał sąd okręgowy niezależnie od wartości przedmiotu sporu,
- pojawia się regulacja w zakresie współadministrowania danymi osobowymi – rozporządzenie wprowadza pojęcie podmiotów, którzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych,
- dodano instytucję certyfikacji – RODO umożliwia wprowadzenie systemu certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. W Polsce certyfikację będzie przeprowadzał Prezes Urzędu Ochrony Danych Osobowych, bądź akredytowany podmiot certyfikujący,
- dodano instytucję kodeksów postępowania – zrzeszenia oraz inne organizacje reprezentujące administratorów danych lub podmioty przetwarzające będą mogły przyjmować kodeksy postępowania. Ich celem będzie doprecyzowanie zasad ochrony danych osobowych zawartych w RODO,
- dodano przepisy o akredytacj – monitorowanie przestrzegania kodeksów postępowania, a także przeprowadzenie postępowania w celu wydania certyfikatu dokonywane będzie przez podmioty do tego akredytowane. W Polsce akredytacji udzielać będzie Polskie Centrum Akredytacji,
- pojawia się Europejska Rada Ochrony Danych – powołany zostaje organ Unii Europejskiej, w którego skład wchodzić będą przewodniczący jednego organu nadzorczego każdego państwa członkowskiego oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele. Rada będzie miała za zadanie m.in. monitorować sposób stosowania RODO i doradzać innym organom Unii Europejskiej albo krajów członkowskich, wydawać w tym zakresie wytyczne, rozstrzyga spory między krajowymi organami ochrony danych osobowych,
- zmiany zasad i wysokości nakładanych kar za naruszenie przepisów – RODO zastrzegając bardzo wysokie kary finansowe za naruszenie przepisów rozporządzenia, sięgające 20.000.000 euro, określa także przesłanki, którymi winny się kierować organy nakładające kary. Prezes Urzędu Ochrony Danych Osobowych będzie uprawniony, na wniosek podmiotu ukaranego, do odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty ze względu na ważny interes ukaranego wnioskodawcy.
Zmiany zajdą także na gruncie prawa krajowego:
- Generalny Inspektor Ochrony Danych Osobowych (GIODO) został zastąpiony Prezesem Urzędu Ochrony Danych Osobowych,
- znika możliwość składania wniosku o ponowne rozparzenie sprawy przez GIODO, postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych ma być bowiem jednoinstancyjne, a jego decyzje natychmiast wykonalne. Od decyzji Prezesa Urzędu przysługiwała będzie skarga do wojewódzkiego sądu administracyjnego, zaś jej wniesienie powodować będzie wstrzymanie wykonania decyzji tego organu w zakresie nałożonej kary pieniężnej,
- organizacje społeczne uzyskały możliwość żądania wszczęcia postępowania przed Prezesem Urzędu, a także wstąpić do postępowania będącego już w toku,
- pojawia się instytucja czasowego zawieszenia przetwarzania danych osobowych przez administratora danych w toku postępowania prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych – organ ten uprawniony będzie w drodze postanowienia do zobowiązania podmiotu, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych aby ograniczył on przetwarzanie danych osobowych. Prezes Urzędu Ochrony Danych Osobowych będzie również wskazywał dopuszczalny zakres tego przetwarzania w czasie trwania postępowania,
- dodano możliwość zastrzeżenia informacji stanowiących tajemnicę przedsiębiorstwa do wiadomości Prezesa Urzędu Ochrony Danych Osobowych przez stronę postępowania. Prezes Urzędu będzie mógł wszakże uchylić zastrzeżenie, w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa,
- zmniejszeniu uległa ilość występków i wykroczeń przewidzianych w ustawie o ochronie danych osobowych – nowa ustawa przewiduje jedynie dwa przypadki takiej odpowiedzialności,
- Prezes Urzędu, jeżeli uzna, że przemawia za tym interes publiczny, po zakończeniu postępowania będzie mógł zmieścić informacje o wydaniu decyzji na swojej stronie podmiotowej w Biuletynie Informacji Publicznej,
- ustawa wprowadza nową regulację w zakresie kontroli przestrzegania przepisów o ochronie danych osobowych, a także o nakładaniu administracyjnych kar pieniężnych.
autor: Michał Koralewski