GDPR: Jakie zmiany w ochronie danych osobowych czekają firmy?

GDPR: Rewolucja czy ewolucja w ochronie danych osobowych?

Od 2012 roku trwają intensywne prace nad reformą ODO w UE. Projekt General Data Protection Regulation (GDPR), po przedstawieniu do dalszych prac legislacyjnych w ~~ubiegłym~~ roku, zbliża się do finalizacji.
Planowany termin zakończenia procesu legislacyjnego to pierwsza połowa 2016 roku, z wejściem w życie nowych przepisów w 2018 roku.

Rozporządzenie to, zastępując dyrektywę, wprowadza istotne zmiany, które polski ustawodawca (i wszystkie kraje UE) będzie musiał zaimplementować poprzez modyfikację ustaw krajowych dotyczących ochrony danych osobowych.
Kluczowym celem jest ujednolicenie i wzmocnienie ochrony danych osobowych w całej UE.

Tabela 1: *Kluczowe Daty Wprowadzenia GDPR*
Etap	Termin
Prace nad reformą rozpoczęte	2012
Prezentacja projektu GDPR	Koniec ~~ubiegłego~~ roku
Planowane zakończenie legislacji	I połowa 2016
Wejście w życie GDPR	2018

Źródło: Opracowanie własne na podstawie dokumentów UE

Ewolucja definicji danych osobowych

Definicja danych osobowych w GDPR nie odbiega znacząco od definicji w polskim prawie. Zarówno GDPR, jak i ustawa, definiują dane osobowe jako informacje dotyczące osoby fizycznej, którą można zidentyfikować.
Jednak, GDPR precyzuje pojęcie osoby możliwej do zidentyfikowania.

Wskazuje się, że wystarczy identyfikacja bezpośrednia lub pośrednia, w tym poprzez identyfikator sieciowy (online identifier).
Oznacza to, że adres IP oraz pliki cookie będą w świetle GDPR traktowane jako dane osobowe. (Patrz: Tabela poniżej).

Tabela 2: *Przykłady Identyfikatorów Osobowych w GDPR*
Kategoria Identyfikatora		Przykład
Identyfikatory Bezpośrednie	Imię i Nazwisko	Jan Kowalski
Identyfikatory Bezpośrednie	Numer PESEL	77XXXXXXXXX
Identyfikatory Pośrednie	Adres IP, Pliki Cookie (nowość w GDPR)

Źródło: Interpretacja definicji GDPR

Identyfikatory Online jako Dane Osobowe

Włączenie identyfikatorów online do definicji danych osobowych to kluczowa zmiana. Firmy muszą (szczególnie w sektorze e-commerce i marketingu online) zrewidować swoje praktyki dotyczące zbierania i przetwarzania danych.
Dotyczy to m.in. monitorowania aktywności użytkowników w sieci.

Zmiany w podejściu do danych wrażliwych

GDPR wprowadza zmiany w kontekście danych wrażliwych. Obecnie, zgoda na przetwarzanie danych wrażliwych (wg. polskiej ustawy) musi być wyrażona na piśmie.
Nowe rozporządzenie liberalizuje to podejście.

Dopuszcza się zgodę wyrażoną w dowolnej, jednoznacznej formie. To ułatwienie, ale też większa odpowiedzialność.
Katalog danych wrażliwych został rozszerzony o dane biometryczne.

Uwaga: Organy publiczne nie muszą już wykazywać prawnie usprawiedliwionego interesu w przetwarzaniu danych. Wystarczy, że przetwarzanie wynika z zadań i obowiązków danego organu. To istotne ułatwienie dla administracji.

Dane Wrażliwe (Kategorie Szczególne): Wyjaśnienie: Dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Przykład użycia: Przetwarzanie danych biometrycznych w systemie kontroli dostępu.

Administrator Bezpieczeństwa Informacji (ABI) – nie tylko dla wybranych?

GDPR wprowadza obowiązek wyznaczenia inspektora ochrony danych (DPO), pełniącego funkcję zbliżoną do ABI, w określonych przypadkach. Obowiązek ten dotyczy ściśle zdefiniowanych jednostek.

Dla pozostałych podmiotów wyznaczenie DPO nie jest obowiązkowe, jednak fakt, że każdy urząd gminy, powiatu czy urząd skarbowy będzie musiał zatrudnić inspektora ochrony danych, stanowi znaczącą zmianę. To wyzwanie organizacyjne i finansowe dla sektora publicznego.

Tabela 3: *Porównanie Funkcji ABI i DPO*
Funkcja		ABI (Polska)	DPO (GDPR)
Podobieństwa	Rola	Osoba nadzorująca ODO	Osoba nadzorująca ODO
	Zadania	Nadzór, szkolenia, doradztwo	Nadzór, szkolenia, doradztwo
	Cel	Zapewnienie zgodności z ODO	Zapewnienie zgodności z ODO
Różnice	Podstawa prawna	Ustawa Polska	Rozporządzenie UE

Źródło: Analiza porównawcza funkcji ABI i DPO

Obowiązki Wyznaczenia DPO

Obowiązek wyznaczenia DPO dotyczy następujących przypadków:

Podmioty publiczne (z wyjątkiem sądów).
Jednostki, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę.
Jednostki, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych) oraz danych dotyczących wyroków skazujących i naruszeń prawa.

