Przeglądana kategoria

ochrona danych osobowych

ochrona danych osobowych

RKKW partnerem projektu ZARZĄDZANIE LUDŹMI W ORGANIZACJI (IESE Business School)

31 października 2017
zarządzanie ludźmi w organizacji

Executive Education Center, będąca polskim partnerem IESE Business School – najlepszej szkoły biznesu na świecie w rankingu Financial Times w latach 2015, 2016 i 2017, organizuje panel zajęć edukacyjnych ZARZĄDZANIE LUDŹMI W ORGANIZACJI.

Panel jest skierowany do kadry menedżerskiej i osób odpowiedzialnych za rozwój kapitału ludzkiego, w szczególności szefów działów HR, menedżerów kierujących zespołem, przedsiębiorców inwestujących w nowe działania i zespoły, a także właścicieli firm rodzinnych, którzy pragną kształcić kolejne generacje liderów. Zajęcia organizowane są w ramach inicjatywy IMPACT, opracowanej przez Absolwentów IESE Business School.

Zajęcia będą odbywać się w Warszawie od lutego do maja 2018 roku, w pięciu dwudniowych modułach. Komisja rekrutacyjna przyjmuje już zgłoszenia w formie aplikacji.

Kancelaria RKKW jest partnerem projektu, a mec. Aneta Pankowska poprowadzi wykład w module Regulacje Prawne w temacie „Ochrona danych osobowych w skali polskiej, europejskiej i globalnej”.

Czytaj więcej: ZARZĄDZANIE LUDŹMI W ORGANIZACJI

0 Komentarzy
ochrona danych osobowych prawo autorskie prawo IT

Nowe rozporządzenie w sprawie przenoszenia usług online

2 sierpnia 2017
przenoszenie usług online

Przenoszenie usług online – przyczyny zmian

W ostatnim czasie znaczny postęp technologiczny na rynku urządzeń przenośnych spowodował, iż szczególną popularność zdobyła dystrybucja cyfrowa polegająca na odpłatnym udostępnianiu online treści, najczęściej chronionej prawem autorskim, zebranej w jednym pakiecie. Wśród platform, które zdecydowały się na tak funkcjonujący model biznesowy, są tacy potentaci rynku jak Valve, Amazon.com, Netflix czy też Spotify.

Dynamiczny rozwój oraz duże zainteresowanie na tego typu usługi uwypukliły wszelkiego rodzaju mankamenty prawa unijnego. Okazało się chociażby, iż świadczenie powyższych usług online konsumentom czasowo obecnym w państwie członkowskim innym niż państwo członkowskie ich miejsca zamieszkania jest znacznie utrudnione, a często wręcz niemożliwe. Główną przyczyną takiego stanu rzeczy są istotne różnice istniejące pomiędzy poszczególnymi krajowymi porządkami prawnymi w zakresie praw autorskich, zwłaszcza dotyczące ograniczeń terytorialnych (licencje na korzystanie z utworów są co do zasady ograniczane terytorialnie).

Panaceum na powyższe problemy ma być niedawno przyjęte Rozporządzenie Parlamentu Europejskiego i Rady w sprawie transgranicznego przenoszenia na rynku wewnętrznym usług online w zakresie treści. Motywem przyjętego aktu prawnego jest utworzenie jednolitego rynku cyfrowego w ramach całej UE.

Zakres zastosowania

Niniejsze Rozporządzenie znajduje zastosowanie do umów świadczenia usług online w zakresie treści:

  • w ramach których dostawcy po uzyskaniu licencji na rozpowszechnianie przedmiotów prawa autorskiego (utworów lub transmisji) na danym terytorium umożliwiają za pomocą różnych technik transmisji i pobierania danych korzystanie z utworów prawa autorskiego,
  • z których użytkownik może korzystać bez względu na miejsce swojego pobytu, w szczególności usług dostępnych na przenośnych urządzeniach typu laptop, smartfon, tablet,
  • w ramach których dystrybutor ma możliwość weryfikacji miejsca dokonania płatności za świadczone usługi.

Nadto ustawodawca unijny precyzuje, iż zakresem stosowania niniejszego Rozporządzenia nie są objęte te usługi online, które nie są usługami kulturalnymi i gospodarczymi oraz jedynie pomocniczo wykorzystują przedmioty prawa autorskiego. Chodzi tu o taką działalność, w zakresie której prawa autorskie stanowią jedynie tło dla funkcjonowania całości (np. szata graficzna).

