jk
Zmiany wprowadzone tym rozporządzeniem będą miały wymiar praktyczny i wpłyną istotnie na zakres obowiązków każdego podmiotu prowadzącego działalność gospodarczą. Co istotne, wbrew obiegowej opinii, przepisy RODO nie dotyczą jedynie podmiotów świadczących usługi lub oferujących towary na rzecz osób fizycznych. Przeciwnie, mają zastosowanie do wszystkich przedsiębiorców, którzy w ramach swojej działalności bez względu na jej rodzaj nawiązują jakąkolwiek relację prawną z osobami fizycznymi. Przykładowo wskazać można tu na przedsiębiorców zatrudniających osoby fizyczne na podstawie stosunków pracy. W równym stopniu przepisy rozporządzenia będą miały zatem zastosowanie wobec przedsiębiorców, których kontrahentami są wyłącznie podmioty zinstytucjonalizowane, w tym przede wszystkim osoby prawne takie jak spółki prawa handlowego, o ile będą zatrudniali pracowników lub współpracowali z osobami fizycznymi na podstawie umów cywilnoprawnych. W tym kontekście znajomość nowych przepisów może się okazać bardzo ważna, gdyż za ich nieprzestrzeganie przewidziano dotkliwe kary finansowe.
Jak wynika z powyższego RODO dotyczy również wielu przedsiębiorców związanych z branżą gospodarki morskiej i przemysłu jachtowego. Z tego względu warto poznać wstępne założenia nowej regulacji prawnej.
Podstawowe informacje o RODO
W pierwszym rzędzie wskazać należy, że RODO zastąpi wszystkie dotychczasowe regulacje dotyczące tej tematyki zarówno na szczeblu unijnym, jak i krajowym. Wśród najważniejszych przyczyn wprowadzenia nowego rozporządzenia wymienia się chęć dostosowania prawodawstwa unijnego oraz prawodawstwa poszczególnych państw członkowskich do aktualnego stanu i poziomu wiedzy informatycznej. Dotychczasowe regulacje prawne nie przewidywały bowiem rozwiązań odnoszących się do zasad przetwarzania danych tylko w związku z korzystaniem np. usług on – line oraz nie zapewniały bezpieczeństwa informacji w kontekście rozwijających się zagrożeń związanych z korzystaniem z sieci Internet, w tym cyberprzestępczości. Nowe regulacje prawne zwiększą zatem ochronę danych osobowych osób fizycznych, a co za tym idzie wiązać się będą z nałożeniem na administratorów (przedsiębiorców), a także inspektorów ochrony danych osobowych (dawnych administratorów bezpieczeństwa informacji), nowych obowiązków, których przestrzeganie, jak już wspomniano, będzie obwarowane nałożeniem sankcji finansowych.
Przepisy rozporządzenia określają dwa zakresy jego zastosowania: materialny odnoszący się do przedmiotu regulacji oraz terytorialny. Jeżeli chodzi o materialny zakres zastosowania to wskazać należy, że RODO stosuje się do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Rozporządzenia nie stosuje się do przetwarzania danych osobowych:
a) w ramach działalności nieobjętej zakresem prawa Unii;
a) przez państwa członkowskie w ramach wykonywania działań z zakresu wspólnej polityki zagranicznej i bezpieczeństwa;
b) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowych charakterze;
c) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Z kolei zakres terytorialny wskazuje, że rozporządzenie ma zastosowanie:
1) do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii;
1) do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:
a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty, lub
a) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii;
2) do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego.
W następnej kolejności wskazać należy, że rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich, w związku z czym nie może być implementowane (wprowadzone) – w całości ani chociażby w części – do polskiego porządku prawnego. Innymi słowy, przepisy rozporządzenia nie mogą zostać powtórzone w żadnych akcie krajowym, chyba że RODO wprowadza wyraźny wyjątek. W zasadzie chodzi tu o doprecyzowanie lub zawężenie jego przepisów. W tym zakresie każde państwo członkowskie może dla zapewnienia spójności i zrozumiałości przepisów włączyć niektóre postanowienia RODO do swojego porządku krajowego. W konsekwencji odmiennie niż dotychczas, najważniejsze kwestie dotyczące ochrony danych osobowych, takiej jak definicja danych osobowych, w tym danych wrażliwych, definicja przetwarzania danych osobowych, definicja zbioru danych, sposoby zabezpieczenia danych, obowiązki administratorów i inspektorów ochrony danych osobowych, nie będę już uregulowane w polskiej ustawie, a konieczne stanie się posługiwanie przepisami rozporządzenia.
