W całej Unii Europejskiej obowiązuje już Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r (RODO). Jego uzupełnieniem jest krajowa ustawa o ochronie danych osobowych.
W myśl RODO chronione mają być dane osobowe ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne i biometryczne. A także dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Sądy też mają chronić dane, orzecznicze trochę inaczej
W sądach od piątku będą obowiązywać dwa obszary przetwarzania i ochrony danych osobowych. Jeden dla danych podlegających monitorowaniu przez inspektora ochrony danych osobowych i drugi niedostępny dla niego, dotyczący danych przetwarzanych w ramach działalności orzeczniczej - tak, by chronić niezawisłość sprawowania wymiaru sprawiedliwości.
Czytaj: Sądy dane z działalności orzeczniczej mają chronić inaczej>>
Jak wyjaśnia LEX.pl radca prawny Marta Piękna-Kucharska z kancelarii Kucharski & Partners, nowe przepisy zobowiązują bowiem także sądy do wyznaczania inspektora ochrony danych osobowych na takich samych zasadach jak inne organy lub podmioty publiczne.
Różnica polega na tym, że z zakresu jego kompetencji wyłączone będzie przetwarzanie danych związanych ze sprawowaniem wymiaru sprawiedliwości - czyli orzecznictwem sądów.
W sądach w całej Polsce już od kilku miesięcy trwały przygotowania do wprowadzenia nowych regulacji. Przeglądana była dokumentacja, środki techniczne i organizacyjne konieczne do zapewnienia bezpieczeństwa ochrony danych, szacowane było ryzyko. Dostosowywano też m.in. systemu IT do wymogów RODO.
Wiele sądów już teraz zaplanowało wewnętrzne audyty, które mają być przeprowadzone jakiś czas po wejściu w życie nowych przepisów, by ocenić ich wdrożenie.
W przypadku sektor bezpieczeństwa, wymiaru sprawiedliwości, przetwarzanie danych osobowych, reguluje nie tylko RODO, ale również tzw. dyrektywa policyjna. Nad projektem ustawy, która ma implementować jej zapisy do polskiego porządku prawnego, nadal trwają prace mimo, że miała wejść w życie 6 maja. By zapobiec luce prawnej do nowej ustawy o ochronie danych osobowych wprowadzano poprawkę, że do czasu wejścia w życie ustawy wprowadzającęj zapisy dyrektywy policyjnej, w zakresie który obejmuje obowiązywać będzie stara ustawa o ochronie danych osobowych, z 1997 r.
Kancelarie adwokackie i radcowskie też objęte RODO
Przepisami RODO objęte są też, jako administratorzy danych osobowych - kancelarie adwokackie i radcowskie. Do nowych przepisów przygotowywały się od dłuższego czasu m.in. poprzez weryfikacje danych, sprawdzanie ich przechowywania, przetwarzania. Cześć z nich analizowała też ryzyko związane z nowymi obowiązkami.
Nie wszystkie kancelarie - według eskpertów - muszą powołać inspektora ochrony danych osobowych. Kwestia ta dotyczy - jak mówił LEX.pl radca prawny dr. Dominik Lubasz, szef łódzkiej kancelari Lubasz i Wspólnicy - podmiotów przetwarzających dane na dużą skalę.
- Wielkość kancelarii nie może być jedynym kryterium. Nie chodzi też o to jaka jest struktura kancelarii, czy jest to kancelaria jednoosobowa czy spółka, bowiem sama ta okoliczność nie przesądza o skali przetwarzania danych osobowych. Grupa Robocza art. 29 w wytycznych dotyczących inspektora ochrony danych wskazuje natomiast, że powinno się brać pod uwagę liczbę osób, których dane są przetwarzane, zakres przetwarzanych danych osobowych, okres, przez jaki dane są przetwarzane, zakres geograficzny przetwarzania danych osobowych. Może zatem być tak, że taka jednoosobowa kancelaria będzie musiała powołać inspektora ochrony danych osobowych, a inna, znacznie większa organizacyjnie nie. Będzie to zależało od specyfiki działania - wskazywał.