Najważniejsze zmiany

Rozporządzenie, mając na celu zniesienie geoblokad na rynku dystrybucji treści cyfrowych, wprowadza swoistego rodzaju fikcję prawną, zgodnie z którą korzystanie z usług online w miejscu czasowego pobytu odbywa się w miejscu zamieszkania użytkownika takiej platformy. Oznacza to, iż obywatele RP, przebywając w innym państwie UE, chociażby na wakacjach, wyjazdach służbowych czy wymianach studenckich, będą mogli korzystać z platform dystrybucji cyfrowej na tych samych zasadach i warunkach, jakie obowiązują w Polsce. Co więcej, w świetle Rozporządzenia, konsumenci korzystający z powyższych treści będą traktowani tak jakby nadal przebywali w kraju.

Powyższa fikcja prawna odnosi się także do funkcjonalności oraz treści świadczonych usług, które nie powinny odbiegać od stanu jaki obowiązuje w państwie miejsca zamieszkania. Wyjątkiem jest tu regulacja dotycząca jakości, która co do zasady winna być taka sama jak w państwie miejsca zamieszkania, ale nie musi przewyższać swoim poziomem jakości dostępnej lokalnie.

Poprzez utworzenie fikcji prawnej dalszego obowiązywania regulacji krajowych wobec konsumentów przebywających czasowo w państwie trzecim ustawodawca europejski stworzył system, w którym dostawcy i dystrybutorzy treści nie ponoszą odpowiedzialności za potencjalne naruszenia umów licencyjnych ograniczonych terytorialne. Przyjmuje się bowiem, iż usługi są nadal świadczone na podstawie i w ramach prawa państwa miejsca zamieszkania. Z tego też wynika, iż omawiane Rozporządzenie nie ingeruje bezpośrednio w porządek prawny poszczególnych państw europejskich i nie modyfikuje istniejących modeli licencjonowania treści (w tym nie niweczy zasady ograniczenia terytorialnego).

Poza obowiązkiem zapewnienia konsumentom możliwości transgranicznego przenoszenia treści online, dostawcy zobowiązani są do weryfikowania lokalizacji użytkownika w momencie zawierania i każdorazowego przedłużania umowy. W praktyce tego rodzaju usługi są zazwyczaj przez konsumentów opłacane przy pomocy systemu automatycznych transakcji pieniężnych niewymagających obecności osób fizycznych zlecanych na podstawie odnawialnych miesięcznie subskrypcji. W związku z tym wydaje się, że najczęściej stosowanymi środkami weryfikacji lokalizacji konsumentów korzystających z usług dostawców treści online, oprócz sprawdzenia adresów IP, mogą być uzyskiwane informacje dotyczące szczegółów płatności, takich jak rachunek bankowy lub karta kredytowa. Przedsiębiorcy muszą jednak pamiętać, iż stosowanie środków weryfikacyjnych musi być uzasadnione, proporcjonalne, skuteczne oraz zgodne z regulacjami dotyczącymi ochrony danych osobowych.

Kontrowersje i uwagi

Problem istnienia geoblokad od wielu lat stanowił przedmiot dyskusji społecznych oraz debat parlamentarnych. Dotychczasowy stan prawny stanowił niekorzystne z punktu widzenia relacji konsument – przedsiębiorca ograniczenie dla pełnej realizacji zawieranych stosunków cywilnoprawnych. Obie grupy były zainteresowane zniesieniem zasady terytorialności obowiązywania praw autorskich w zakresie treści udostępnianej online – konsumenci z uwagi na chęć korzystania z wcześniej wykupionego pakietu w niezmienionym zakresie podczas swojego pobytu za granicą, zaś przedsiębiorcy z uwagi na obawę przed stratami wynikającymi z ewentualnych rezygnacji zgłaszanych przez użytkowników udających się do państwa trzeciego.

Grupą społeczną negatywnie nastawioną na tego rodzaju zmiany byli przede wszystkim posiadacze praw autorskich. Jest to o tyle zrozumiałe, iż autorzy czerpią zyski z każdorazowo zawieranej umowy licencyjnej obowiązującej na poszczególnych terytoriach państw członkowskich. Dystrybutorzy, chcąc umożliwić korzystanie konsumentom z pakietu w tej samej formie, która istnieje w państwie miejsca zamieszkania, byliby zobowiązani do zawierania kilkunastu umów lub jednej umowy o wyższych kosztach całkowitych.

Powyższe Rozporządzenie starało się wyjść naprzeciw wszystkim zainteresowanym grupom, choć nie obyło się bez legislacyjnych nieścisłości. W praktyce dużo kontrowersji budzi rozumienie pojęcia „czasowej obecności w innym państwie”. Mimo, iż ustawodawca postarał się o definicję legalną powyższego terminu, to uczynił to w wysoce nieprecyzyjny sposób. Nie wiadomo bowiem jak należy rozumieć przesłankę obecności przez ograniczony okres w państwie trzecim. Czy przykładowo wyjazdy w ramach wymian studenckich typu Erasmus będą traktowane jako spełniające powyższy warunek? Na tak postanowione pytanie dopóty trudno będzie udzielić odpowiedzi dopóki przesłanka ograniczenia czasowego nie będzie zakreślona konkretnymi ramami czasowymi.