Jak wskazano powyżej RODO nakłada na państwie członkowskie obowiązek wydania krajowych przepisów uzupełniających unijne prawodawstwo i dostosowujących je do krajowego porządku prawnego. Polska regulacja prawna dotycząca tematyki ochrony danych osobowych opierać się będzie o nową ustawę o ochronie danych osobowych oraz wydane do niej akty wykonawcze. W myśl powyższych rozważań nowa ustawa o ochronie danych osobowych zastąpi obowiązującą ustawę z 29.08.1997 r. o tym samym tytule. Poza zbieżnością tytułów przepisy nowej ustawy nie będę zawierały jednak prawie niczego z dotychczasowej regulacji, a jedynie stanowić będą zbiór regulacji uszczegóławiających RODO.
Przechodząc do meritum wskazać należy, że kwestie, które będą musiały zostać uregulowane w polskiej nowej ustawie o ochronie danych osobowych są następujące:
1) status i kompetencje organu nadzorczego, w tym kwestie związane z prowadzeniem postępowań kontrolnych przez GIODO oraz postępowań w sprawie naruszenia przepisów o ochronie danych osobowych;
1) przepisy odnoszące się do działań o charakterze transgranicznym (właściwość wiodącego organu nadzorczego, wspólne operacje organów nadzorczych, mechanizm współpracy i spójności);
2) obowiązek zgłaszania naruszeń ochrony danych osobowych;
3) obowiązek zawiadomienia organu nadzorczego o danych kontaktowych inspektora danych osobowych - przepisy rozporządzenia znoszą obowiązek prowadzenia przez GIODO rejestru administratorów bezpieczeństwa informacji, nie mniej jednak administratorzy zostaną obowiązani do zgłoszenia danych kontaktowych inspektorów ochrony danych osobowych;
4) kodeksy postępowań – „zbiory dobrych praktyk”; będą miały charakter niewiążący, co oznacza, iż co do zasady ich nieprzestrzeganie nie będzie stanowiło naruszenia przepisów z zakresu ochrony danych osobowych;
5) certyfikacja – są to mechanizmy mające świadczyć, że działania podejmowane przez administratorów danych osobowych są zgodne z przepisami RODO; działania te mają zatem na celu uwiarygodnienie przedsiębiorcy na rynku, zwiększenie renomy jego przedsiębiorstwa;
6) uregulowanie kwestii wyrażenia przez dziecko zgody na przetwarzanie danych osobowych w przypadku korzystania przez nie z usług społeczeństwa informacyjnego – wskazanie konkretnego wieku, od którego dziecko może samodzielnie wyrazić zgodę na przetwarzanie jego danych osobowych;
7) niektóre kryteria nakładania kar pieniężnych.
Polski ustawodawca zdecydował się również na nowelizację kodeksu pracy. Projekt zmian obejmuje m.in. wyszczególnienie danych, które pracodawca będzie mógł przetwarzać na etapie nawiązywania stosunku pracy i zatrudniania pracownika. Zamierzenia ustawowe dotyczą również uregulowania kwestii korzystania przez pracodawcę z monitoringu. Co do zasady zatem możliwe będzie jego stosowanie w miejscu pracy, jednakże pod pewnymi warunkami.
