Unia zmieni przepisy dotyczące ochrony danych osobowych. Obowiązująca od prawie 15 lat dyrektywa zostanie zapewne zastąpiona jednolitym rozporządzeniem, obowiązującym we wszystkich państwach wspólnoty. Prawdopodobnie wejdzie ono w życie w 2015 r.

Zmiany powinny dostosować prawo m.in. do przetwarzania danych przy pomocy Internetu, np. w chmurach obliczeniowych. Mają na celu wzmocnienie ochrony danych osobowych obywateli Unii. Reforma będzie miała znaczący wpływ na e-handel, zwłaszcza dostawców usług typu cloud computing i firmy korzystające z usług w chmurze.

 

Konsekwencje zmian

Przepisy zostałyby ujednolicone we wszystkich państwach Unii, co dla podmiotów np. utrzymujących serwery z bazami danych w kilku państwach UE lub posiadających siedziby w różnych krajach, oznacza mniej formalności i łatwiejsze dostosowanie do wymogów dotyczących ochrony danych. Ze względu na różnice w przepisach krajowych, do tej pory usługodawcy działający na kilku rynkach europejskich musieli często rejestrować swoje bazy danych i dopełniać formalności w każdym z tych miejsc. Po wejściu w życie nowych przepisów wystarczy, że zgłoszą się do jednego urzędu – w kraju, gdzie mają główną siedzibę. Dostawca usług informatycznych, który przetwarza dane osobowe obywateli UE, powinien dostosować się do przepisów rozporządzenia nawet wtedy, gdy ma siedzibę poza Unią albo dane przechowywane są w chmurze poza jej terytorium.

Kolejna ważna zmiana dotyczy tzw. wycieku danych. W sytuacji, gdy nastąpi włamanie do chmury, w której przechowywane są dane osobowe lub w inny sposób naruszone zostanie bezpieczeństwo danych, rozporządzenie przewiduje konieczność niezwłocznego powiadomienia o tym fakcie osób, które przekazały swoje dane oraz organu nadzorującego (w Polsce – GIODO), jeśli to możliwe – w terminie 24 godzin od wykrycia naruszenia. Co ważne, każde naruszenie bazy danych trzeba będzie zgłosić do GIODO, nawet jeżeli ryzyko szkody jest niewielkie a środki ochronne, takie jak szyfrowanie, pozostały nienaruszone. Firmy będą więc musiały wdrożyć lub poprawić swoje procedury na wypadek wycieku danych. Przed wejściem w życie przepisów warto też zweryfikować możliwości techniczne w zakresie odpowiedniego zabezpieczenia chmury.

Z perspektywy przetwarzania danych w chmurze, istotne wydają się propozycje wprowadzenia “prawa do bycia zapomnianym” oraz opcji przeniesienia danych na żądanie osoby, której informacje dotyczą. Użytkownik będzie mógł zatem domagać się przekazania kopii swoich danych osobowych w takim formacie, aby można je było przenieść w całości do innego usługodawcy. Będzie też mógł żądać całkowitego usunięcia danych, nawet jeżeli wcześniej wyraził zgodę na ich przetwarzanie. Co więcej, w takiej sytuacji administrator danych musiałby usunąć wszelkie kopie, replikacje, odniesienia

i linki do danych (np. w wyszukiwarkach czy na stronach internetowych), umożliwiających publiczny dostęp do nich. Planowane jest również wzmocnienie ochrony użytkowników Internetu przed profilowaniem w celach komercyjnych, które powinno być oparte na wyraźnie udzielonej zgodzie osoby przekazującej dane.

Rozporządzenie zobowiązuje administratorów, aby korzystali z usług tych dostawców systemów cloud computing, których regulaminy, polityki prywatności i systemy zabezpieczeń zapewniają przestrzeganie wszystkich zawartych w rozporządzeniu wymogów dotyczących ochrony danych osobowych.

 

1 mln euro kary

Nowe przepisy upoważniają organy państwowe do nakładania wysokich kar na przedsiębiorstwa naruszające przepisy. Kary te mogą sięgnąć 1 mln euro lub 2 proc. rocznych obrotów.

Za bezpieczeństwo bazy danych odpowiadać będzie nie tylko administrator danych, ale również dostawca usług w chmurze, jeżeli do naruszenia przepisów doszło z jego winy. Dostawcy powinni więc przeanalizować swoje zabezpieczenia, procedury i stosowane wzorce umów pod kątem zgodności z nowym rozporządzeniem. Firmy zatrudniające ponad 250 pracowników powinny również przygotować się na wyznaczenie lub zatrudnienie inspektora ochrony danych.

Prawdopodobnie zniesiony zostanie obowiązek rejestracji baz danych w GIODO, ale w zamian zarówno dostawca chmury, jak i administrator danych, który korzysta z tych usług, będą musieli prowadzić bardziej rozbudowaną dokumentację. Co więcej, dostawca chmury i jego usługobiorcy będą zobowiązani do opracowania raportów obejmujących ocenę skutków przetwarzania danych, przewidywane środki i gwarancje mające zapewnić ich ochronę oraz wykazanie zgodności procedur stosowanych przez dane firmy z rozporządzeniem.

Omawiana regulacja jest nadal w fazie projektu. Wiele rozwiązań i wymagań przewidzianych w rozporządzeniu, przede wszystkim środki techniczne i organizacyjne mające zapewnić bezpieczeństwo danych, doprecyzują dopiero akty wykonawcze wydawane przez Komisję Europejską. Dlatego na obecnym etapie trudno precyzyjnie określić, jakie procedury będą musieli wprowadzić dostawcy usług w chmurze i przedsiębiorcy z branży e-commerce. Przygotowując się do zmiany przepisów przedsiębiorcy na pewno jednak powinni przeanalizować obowiązujące u nich polityki prywatności i regulaminy, a także stosowane w firmie praktyki pod kątem zgodności z treścią nowego rozporządzenia. Jeżeli dane przekazywane są przez administratora do chmury zlokalizowanej poza terytorium UE, umowy na świadczenie tego typu usług należy uzupełnić o klauzule przewidujące stosowanie przepisów unijnych i zapewnienie wysokich standardów bezpieczeństwa danych. Zgodnie z rozporządzeniem wszelkie procedury, regulaminy i formularze zgody na przetwarzanie danych skierowane do osób przekazujących swoje dane osobowe, powinny być napisane prostym językiem, zrozumiałym dla przeciętnego użytkownika.

Wprowadzenia odpowiednich rozwiązań technicznych na pewno będzie wymagało ustanowienie „prawa do bycia zapomnianym” i prawa do przenoszalności danych między usługodawcami. Warto również upewnić się, czy przetwarzane dane firma uzyskała na podstawie wyraźniej, a nie domniemanej zgody oraz sprawdzić, jakie informacje są przetwarzane, w jaki sposób zostały uzyskane i czy nadal dana firma jest uprawniona do tego, by je przetwarzać.

 

Projekt rozporządzenia został przekazany do Parlamentu Europejskiego i państw członkowskich UE. Jego założenia mogą jeszcze ulec wielu zmianom.

 

Autorką opracowania jest Katarzyna Górna, prawnik w kancelarii Accreo Legal.