10 najważniejszych rzeczy o GDPR | KPMG | PL

10 najważniejszych rzeczy, które musisz wiedzieć o nowym ogólnym rozporządzeniu o ochronie danych osobowych (GDPR)

10 najważniejszych rzeczy o GDPR

Przybliżamy GDPR – wskazujemy na 10 najważniejszych rzeczy, które musisz wiedzieć o nowym rozporządzeniu o ochronie danych osobowych.

Kontakt

Radca prawny, Associate

KPMG w Polsce

Kontakt

Powiązane treści

10 najważniejszych rzeczy, które musisz wiedzieć o nowym ogólnym rozporządzeniu o ochronie danych osobowych (GDPR)

1. Niecałe dwa lata na zmiany. Nowe przepisy nie wymagają wdrożenia.

4 maja 2016 r. ogłoszono tekst Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/45/WE („GDPR”).

Nowe przepisy będą stosowane bezpośrednio, nie będą wymagały żadnej implementacji, choć na gruncie krajowym możemy spodziewać się własnych regulacji szczególnych w niektórych kwestiach.

GDPR weszło już w życie, jednakże zgodnie z przepisem przejściowym będzie mieć zastosowanie dopiero od 25 maja 2018 r.

2. Szerszy zakres podmiotowy zobowiązanych do przestrzegania GDPR

GDPR będzie stosowane nie tylko do administratorów czy przetwarzających mających siedzibę w państwie członkowskim UE (niezależnie czy przetwarzanie odbywa się w UE), ale także do podmiotów spoza UE przetwarzających dane osób, jeżeli oferują im towary i usługi w UE (nawet nieodpłatnie), lub monitorują ich zachowania (w UE).

3. Zasada przejrzystości - jasne i zrozumiałe informacje.

Jednym z filarów GDPR, jest zasada przejrzystości w stosunku do osób fizycznych, których dane osobowe są przetwarzane. Przejrzystość przejawiać się będzie w wielu obowiązkach związanych z przetwarzaniem danych osobowych (przede wszystkie w zakresie obowiązków informacyjnych). Wszelkie informacje i komunikaty mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

4. Wymogi dot. zgody na przetwarzanie danych

GDPR stawia określone wymagania w stosunku do zgody i wprowadza definicję tego pojęcia. Co najważniejsze administrator ma obowiązek wykazania, iż zgoda została wyrażona.

Zgoda musi być dobrowolna, może być udzielona w dowolnej formie, istotnie jednak jest to, by administrator mógł wykazać fakt jej wyrażenia. GDPR przewiduje system uzyskiwania zgód wyłącznie na zasadzie opt – in (świadoma, dobrowolna, samodzielna zgoda na udostępnienie danych).

 

GDPR jasno stanowi, że na przetwarzanie w różnych celach, potrzebna jest zgoda na wszystkie te cele.

5. Prawo do bycia zapomnianym (usunięcie danych)

GDPR gwarantuje każdej osobie fizycznej prawo do „bycia zapomnianym”, czyli do tego, by dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli nie są one już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, a osoba, której dane dotyczą, cofnęła zgodę lub wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących lub też przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z GDPR. Rozporządzenie wprowadza jednak pewne wyjątki od tej zasady.

W odniesieniu do bycia zapomnianym w sieci, GDPR formułuje szczególne obowiązki dla administratorów.

6. Zasada ochrony prywatności by design

Zgodnie z zasadą ochrony prywatności by design (tzw. zasada prywatności „w fazie projektowania”) administrator już na etapie projektowania danego rozwiązania związanego z przetwarzaniem danych osobowych ma uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, a następnie przy określaniu sposobów przetwarzania ma wdrożyć odpowiednie środki techniczne i organizacyjne.

7. Zasada ochrony prywatności by default

Zasada ochrony prywatności by default obliguje z kolei administratora, aby w/w środki zapewniały, iż domyślnie przetwarzane będą tylko te dane osobowe, które są niezbędnie dla osiągnięcia konkretnego celu przetwarzania, odnosząc to także do ilości zbieranych danych, zakresu ich przetwarzania, okresu i ich przechowywania, jak i dostępności.

8. Privacy impact assesment

GDPR nakłada na administratorów obowiązek samooceny pod kątem oceny skutków i zagrożeń (ryzyka) wynikających z przetwarzania dla ochrony danych osobowych. Administrator ma oceniać jakie dane przetwarza i jakie zagrożenie może mieć miejsce przy przetwarzaniu danych. Ma to także prowadzić do oceny, jakie środki należy podjąć w celu ochrony danych w ramach ich przetwarzania.

Zupełną nowością jest obowiązek zgłaszania organowi nadzoru zaistnienia zdarzenia skutkującego naruszeniem ochrony danych osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Obowiązek ten ma dotyczyć zarówno administratorów (ci informują w Polsce GIODO), ale i przetwarzających (ci informują administratora). Co najważniejsze, o niektórych naruszeniach (z wysokim ryzykiem) należy także zawiadomić podmiot, którego dane zostały zagrożone czy naruszone.

9. Obowiązek wyznaczenia inspektora ochrony danych (obecnego ABI)

Zgodnie z art. 37 zarówno administrator jak i podmiot przetwarzający, będą mieć obowiązek wyznaczenia inspektora ochrony danych we wskazanych przypadkach (np. gdy przetwarzanie wiąże się z regularnym i systematycznym monitorowaniem osób, których dane dotyczą, na dużą skalę). Obowiązek wyznaczenia inspektora, może nałożyć także prawo krajowe.

10. Odszkodowanie i wysokie kary

GDPR przewiduje surowe kary administracyjne za jego naruszenie – za jedną grupę naruszeń do 10.000.000 EUR,  a w przypadku przedsiębiorców do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, bądź w ramach drugiej grupy naruszeń do 20.000.000 EUR, a w przypadku przedsiębiorców w ramach grup naruszeń do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym w obu przypadkach zastosowanie ma kwota wyższa).

Poza tym GDPR reguluje prawo do dochodzenia odszkodowania od administratora lub podmiotu przetwarzającego za szkodę majątkową lub niemajątkową w wyniku naruszenia GDPR.

Autor: Katarzyna Wojciechowaska, Radca prawny, Associate w kancelarii D.Dobkowski stowarzyszonej z KPMG w Polsce

Twój sklep w internecie

Twój sklep w internecie

Doradztwo prawne dla sektora e-commerce - prezentujemy informacje prawne i najnowsze doniesienia branżowe, w zakresie handlu w Internecie.

Know Your Market - doradztwo prawne dla e-commerce i sklepów stacjonarnych

Know Your Market - doradztwo prawne dla e-commerce i sklepów stacjonarnych

Doradztwo prawne w zakresie handlu w Internecie oraz w obszarze stacjonarnego funkcjonowania marketów, sklepów i dyskontów.

Rejestracja

Rejestracja

Zarejestruj się, aby otrzymywać powiadomienia o wydarzeniach i publikacjach na interesujące Cię tematy.

Bądź z nami w kontakcie

 

Zapytanie ofertowe (RFP)

 

Prześlij

Nowa platforma KPMG

Stworzyliśmy platformę KPMG po to, aby wyjść naprzeciw oczekiwaniom naszych użytkowników oraz aby pomóc im odnaleźć informacje dopasowane do ich zainteresowań.