Najważniejsze zmiany wynikające z RODO
Po zaakcentowaniu kluczowych obszarów regulacji nowych przepisów, w tym polskiej ustawy o ochronie danych osobowych, wskazać należy na najważniejsze zmiany dla praktyki wynikające z wejścia w życie RODO. Do zmian tych należy zaliczyć:
1) poszerzenie zakresu uprawnień osób fizycznych:
RODO doprecyzowuje podstawy przetwarzania danych osobowych i mechanizmy ochrony danych oraz wprowadza wymogi przejrzystości w zakresie procesu wyrażania zgody przez osobę fizyczną na przetwarzanie jej danych osobowych. Ważką zmianą jest wprowadzenie „prawa do bycia zapomnianym”, czyli prawa do całkowitego usunięcia danych osobowych z danego zbioru. Ponadto przepisy rozporządzenia przyznają prawo dochodzenia roszczeń z tytułu naruszenia danych osobowych bezpośrednio na drodze sądowej i na podstawie szczególnych przepisów. Warto podkreślić, że w dotychczasowym stanie prawnym ochrona danych osobowych realizowana była głównie za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (w skrócie: GIODO), którego kompetencje w większości przypadków wyczerpywały się na stwierdzeniu faktu dokonania naruszenia i ewentualnym zobowiązaniu do zaprzestania dalszego przetwarzania danych osobowych lub ich usunięcia, np. ze strony internetowej, publikacji itd. Przepisy obowiązującej ustawy o ochronie danych osobowych nie przewidywały i nadal nie przewidują natomiast trybu dochodzenia przez osobę fizyczną roszczeń zmierzających do usunięcia skutków naruszenia danych osobowych, w tym roszczeń odszkodowawczych i o zadośćuczynienie. W aktualnym stanie prawnym główną drogę realizacji tych roszczeń stanowią postępowania sądowe o ochronę dóbr osobistych. Dość wskazać, że nie każde naruszenie ochrony danych osobowych uznawane było i jest za naruszenie dóbr osobistych, przez co ochrona prawna przed skutkami naruszeń w pewnym sensie mogła być uznawana za iluzoryczną. Po wejściu w życie RODO natomiast osoby fizyczne uzyskają samodzielną podstawę prawną do dochodzenia roszczeń przeciwko przedsiębiorcom oraz innymi podmiotom przetwarzających dane osobowe niezgodnie z prawem, bezpośrednio na drodze sądowej, bez konieczności wykazywania naruszeń dobra osobistego. Nowe rozwiązania prawne ułatwią zatem osobom fizycznym dochodzenie roszczeń z tytułu naruszenia ich danych osobowych, a co się z tym wiąże, spowodują również zwiększenie odpowiedzialności finansowej podmiotów przetwarzających ich dane, która będzie niezależna od kar nakładanych przez organ nadzorczy. Powyższe odnosi się również do przedsiębiorców zatrudniających pracowników lub współpracujących z kontrahentami prowadzącymi tzw. jednoosobową działalność gospodarczą.
2) zwiększenie zakresu obowiązków administratorów bezpieczeństwa informacji – inspektorów ochrony danych osobowych:
Ta sfera zagadnień obejmuje obowiązki o charakterze informacyjnym (m. in. obowiązek informowania o podmiocie administrującym i o uprawnieniach osoby fizycznej) oraz z zakresu zapewnienia prawidłowości przetwarzania danych osobowych, czyli m. in. czuwania nad posiadaniem właściwej podstawy prawnej dla samego przetwarzania danych oraz zapewnienia odpowiedniego poziomu ich bezpieczeństwa.
3) status administratorów bezpieczeństwa informacji:
Instytucja administratorów bezpieczeństwa informacji zostanie zastąpiona instytucją inspektorów ochrony danych osobowych. Zmiana ta wymuszona jest przez przepisy RODO, nie ma jednak charakteru wyłącznie terminologicznego. Nowe przepisy wskazują, że powołanie podmiotu inspektora ochrony danych osobowych stanie się obowiązkowe, gdy przetwarzania dokonują:
a) organy lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości – będą to zatem organy administracji rządowej, a także samorządu terytorialnego takie jak np. szpitale, jednostki oświaty, urzędy skarbowe;
b) podmioty (administratorzy), których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę – będą to przede wszystkim podmioty świadczące usługi on-line, w tym zajmujące się profilowaniem;
c) podmioty (administratorzy), których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych takich jak dane wrażliwe oraz dane dotyczące wyroków skazujących i naruszeń prawa.
Z racji tego, że inspektorzy ochrony danych osobowych mają przejąć funkcje i zadania administratorów bezpieczeństwa informacji, konieczne stanie się uregulowanie w polskiej ustawie o ochronie danych osobowych ich statusu. Zgodnie z projektowanymi zmianami, osoby, które w dniu 24 maja 2018 r. pełnią funkcję administratorów bezpieczeństwa informacji, z mocy prawa staną się inspektorami ochrony danych osobowych. W uzasadnieniu projektu nowej ustawy o ochronie danych osobowych wskazuje się, że do dnia 1 września 2018 r. inspektorzy będą mogli podjąć decyzję w zakresie tego, czy chcą w dalszym ciągu pełnić tę funkcję. Możliwe zatem będzie złożenie rezygnacji lub oświadczenia o dalszym pełnieniu funkcji z jednoczesnym powiadomieniem Prezesa Urzędu Ochrony Danych Osobowych. Brak aktywności na tym polu tożsamy będzie z wygaśnięciem uprawnień po dniu 1 września 2018 r. Wskazać przy tym należy, że aktualnie jest to jedynie proponowany sposób dostosowania sytuacji administratorów bezpieczeństwa informacji do nowej sytuacji prawnej wynikającej z wprowadzenia regulacji unijnej.