Kancelarie - podobnie jak wszystkie firmy i instytucje, muszą jednak na mocy RODO szacować ryzyko dot. przetwarzania danych wrażliwych i wprowadzić systemy zarządzania takim ryzykiem.
Kolejnym istotnym obowiązkiem - jak ocenia radca prawny Maciej Gawroński z kancelarii Gawroński i Partnerzy, jest upewnianie się, że dane osobowe, które przetwarzają są danymi posiadanymi legalnie.
- Upewnienie się co do legalności posiadanych danych jest konieczne, bo za naruszenie nowych przepisów grozić będzie odpowiedzialność karna. A niezależnie od grożących sankcji karnych to generalnie obowiązuje zasada, że przechowywane w kancelarii dane osobowe są przetwarzane zgodnie z obowiązującym prawem - powiedział. Jego zdaniem określenie podstawy prawnej takiego działania powinno nastapić już przy okazji tworzenia rejestru czynności przetwarzania danych osobowych.
Jeśli chodzi o sam rejestr, eksperci przypominają, że nie wszystkie kancelarie muszą go prowadzić. Zobowiązane do tego są jednak te, które posiadające wiele danych osobowych, na przykład zajmujące się windykacją, albo kancelarie zajmujące się ubezpieczeniami i przetwarzające w związku z tym dane dotyczące zdrowia, czy inne dane wrażliwe.
Duże kancelarie - według Gawrońskiego - powinny też opracować politykę ochrony danych osobowych.
- Tak polityka w kancelarii potrzebna będzie nie tylko po to, by określić jak długo należy przechowywać dane osobowe, ale szczególnie po to, by wiedzieć, jak wywiązać się z obowiązku ich usuwania - mówił. Jego zdaniem, to może być jeden z newralgicznych problemów w stosowaniu nowych regulacji.
Kolejny problem, na który powinni zwracać uwagę prawnicy to konieczność odpowiedniego zabezpieczenia przetwarzania danych - czyli szyfrowanie, zabezpieczanie komputerów i nośników informacji, a także kontrola dostępu personelu kancelarii do danych osobowych. W tym kontekście według ekspertów, kancelarie podobnie jak inne firmy i podmioty powinny zadbać o przeszkolenie personelu, zaktualizowanie umów z pracownikami, podwykonawcami i kontrahentami, wprowadzenie określonych zasad.
Czytaj: Maciej Gawroński: RODO czyli domniemanie winy>>
Po RODO tysiące zgłoszeń i pierwsze procesy
Część kancelarii przygotowuje się też do doradztwa związanego z łamaniem przepisów dot. ochrony danych osobowych. Na stronach wielu z nich pojawiły się informacje dla klientów dotyczące RODO .
Według szacunków ekspertów już po pierwszym dniu obowiązywania RODO będzie wiele żądań dostępu, żądań usunięcia danych, oraz zgłoszeń naruszeń danych, pojawi się też masa procesów cywilnych, bo ruszą tzw. trolle.
- Nie ma wątpliwości, że pozwy ruszą. Widać to po roszczeniach wobec szpitali. Już teraz wzrasta liczba pozwów za błędy medyczne. Gdy zaś weźmiemy pod uwagę dane osobowe pacjentów, będzie ich jeszcze więcej. Na oddziałach pojawiają się pewnie wyspecjalizowane kancelarie, z obietnicą spieniężenia każdego wycieku danych - ocenił Piotr Welenc zastępca dyrektora ds. rozwoju rynku governance, risk & compliance Wolters Kluwer.
Czytaj: Po 25 maja ruszy RODO trolling>>
RODO
Potrzebujesz WIĘCEJ wiarygodnych informacji o zagadnieniu RODO?
Dobrze trafiłeś! Sprawdź, co jeszcze na ten temat znajdziesz w LEX
LEX Search – nowa wersja wyszukiwarki LEX z elementami sztucznej inteligencji.
Chcesz łatwiej i szybciej znaleźć właściwe dokumenty?
Sprawdź, co zyskasz dzięki LEX Search >>