Nowe regulacje unijne wymuszające większą dbałość przedsiębiorców o dane osobowe

Obecnie każdy kraj UE ma swoje przepisy w zakresie ochrony danych osobowych, ale wkrótce może się to zmienić. Obowiązująca dyrektywa Parlamentu Europejskiego i Rady (dyrektywa 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych)  w pewnym zakresie wymusza podobieństwo ochrony w krajach UE. Mimo to istnieją duże różnice w regulacjach prawnych poszczególnych państw.

Jednak, dzięki planowanemu rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, nastąpiłoby ujednolicenie prawa w zakresie ochrony danych w ramach UE i swobodnego przepływu tych danych.

Już teraz zwraca się uwagę, że standardy ochrony danych osobowych w UE są najwyższe na świecie, a rozporządzenie ma to jeszcze wzmocnić. Identyczne zasady we wszystkich krajach członkowskich pozwoliłyby na wyeliminowanie niepewności co do zasad ochrony danych osobowych w innych krajach UE. Uniknięto by również ryzyka i wątpliwości związanych z transferem danych osobowych do tych krajów.

Praktyka działalności gospodarczej pokazuje, iż coraz więcej firm, także z branży ciepłowniczej, może przechowywać albo powierzać przetwarzanie danych osobowych podmiotom znajdującym się w innych krajach, w tym w krajach UE. Ujednolicenie standardów ochrony danych osobowych w ramach UE zacieśni współpracę pomiędzy firmami z tych krajów,  w tym w kluczowych obszarach nowych technologii, tworzenia innowacji oraz rozwiązań przewidujących optymalizację kosztów i bezpieczeństwo przechowywania danych.

Zasadniczym celem planowanej regulacji jest zwiększenie ochrony danych, uproszczenie środowiska regulacyjnego, obniżenie kosztów i zmniejszenie obciążeń administracyjnych. Dodatkowo chodzi o poprawę skuteczności ochrony danych, która jest obecnie utrudniona przez zróżnicowane ustawodawstwo państw członkowskich UE.

Istotne są zasady przepływu danych nie tylko pomiędzy poszczególnymi krajami UE, ale także pomiędzy tymi krajami a krajami trzecimi. Pilnego uregulowania wymagają takie zagadnienia jak prawo dostępu do danych, prawo usunięcia danych (tzw. „prawo do bycia zapomnianym”) czy wprowadzenie zrozumiałych i standardowych zasad wyrażania zgody oraz zgłaszania naruszenia ochrony danych. Współpraca i wzajemna pomoc organów ds. ochrony danych osobowych UE, doprowadzi do nasilenia kontroli zasad i standardów przetwarzania danych przez przedsiębiorców w tym w branży ciepłowniczej. Obecnie ma to miejsce na niewielką skalę i w praktyce wiele firm zapomina o potrzebie kompleksowego uregulowania tych zagadnień w zgodzie z obowiązującymi przepisami.

Przedsiębiorstwa często korzystają ze standardowych rozwiązań, które nie są dostosowane ani do specyfiki branży ani konkretnych uwarunkowań danego zakładu. Przewidziane obecnie sankcje karne mogą natomiast dotknąć w szczególności osoby zajmujące kluczowe i najwyższe stanowiska w tych przedsiębiorstwach, które często nie mają żadnego kontaktu z przetwarzaniem danych w ich firmach, nie istnieją też zwykle samodzielne stanowiska odpowiedzialne za ochronę i przetwarzanie danych. Nowe wspólne przepisy UE oznaczają też eliminację luk i braków, które obecnie pozwalają czasem firmom uchylić się od odpowiedzialności.

Nowe przepisy unijne uproszczą porządek prawny na terenie UE, w tym sensie, że zastąpią regulacje krajowe wspólnotowymi, ale w poszczególnych przedsiębiorstwach doprowadzą do konieczności tworzenia dokumentacji i rozwiązań znacznie bardziej szczegółowych i bezpieczniejszych niż obecnie. Jednolite standardy kontroli doprowadzą natomiast do tego, że zasady te będą bezwzględnie egzekwowane.

Zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych będzie w praktyce wymagało prowadzenia nie tylko dokumentacji wprost wymaganej przez przepisy. Niezbędne może okazać się również tworzenie rozwiązań dostosowanych indywidualnie do struktury organizacyjnej i funkcjonalnej danego podmiotu gospodarczego.

Projekt rozporządzenia jest pełny zwrotów nieostrych, niejasnych i w dużym stopniu ocennych. Będą one wyjaśniane dopiero przez praktykę orzeczniczą poszczególnych krajów UE. Zwłaszcza zatem w pierwszym okresie obowiązywania nowych przepisów, będzie istniało duże ryzyko prawne dla przedsiębiorców przetwarzających dane osobowe, co dotyczy faktycznie każdego przedsiębiorcy.

W projekcie rozporządzenia jest także mowa o konieczności tworzenia procedur i mechanizmów ułatwiających podmiotowi danych wykonywanie przysługujących mu praw, między innymi umożliwienie składania wniosków drogą elektroniczną i żądania uzyskania odpowiedzi na wniosek w określonym terminie, jak również do uzasadnienia odmowy udzielenia odpowiedzi. Zakres zbieranych danych osobowych powinien uwzględniać minimalną ilość informacji niezbędną do realizacji celu ich przetwarzanie – tego wymogu często nie respektują często polskie przedsiębiorstwa. Przewiduje się, iż sama zgoda osoby nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych, a administratorem, co ma miejsce np. w odniesieniu do pracowników. Zrzeszenia lub inne organy reprezentujące różne kategorie administratorów mają być zachęcane do sporządzenia kodeksów postępowania. Ma to ułatwiać skuteczne stosowanie rozporządzenia i uwzględniać szczególny charakter przetwarzania prowadzonego w niektórych sektorach. Taki kodeks bez wątpienia mógłby ustanawiać ogólne standardy ochrony w sektorze ciepłowniczym. Musiałby być jednak zawsze uzupełniany o regulacje szczegółowe poszczególnych przedsiębiorstw.

Chociaż nie wiadomo dzisiaj, jaki będzie ostateczny kształt rozporządzenia oraz kiedy wejdzie ono w życie, to wydaje się niemal pewne, że prędzej czy później takie rozwiązanie zostanie przyjęte na terenie całej UE. Wymusi to na przedsiębiorcach podniesienie standardów ochrony danych osobowych oraz szczegółową weryfikację i kompleksową regulację procedur wewnętrznych. W obszarach nieobjętych rozporządzeniem UE nadal będą obowiązywać przepisy krajowe, a panująca w tym zakresie dwoistość porządku prawnego – krajowego i UE, może powodować liczne problemy prawne i różnice interpretacyjne. Dodatkowo, zwiększonemu przepływowi danych ma towarzyszyć większe bezpieczeństwo, a to zawsze oznacza konieczność uszczegółowienia istniejących już procedur i wprowadzenia dodatkowych.

PODSUMOWANIE

  1. Celami planowanej regulacji są:
    • Zwiększenie ochrony danych osobowych
    • Uproszczenie regulacji
    • Obniżenie kosztów ponoszonych przez przedsiębiorców
    • Zmniejszenie obciążeń administracyjnych
  2. Nowa regulacja doprowadzi do nasilenia kontroli zasad i standardów przetwarzania danych przez przedsiębiorców.
  3. Rozwiązania dotyczące ochrony danych osobowych powinny być dostosowane do specyfiki przedsiębiorstwa.
  4. Obecnie, odpowiedzialność karna  w związku z nieprawidłową ochroną danych osobowych obciąża zwykle osoby zajmujące kluczowe, najwyższe stanowiska.
  5. Podmioty administrujące danymi osobowymi będą zachęcane do sporządzania kodeksów postępowania uwzględniających szczególny charakter danego sektora.
  6. Rozporządzenie wymusi na przedsiębiorcach podniesienie standardów ochrony danych osobowych oraz szczegółową weryfikację i kompleksową regulację procedur wewnętrznych.