4) nowe pojęcia:
Wśród pojęć, którymi posługuje się RODO wskazać należy przede wszystkim na takie pojęcia jak: „dane osobowe”, „dane wrażliwe”, „zbiór danych”, „przetwarzanie”, „zgoda” (na przetwarzanie danych osobowych), „administrator” (danych osobowych). Są to pojęcia znane na gruncie polskiej ustawy z 29.08.1997 r. o ochronie danych osobowych, jednakże przepisy RODO modyfikują ich treść. Ponadto RODO wprowadza definicję takich pojęć jak „profilowanie”, „pseudonimizacja”, „podmiot przetwarzający”, „naruszenie ochrony danych osobowych”.
Jeżeli chodzi o pojęcie „danych osobowych” to zachowano rdzeń definicji, zgodnie z którym dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przy czym możliwą do zidentyfikowania osobą fizyczną jest osoba, którą można bezpośrednio lub pośrednio zidentyfikować. W odróżnieniu od dotychczasowej regulacji prawnej, w nowym rozporządzeniu wskazuje się na konkretne wyróżniki, za pomocą których osoba fizyczna staje się możliwa do zidentyfikowania, a którymi są imię i nazwisko, dane o lokalizacji, identyfikator internetowy, a także czynniki określając genetyczną i psychiczną tożsamość osoby fizycznej.
Konsekwentnie pojęcie „danych osobowych wrażliwych” poszerzono na gruncie RODO o dane biometryczne (np. wizerunek twarzy, zapis linii papilarnych, zapis obrazu tęczówki oka).
RODO w dość podobny sposób definiuje także pojęcia „przetwarzanie danych osobowych”, „administrator”, oraz „zbiór danych”.
Całkowite novum stanowią natomiast pojęcia „profilowania”, przez które rozumie się dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się, oraz „pseudonimizacji”, która oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Oprócz znanego na gruncie polskiej ustawy pojęcia „administratora danych” RODO wprowadza pojęcie „podmiotu przetwarzającego”, które oznacza osobę fizyczną lub prawną organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Ponadto przepisy rozporządzenia definiują „naruszenie ochrony danych osobowych” jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Dużą zmianę można dostrzec w zakresie definicji „zgody” na przetwarzanie danych osobowych. Oczywiście pojęcie to występuje na gruncie dotychczasowych regulacji, jednakże jego definicja w RODO zostaje znacznie rozwinięta. Zgodnie z ogólnym oznaczeniem zgoda stanowi dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Zgoda może być wyrażona na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów, przy czym to na administratorze danych osobowych ciąży obowiązek wykazania, że zgoda została udzielona. Ponadto obowiązki administratorów dotyczą także czynności związanych z pozyskiwaniem zgody. W tym aspekcie zaakcentować należy, że oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych powinno być wyraźnie i jednoznacznie oddzielone od innych fragmentów tekstu. Poza tym należy je zredagować w taki sposób, aby było zrozumiałe, zwłaszcza jeżeli jest ono kierowane do dziecka. Podkreślenia wymaga, że zgoda na przetwarzanie danych osobowych ma być dobrowolna, co oznacza, że od jej uzyskania nie można uzależnić wykonana usługi (w przypadku jeżeli do wykonania tej usługi nie jest konieczne przetwarzanie danych osobowych). Należy pamiętać o tym, że osoba, która udzieliła zgody ma prawo w każdym czasie ją wycofać. Ważne jest to, że cofnięcie zgody nie ma mocy wstecznej, a więc przetwarzanie danych pozostaje zgodne z prawem, jeżeli było dokonane w okresie, w którym zgoda obowiązywała.