Rozszerzone obowiązki informacyjne

GDPR precyzuje i rozszerza obowiązki informacyjne administratorów danych. Transparentność to klucz GDPR.
Obowiązkowe stanie się podawanie danych kontaktowych DPO, podstawy prawnej i celu przetwarzania danych, a także okresu przechowywania danych osobowych lub kryteriów jego ustalania.

To zwiększa transparentność przetwarzania danych dla osób, których dane dotyczą. Osoby fizyczne zyskują więcej informacji i kontroli nad swoimi danymi.

„Rozszerzone obowiązki informacyjne to krok w stronę większej transparentności i kontroli osób nad ich danymi osobowymi.”

— Ekspert ds. ODO, CXO.pl

Powierzenie przetwarzania danych – większa odpowiedzialność

Dotychczasowe przepisy i polska ustawa o ODO traktowały kwestię powierzenia przetwarzania danych marginalnie. To było niedopatrzenie, które GDPR naprawia.
GDPR znacząco rozbudowuje regulacje w tym zakresie.

Ustanawia minimalne standardy umów o powierzenie przetwarzania danych oraz wymóg uzyskania pisemnej zgody administratora na dalsze powierzenie danych. To zabezpieczenie przed niekontrolowanym przepływem danych.
Wprowadza to większą kontrolę nad procesem przetwarzania danych przez podmioty zewnętrzne i podwykonawców.

Ważne dla firm korzystających z usług outsourcingu! Odpowiedzialność za dane spoczywa nadal na administratorze, nawet przy powierzeniu przetwarzania. GDPR wzmacnia odpowiedzialność i kontrolę.

Powierzenie Przetwarzania Danych: Wyjaśnienie: Przekazanie przetwarzania danych osobowych innemu podmiotowi (procesorowi) przez administratora danych.
Przykład użycia: Outsourcing usług IT, hosting danych osobowych.

Ocena skutków dla ochrony danych (DPIA)

Istotnym novum jest wprowadzenie obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA) oraz konsultacji z organem nadzorczym (w Polsce z UODO). Dotyczy to sytuacji, gdy przetwarzanie danych, szczególnie z wykorzystaniem nowych technologii, może wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.

DPIA ma na celu identyfikację i minimalizację ryzyka związanego z przetwarzaniem danych. To proaktywne podejście do bezpieczeństwa danych.
Rozporządzenie wymienia przykłady operacji przetwarzania danych, które wymagają przeprowadzenia oceny skutków.

Przykłady operacji przetwarzania danych wymagających DPIA:
- Systematyczna i szeroko zakrojona ocena aspektów osobistych osób fizycznych, oparta na zautomatyzowanym przetwarzaniu, w tym profilowanie.
- Przetwarzanie na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
- Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

Konsultacje z Organem Nadzorczym

Konsultacje z organem nadzorczym (UODO) są wymagane, gdy DPIA wykaże wysokie ryzyko, którego nie można zminimalizować dostępnymi środkami. Organ nadzorczy w takiej sytuacji ma za zadanie wydać wytyczne mające na celu zapobieżenie potencjalnemu naruszeniu.

„Konsultacje z UODO to mechanizm kontrolny, który ma zapewnić, że w sytuacjach wysokiego ryzyka ochrona danych osobowych jest traktowana priorytetowo.”

— Prawnik specjalizujący się w ODO

Wysokie kary finansowe

GDPR wprowadza system dotkliwych kar finansowych za naruszenie przepisów o ochronie danych osobowych. Koniec z symbolicznymi karami.
Maksymalna kara może wynieść do 20 milionów euro lub 4^% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.

Tak wysokie kary mają stanowić realny instrument egzekwowania przepisów i zmotywować organizacje do poważnego traktowania kwestii ochrony danych osobowych. Prewencja i odpowiedzialność – to główne cele. Firmy muszą zainwestować w bezpieczeństwo danych.

Tabela 4: *Maksymalne Kary Finansowe w GDPR*
Rodzaj kary	Wysokość
Maksymalna kara pieniężna	Do 20 milionów euro lub 4^% rocznego obrotu (wyższa kwota)

Źródło: Przepisy GDPR dotyczące kar finansowych

Ujednolicenie przepisów w całej UE

Najważniejszym aspektem GDPR jest ujednolicenie przepisów o ochronie danych osobowych w całej UE (z wyjątkiem Wielkiej Brytanii). Jest to szczególnie korzystne dla dużych, międzynarodowych firm.

Będą mogły wdrożyć jednolite procedury ochrony danych w całej Europie, co przyniesie oszczędności i uprości compliance. Koniec z mozaiką przepisów krajowych. GDPR upraszcza i ujednolica.

