Milion euro kary za wyciek informacji o klientach

02-01-2012, 00:00

WYWIAD PULSU

Komisja Europejska szykuje jednolite standardy ochrony danych osobowych

„Puls Biznesu”: Zapowiada się rewolucja w unijnym systemie ochrony danych osobowych. Najprawdopodobniej z polskiego prawa zniknie ustawa regulująca tę ochronę. Rodzimi przedsiębiorcy będą musieli dostosować się do wymagań jednakowych dla całego wspólnego rynku. Kiedy poznamy szczegóły nieoficjalnych na razie projektów Komisji Europejskiej?

dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO): Zostały one skierowane do tzw. konsultacji międzyresortowych w ramach Komisji Europejskiej, a ich oficjalna prezentacja ma nastąpić 25 stycznia 2012 r. Jednak pewne informacje wyciekły do internetu. Stąd m.in. wiemy, że Komisja Europejska przygotowała rozporządzenie o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych, które zastąpi obecną dyrektywę o ochronie danych osobowych. Rozporządzenie obowiązuje bezpośrednio w krajach członkowskich, bez potrzeby wdrażania go do porządku krajowego. Dzięki jego wprowadzeniu nastąpi pełna harmonizacja prawa materialnego w ramach UE. To nie do końca oznacza, że znikną ustawy krajowe, gdyż będą one musiały umożliwić stosowanie prawa UE przy pomocy procedur, które obowiązują w poszczególnych państwach członkowskich. Możemy w uproszczeniu powiedzieć, że prawo materialne dotyczące ochrony danych osobowych będzie wynikało wyłącznie z rozporządzenia, a procedury dotyczące np. dochodzenia roszczeń mogą się różnić pomiędzy krajami.

Po co aż takie zmiany?

Głównym celem jest stworzenie wspólnego rynku przepływu informacji, a jednocześnie ochrona danych przed działaniami z zewnątrz UE i przy przekazywaniu ich do państw trzecich.

Czego ma dotyczyć rozporządzenie?

Określi ono obowiązki związane z ochroną danych osobowych. System ma działać tak, że gdy jakaś firma dokona określonej czynności (przetworzenia danych) w jednym z krajów unijnych, to te działania powinny być widoczne w pozostałych 26 krajach UE. Może to dotyczyć różnych zdarzeń, np. wejścia firmy spoza UE na rynek unijny. Jeśli w jednym kraju europejskim dokona ona rejestracji, nie będzie musiała tego robić w każdym z pozostałych państw członkowskich. Do organu ochrony danych osobowych, który dokona rejestracji, będzie należało przekazywanie pozostałym takim urzędom wiedzy o tym, czy działa ona legalnie na terenie Unii.

Kto ma nad wszystkim czuwać? Jeden unijny urząd?

Unia nie proponuje utworzenia europejskiego organu, który miałby zastąpić urzędy krajowe. Większość spraw, którymi zajmują się takie instytucje jak GIODO, ma charakter krajowy. W kwestiach o charakterze międzynarodowym zapowiedziano system koordynacji pomiędzy organami krajowymi.

A co ze zbiorami danych, którymi dysponują przedsiębiorcy? Jak będą chronione?

Zapowiedziano odbiurokratyzowanie obowiązków związanych ze zgłaszaniem zbiorów danych osobowych do rejestracji. Zgłaszane będą tylko bazy zawierające tzw. dane wrażliwe. Z kolei transgraniczny przesył danych poza Unię ma być zliberalizowany, choć wciąż będzie wymagał zgody krajowego regulatora. W Polsce będzie nim GIODO.

Jak taka zgoda będzie wydawana?