W kontekście zgody warto wspomnieć o nowej regulacji, która zakłada wprowadzenie granicy wieku, po którego osiągnięciu możliwe pod względem prawnym stanie się wyrażenie zgody na przetwarzanie danych osobowych przez dziecko. RODO jako granicę wprowadza wiek 16 lat, jednakże każde państwo członkowskie może określić ją na niższym poziomie. Niedopuszczalne jest jednak przyznanie uprawnienia do samodzielnego udzielania zgody na przetwarzania danych osobowych przez dziecko, które nie ukończyło 13 roku życia. Według projektu polskiej ustawy o ochronie danych osobowych, zgodę na przetwarzanie danych będzie mogło wyrazić dziecko, które ukończyło 13 lat. To rozwiązanie ma zapewnić spójność pomiędzy przepisami ustawy o ochronie danych osobowych a przepisami kodeksu cywilnego. Zgodnie z przepisami drugiego z wymienionych aktów prawnych, dziecko, które ukończyło 13 lat posiada bowiem ograniczoną zdolność do czynności prawnych, dzięki której może samodzielnie (bez zgody i udziału rodziców lub opiekunów prawnych) zawierać umowy w drobnych bieżących sprawach życia codziennego.
6) podstawy prawne przetwarzania danych osobowych:
Podstawy przetwarzania danych osobowych zostały uregulowane podobnie jak w ustawie z 29.08.1997 r. o ochronie danych osobowych. Jednakże również i w tym przypadku nowa regulacja prawna jest bardziej szczegółowa.
Stosownie do przepisów RODO przetwarzanie danych osobowych będzie zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
1) przetwarzanie danych odbywa się za zgodą osoby, której dane dotyczą;
1) przetwarzanie danych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
2) przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
3) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
4) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
5) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Państwa członkowskie mogą wprowadzić szczegółowe zasady w zakresie podstaw przetwarzania danych określonych w pkt 3 i 5, tzn. mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności.
Istotne jest to, że w każdej ze wskazanych podstaw prawnych, na którą powołuje się administrator, musi być wskazany cel, w którym następuje przetwarzanie danych osobowych. Wykazanie istnienia podstawy prawnej ciąży wyłącznie na administratorze danych osobowych lub podmiocie przetwarzającym dane.
7) status prawny organu nadzorczego:
Zmiana, która w tym zakresie nastąpi ma w pierwszym rzędzie charakter terminologiczny – Generalny Inspektor Ochrony Danych Osobowych, zostanie zastąpiony przez Prezesa Urzędu Ochrony Danych Osobowych. Zmiana ta jest wymuszona wprowadzeniem instytucji inspektorów ochrony danych osobowych, którzy, jak już była o tym mowa, mają przejąć i rozwinąć kompetencje administratorów bezpieczeństwa informacji. Dotychczasowa nazwa Generalny Inspektor sugeruje, bowiem podporządkowanie inspektorów organowi nadzorczemu. Z kolei zachowana ma zostać konwencja organu monokratycznego, tj. jednoosobowego. Podobnie utrzymane zostaną regulacje dotyczące kwalifikacji i wymagań stawianych Prezesowi Urzędu oraz procedury jego powoływania, i kadencyjności. Dodatkowo wyraźnie w przepisach krajowych powinno się pojawić zobowiązanie Prezesa Urzędu i wszystkich pracowników urzędu do przestrzegania tajemnicy służbowej. Nowe przepisy, czy to unijne, czy krajowe, wyraźnie stanowią o podjęciu współpracy z organami nadrzędnymi w sferze ochrony danych osobowych powołanych w innych państwach członkowskich, w tym poprzez uczestnictwo w Europejskiej Radzie Ochrony Danych Osobowych. Wśród dodatkowych kompetencji organu nadzorczego przede wszystkim wskazać należy na prawo nakładania kar pieniężnych. Ponadto poszerzony zostanie tryb kontroli przestrzegania danych osobowych sprawowanej przez GIODO. Mianowicie Prezes Urzędu będzie miał prawo i obowiązek wszczynania postępowań kontrolnych. Z punktu widzenia przedsiębiorców istotnego znaczenia nabiera to, że do kontroli wszczynanych przez Prezesa Urzędu nie będą miały zastosowania przepisy ustawy o swobodzie działalności gospodarczej, czyli nie będzie obowiązywał zakaz jednoczesności kilku kontroli; ponadto organ nadzorczy nie będzie miał obowiązku wcześniejszego powiadomienia o zamiarze wszczęcia kontroli. Poza omawianym trybem, kontrola przestrzegania ochrony danych osobowych będzie realizowana w toku toczących się postępowań administracyjnych w sprawie naruszenia ochrony danych osobowych.