Ujednolicenie Przepisów ODO: Wyjaśnienie: Wprowadzenie jednolitych standardów ochrony danych osobowych we wszystkich krajach członkowskich UE.
Przykład korzyści: Uproszczenie procedur compliance dla firm działających w wielu krajach UE.

Podsumowanie: Ewolucja, nie Rewolucja

GDPR nie jest rewolucją, ale raczej ewolucją w kierunku wzmocnienia ochrony danych osobowych. To krok naprzód, a nie skok.
Rozporządzenie to kładzie duży nacisk na bezpieczeństwo danych i wymusi na każdym podmiocie działającym na terenie UE bardzo ostrożne i odpowiedzialne podejście do przetwarzania danych osobowych.

Czas na zmiany! Firmy muszą przygotować się na GDPR. To inwestycja w przyszłość i budowanie zaufania klientów.

Kamil Kozioł

Czym jest GDPR i jaki jest jego cel?

GDPR, czyli Ogólne Rozporządzenie o Ochronie Danych, to rozporządzenie Unii Europejskiej mające na celu ujednolicenie i wzmocnienie ochrony danych osobowych we wszystkich krajach członkowskich UE. Jego kluczowym celem jest zapewnienie osobom fizycznym większej kontroli nad ich danymi osobowymi.

Jak GDPR zmienia definicję danych osobowych?

GDPR nie zmienia zasadniczo definicji danych osobowych, ale precyzuje, że identyfikacja osoby może być bezpośrednia lub pośrednia, włączając w to identyfikatory online, takie jak adres IP i pliki cookie. Oznacza to, że adres IP i pliki cookie są traktowane jako dane osobowe w świetle GDPR.

Co GDPR zmienia w podejściu do danych wrażliwych?

GDPR liberalizuje podejście do zgody na przetwarzanie danych wrażliwych, dopuszczając zgodę wyrażoną w dowolnej, jednoznacznej formie, a nie tylko pisemnej. Katalog danych wrażliwych został rozszerzony o dane biometryczne. Dla organów publicznych ułatwiono przetwarzanie danych wrażliwych, o ile wynika to z ich zadań.

Kim jest Inspektor Ochrony Danych (DPO) i czy każda firma musi go wyznaczyć?

Inspektor Ochrony Danych (DPO) to funkcja zbliżona do Administratora Bezpieczeństwa Informacji (ABI). Obowiązek wyznaczenia DPO dotyczy podmiotów publicznych (z wyjątkami), jednostek, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę, oraz tych, które przetwarzają na dużą skalę szczególne kategorie danych osobowych.

Jakie są nowe obowiązki informacyjne administratorów danych w GDPR?

GDPR rozszerza obowiązki informacyjne, nakładając na administratorów obowiązek podawania danych kontaktowych DPO, podstawy prawnej i celu przetwarzania danych, a także okresu przechowywania danych lub kryteriów jego ustalania. Zwiększa to transparentność przetwarzania danych dla osób, których dane dotyczą.

Co zmienia GDPR w kwestii powierzenia przetwarzania danych?

GDPR znacząco rozbudowuje regulacje dotyczące powierzenia przetwarzania danych. Ustanawia minimalne standardy umów o powierzenie przetwarzania i wymaga pisemnej zgody administratora na dalsze powierzenie danych. Wzmacnia to kontrolę nad procesem przetwarzania danych przez podmioty zewnętrzne.

Czym jest Ocena Skutków dla Ochrony Danych (DPIA) i kiedy jest wymagana?

Ocena Skutków dla Ochrony Danych (DPIA) to proces mający na celu identyfikację i minimalizację ryzyka związanego z przetwarzaniem danych, szczególnie przy użyciu nowych technologii. DPIA jest wymagana, gdy przetwarzanie danych może wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, np. przy profilowaniu na dużą skalę, przetwarzaniu danych wrażliwych na dużą skalę czy systematycznym monitorowaniu miejsc publicznych.

Jakie kary finansowe przewiduje GDPR za naruszenie przepisów?

GDPR wprowadza wysokie kary finansowe za naruszenia przepisów o ochronie danych osobowych. Maksymalna kara może wynieść do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Ma to na celu skuteczne egzekwowanie przepisów i motywowanie firm do poważnego traktowania ochrony danych.

W jaki sposób GDPR ujednolica przepisy o ochronie danych w UE?

GDPR wprowadza jednolite przepisy o ochronie danych osobowych we wszystkich krajach członkowskich Unii Europejskiej. Umożliwia to firmom wdrożenie jednolitych procedur ochrony danych w całej Europie, co upraszcza compliance i może przynieść oszczędności.

Czy GDPR to rewolucja, czy ewolucja w ochronie danych osobowych?

GDPR jest raczej ewolucją niż rewolucją w ochronie danych osobowych. Wzmacnia istniejące przepisy, kładąc nacisk na bezpieczeństwo danych i odpowiedzialne podejście do ich przetwarzania. Wymaga od firm przygotowania się na nowe regulacje i inwestycji w ochronę danych, co jest postrzegane jako inwestycja w przyszłość i budowanie zaufania klientów.