Jak już słusznie zauważono, opisywane Rozporządzenie ma dość jednostronny charakter[1]. Należy się zgodzić, iż fakt pominięcia sytuacji, w której użytkownik wykupuje pakiet usług online w miejscu czasowej obecności w innym państwie niż państwo miejsca zamieszkania, stanowi swoistego rodzaju lukę prawną, która będzie wykładana zgodnie z dotychczasowym i nieprzystającym do dzisiejszych realiów porządkiem prawnym.

Ciekawą do rozważenia kwestią są także środki weryfikacyjne i ich potencjalny wpływ na konsumentów. Zgodnie z dyspozycją art. 5 Rozporządzenia do dystrybutorów treści cyfrowych UE należy wybór dwóch środków weryfikacji lokalizacji użytkownika spośród wymienionych enumeratywnie w powyższym przepisie. Wydaje się, że niektóre z proponowanych rozwiązań mogą w rzeczywistości być zbyt uciążliwe dla klientów. Taka sytuacja może dotyczyć chociażby wymogu przesłania dysponentom kopii swojego dowodu tożsamości potwierdzającego miejsce zamieszkania, kopii zawieranych umów z przedsiębiorcami udostępniającymi Internet, kopii opłacanych podatków czy też kopii dokonanej rejestracji na liście wyborczej. Pomimo tego, iż Rozporządzenie wymaga, by zastosowane środki były uzasadnione, proporcjonalne i skuteczne, należy stwierdzić, że niektórzy użytkownicy zaniepokojeni możliwością dokonania potencjalnych naruszeń ich danych osobowych, mogą rezygnować z usług transgranicznego przenoszenia treści online. Zdaje się, iż zasadnym byłby postulat przyznania przedsiębiorcom większej swobody w kształtowaniu środków weryfikacji, bowiem to w interesie dystrybutorów leży stworzenie takich mechanizmów, które w jak najmniejszym stopniu będą ingerowały w komfort konsumentów.

Na sam koniec należy zaznaczyć, iż Rozporządzenie nie normuje kwestii związanych z dostarczaniem usługi online świadczonych pierwotnie poza granicami UE. Wydaje się jednak, iż powyższe relacje na tle przenoszenia treści poza granicami państw unijnych będą wynikiem ewentualnych negocjacji w sprawie współpracy, co należy uznać za pozytywne rozwiązanie (zwłaszcza z punktu widzenia ochrony danych osobowych).

[1] M. Kubiak, M. Zawadka, Zmiany w dostępie do usług online wewnątrz UE?, LSW IP BLOG: http://lswipblog.pl/pl/2016/01/zmiany-w-dostepie-do-uslug-online-wewnatrz-ue/

0 Komentarzy
cyberbezpieczeństwo ochrona danych osobowych

Nowe rozporządzenie o ochronie danych osobowych wprowadza zmianę modelu ochrony

14 lutego 2017

Głównym motywem zmiany modelu ochrony danych osobowych na terytorium Unii Europejskiej (Europejskiego Obszaru Gospodarczego) była z jednej strony chęć zwiększenia skuteczności ochrony danych osobowych jako prawa podstawowego przewidzianego m.in. w Karcie Praw Podstawowych (art. 8) oraz Traktacie o funkcjonowaniu UE (art. 16), z drugiej zaś konieczność dostosowania unijnych regulacji prawnych do potrzeb wynikających z ciągłego rozwoju nowych technologii oraz postępującej cyfryzacji.