Decyzja umożliwiająca przekazanie danych poza UE będzie mogła zapaść na trzech szczeblach. Może ją podjąć Unia na podstawie opinii organów ochrony danych osobowych. Jej zgoda jest tzw. decyzją o adekwatności ochrony danych w określonym kraju, który jest wówczas traktowany, jakby był krajem UE. Takie decyzje dotyczyły już przesyłania danych do kilkunastupaństw, w tym do Szwajcarii, Izraela, Argentyny, Kanady czy Wyspy Man. Inna procedura wiąże się ze zbiorem zasad ochrony przyjętym w firmie. Korporacja międzynarodowa działająca na terenie Unii i w krajach trzecich musi zapewnić UE, że stosuje zasady adekwatne do systemu europejskiego. Przedsiębiorstwo działające np. w Polsce, we Francji, w Szwajcarii, a także w USA, Kanadzie, Korei, Laosie czy na Seszelach, które ma opracowany zbiór reguł uznanych przez organ ochrony danych osobowych w UE (honorowanych przez pozostałych), zostanie potraktowane jak „wirtualne państwo” stosujące prawidłowe zasady tej ochrony. To oznacza zgodę na przesyłanie danych poza UE. Wreszcie decyzje o zezwoleniu na przesyłanie danych do krajów trzecich mogą być wydawane jednorazowo. GIODO już prowadzi takie działania, zezwalając na przekazanie określonej bazy do wskazanego miejsca poza UE. W nowym systemie ochrony ważne jest, że zgoda wydana przez rzecznika jednego z krajów ma obowiązywać w pozostałych. Komisja zastrzega sobie jednak możliwość interwencji w sprawach indywidualnych, co jest nowym rozwiązaniem, które trzeba będzie przedyskutować podczas prac nad ostatecznym brzmieniem nowych przepisów.

Projekt przewiduje także sankcje za naruszenie ochrony.

To jest najbardziej rewolucyjna zmiana. UE chce wprowadzić jednolite prawo materialne,muszą być też ujednolicone sankcje. Dziś bardzo się one różnią. W niektórych krajach, np. w Finlandii, organy ochrony danych osobowych nie mogą nakładać żadnych sankcji administracyjnych. W innych są ograniczone, jak np. w Polsce, gdzie GIODO od niedawna w postępowaniu egzekucyjnym w administracji może nakładać grzywny w celu przymuszenia do wykonania wydanych przez niego decyzji. Są jednak kraje, gdzie nakłada się bardzo wysokie kary administracyjne. Najwyższą, o której słyszałem, czyli 1,5 mln GBP, nałożono w Wielkiej Brytanii na firmę, w której nastąpił wyciek danych. Komisja Europejska proponuje, aby najwyższe sankcje nakładane przez organ, a więc także przez GIODO, wyniosły 1 mln EUR albo 5 proc. obrotów przedsiębiorstwa.

Dlaczego Unia chce nakładać tak wysokie kary? Czy ochrona jest zbyt słaba?

Wspomniane kary to kary najwyższe. Trzeba pamiętać, że na świecie zdarzają się wycieki bardzo wrażliwych danych osobowych. Dodam przy tym, że Komisja zapowiada również zobowiązanie firm do zawiadamiania krajowego organu ochrony danych osobowych, a także osób, których one dotyczą, o każdym przypadku naruszenia ich ochrony (np. wycieku) w ciągu 24 godzin.

Kiedy projektowane rozporządzenie wejdzie w życie?

Prace legislacyjne przewidziano do końca 2013 r. Można się spodziewać, że nowy akt prawny zacznie obowiązywać w 2014 r.

Główne założenia zmian w ochronie danych osobowych

unijne rozporządzenie o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych zastąpi obecną dyrektywę o tej ochronie i będzie obowiązywało wszystkie kraje członkowskie przedsiębiorcy będą musieli stosować jednakowe w UE standardy ochrony danych rejestracji będą wymagać tylko zbiory danych wrażliwych na przesłanie danych poza UE będzie potrzebna zgoda firmy o zasięgu międzynarodowym muszą opracować tzw. wiążące reguły korporacyjne, czyli wewnętrzny zbiór zasad przetwarzania danych osobowych, taki zbiór uznany przez krajowy organ ochrony będzie traktowany jako prawidłowy przez organy ochrony w pozostałych krajach UE o naruszeniu ochrony danych firma ma w ciągu 24 godzin zawiadomić osoby, których one dotyczą, oraz organ ochrony maksymalne kary nakładane przez organ ochrony danych osobowych to 1 mln EUR albo 5 proc. obrotów przedsiębiorstwa

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Milion euro kary za wyciek informacji o klientach