Podsumowanie
Rozporządzenie wchodzi w życie w dniu 25 maja 2018 r. i przewiduje jednolite regulacje prawne dla wszystkich państw członkowskich Unii Europejskiej. Rozporządzenie ma charakter ogólny, co oznacza, że będzie bezpośrednio stosowane w każdym z tych państw. Z kolei w prawodawstwie krajowym można będzie regulować tylko niektóre ściśle określone kwestie, takie jak: status organu nadzorczego, kwestie formalne dotyczące procesu uzyskiwania akredytacji i certyfikacji, procedurę postępowania w sprawach naruszenia przepisów o ochronie danych osobowych, postępowanie kontrolne, kary pieniężne i odpowiedzialność cywilną. Pozostałe kwestie takie jak: podstawowe definicje, podstawy przetwarzania danych osobowych, uprawnienia osób, których danych dotyczą oraz obowiązki administratorów danych osobowych i inspektorów ochrony danych osobowych uregulowane są w rozporządzeniu. Podkreślić należy, że pomimo, iż przepisy RODO mają charakter kompleksowy, to posługiwanie się przepisami tego rozporządzenia, wcale nie musi być sprawą łatwą, ponieważ kwestie dotyczące jednego zagadnienia, np. zgody na przetwarzanie danych osobowych, uregulowane są w kilku różnych miejscach rozporządzenia.
Jedną z najważniejszych zmian, jaką przynosi RODO jest zwiększenie efektywności prawa, które stanie się możliwe za sprawą obligatoryjnych kar pieniężnych za naruszenie danych osobowych. Uwzględniając ponadto, że zgodnie z przepisami RODO kary mają być dotkliwe, mówić można o całkowitej zmianie podejścia do tematyki ochrony danych osobowych.
Adw. Marta Barczyk – Kancelaria Zbroja Adwokaci
www.zbrojaadwokaci.pl
3
MFW: Nieefektywna ochrona infrastruktury krytycznej w RP przed atakami w cyberprzestrzeni
Umowa o budowę statku – skutki „permissible delay”
00:01:40
7
XII Ogólnopolska Konferencja Prawa Morskiego na Uniwersytecie Gdańskim
Od 01.01.2019 roku sprzedaż nieruchomości przed upływem 5 lat bez podatku?
Uwaga! Od 1.08.2020 r. nowe zasady rejestracji jachtów!
Reguły INCOTERMS 2010 w praktyce
Nie będzie niemieckiego sprzeciwu wobec terminalu kontenerowego w Świnoujściu? Meklemburgia-Pomorze Przednie nie wnosi sprawy do sądu
Morski list przewozowy – charakter prawny i funkcje w transporcie morskim
Komisja wyjaśniła, dlaczego holowany żuraw stoczniowy wypadł do Morza Bałtyckiego
Od 09.07.2018 roku nowe terminy przedawnienia roszczeń majątkowych
Wypełnianie Deklaracji Ładunku Niebezpiecznego krok po kroku
Rozliczenia marynarzy: „zasada 183 dni” w 2020 roku, a opodatkowanie marynarza w Polsce
Saab i Damen nie mogą się pogodzić z porażką w przetargu na niderlandzką "Orkę". Pójdą na noże z Naval Group?
Reguły Hasko-Visbijskie w nowoczesnym transporcie morskim
3
Konwencja MLI a Dania – czy cokolwiek zmieni się w 2021 roku?
Rekonstrukcja rządu - likwidacja Ministerstwa Gospodarki Morskiej i Żeglugi Śródlądowej
Zasady reprezentacji w spółkach prawa handlowego
Nie będzie elektrowni jądrowej nad Zatoką Botnicką. Finowie wypowiedzieli umowę Rosjanom
3
Jak się ma planowane „ograniczenie” ulgi abolicyjnej do zwolnienia z PIT dla marynarzy? – wywiad z radcą prawnym Mateuszem Romowiczem
00:07:56
3
Planowane „ograniczenie” ulgi abolicyjnej od 2021 roku (wideo)
XII Ogólnopolska Konferencja Prawa Morskiego na Uniwersytecie Gdańskim
MFW: Nieefektywna ochrona infrastruktury krytycznej w RP przed atakami w cyberprzestrzeni
Umowa o budowę statku – skutki „permissible delay”
Saab i Damen nie mogą się pogodzić z porażką w przetargu na niderlandzką "Orkę". Pójdą na noże z Naval Group?
Czarter na czas – naruszenie obowiązku płatności „hire”
Katastrofa mostu w Baltimore przyczyną strat dla żeglugi
![Czarter na podróż – okres ładowania w formule „sztywnej” [Część 1]](/files/multimedias/2652/thumb141x86_Depositphotos_251366120_L.jpg)