Konieczność zmiany modelu ochrony danych osobowych

Mająca ponad 20 lat Dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwana dalej: Dyrektywą) jawiła się jako instrument przestarzały, nieprzystosowany do nowych zjawisk, takich jak komercjalizacja Internetu, intensyfikacja transgranicznego przepływu danych czy też nowych metod przetwarzania danych np. w ramach chmury obliczeniowej (ang. cloud computing). Co więcej, Dyrektywa nie zapewniała w sposób wystarczający bezpieczeństwa danych osobowych obywateli Unii (EOG) w przypadku transferu danych do tzw. „państw trzecich”, czyli państw niebędących członkami UE (EOG). Najlepszym tego przykładem była decyzja Komisji Europejskiej 2000/520/WE uznająca adekwatność zasad programu amerykańskiej „bezpiecznej przystani” (ang. Safe Harbour) wydana na podstawie art. 25 ust. 6 Dyrektywy. Powyższy instrument miał umożliwić swobodny przepływ danych pomiędzy Stanami Zjednoczonymi a Unią Europejską w sytuacji, gdy państwo będące docelowym odbiorcą danych (mowa tu o USA) nie zapewnia adekwatnego poziomu ochrony (?) danych osobowych w rozumieniu Dyrektywy. W omawianym przypadku niespełnienie kluczowej przesłanki warunkującej przekazanie danych poza terytorium UE wiązało się z brakiem federalnych regulacji prawnych dotyczących ochrony danych osobowych. Program „bezpiecznej przystani” miał być w swoim założeniu swoistym kompromisem umożliwiającym pogodzenie dwóch odmiennych porządków prawnych. Ostatecznie Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z dnia 6 października 2015 r. w sprawie Maximillian Schrems przeciwko Data Protection Commissioner (C-362/14) orzekł o nieważności decyzji 2000/520/WE, a to za sprawą wielu nieprawidłowości ujawnionych w toku postępowania. Po pierwsze, omawiana decyzja uniemożliwiała krajowym organom nadzoru prowadzenie dochodzeń w sprawie skargi dotyczącej nieodpowiedniego stopnia ochrony, czego rezultatem może być zawieszenie dalszego przekazywania danych. Po drugie wykazano, że Komisja Europejska nie wykonała swojego podstawowego zobowiązania polegającego na ocenie, czy Stany Zjednoczone rzeczywiście poprzez swoje ustawodawstwo krajowe lub zobowiązania międzynarodowe zapewniają równoważny stopień ochrony praw podstawowych do gwarantowanego w ramach prawodawstwa Unii.

Jakie zmiany wprowadza Rozporządzenie?

Wraz z wejściem w życie Rozporządzenia doszło do istotnych zmian w unijnym modelu ochrony danych osobowych. Poniżej najważniejsze z nich.

Doprecyzowanie pojęcia „danych osobowych”

Rozporządzenie dokonało znaczącej redefinicji pojęcia „danych osobowych”. Podobnie jak miało to miejsce na gruncie Dyrektywy, dane osobowe to nadal informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Niemniej jednak, ze względu na szybki rozwój nowych technologii, pojęcie „danych osobowych” należało rozszerzyć o kolejne kategorie danych, które chociażby w potencjalny sposób mogłyby identyfikować daną osobę tj.: dane lokalizacyjne, adresy IP, identyfikatory internetowe czy też dane dotyczące stanu zdrowia.

Privacy by design / Privacy by default

Ochrona danych w fazie projektowania (ang. privacy by design) oraz ochrona danych w opcji domyślnej (ang. privacy by default) stanowią przykłady nowych zagadnień, jakie wprowadza ogólne rozporządzenie o ochronie danych osobowych. Koncepcja privacy by design zakłada wdrażanie wymogów rozporządzenia już na etapie projektowania pewnych rozwiązań mogących wiązać się z różnego rodzaju zagrożeniami wynikającymi z przetwarzania danych (art. 25 ust. 1 Rozporządzenia). Z kolei privacy by default wprowadza wymóg wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych po to, aby procesowi przetwarzania podlegały wyłącznie dane osobowe niezbędne dla osiągnięcia konkretnego celu (art. 25 ust. 2 Rozporządzenia).

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym (ang. right to be forgotten), zwane również prawem do usunięcia danych (ang. right to erasure), to zupełnie nowa instytucja na gruncie europejskiego prawa ochrony danych osobowych. Pierwszy raz na temat prawa do bycia zapomnianym wypowiedział się TSUE na kanwie sprawy Google Spain (C-131/12). Wymieniona sprawa dotyczyła możliwości przetwarzania danych przez wyszukiwarki internetowe poprzez ujawnienie informacji dotyczących określonych osób, w tym na stronach internetowych innych podmiotów, w postaci listy wyników wyszukiwania. Trybunał Sprawiedliwości Unii Europejskiej uznał, że działalność wykonywana przez operatorów wyszukiwarek internetowych może być zakwalifikowana jako przetwarzanie danych. Co więcej, Trybunał potwierdził istnienie prawa, które na gruncie Dyrektywy nie zostało wprost wyrażone – mowa tu oczywiście o prawie do bycia zapomnianym. Zdaniem TSUE osoby fizyczne muszą mieć zapewnioną możliwość zgłoszenia roszczenia w przedmiocie usunięcia danych ich dotyczących z listy wyszukiwania wyszukiwarki, w tym ze stron internetowych osób trzecich. W aktualnym stanie prawnym prawo do bycia zapomnianym zostało wyrażone expressis verbis w art. 17 Rozporządzenia. W myśl przytoczonego przepisu, administrator danych jest zobowiązany do niezwłocznego usunięcia danych, jeśli zachodzi jedna poniższych przesłanek:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  • osoba, której dane dotyczą, cofnęła zgodę na ich przetwarzanie i nie ma innej podstawy prawnej przetwarzania – chodzi tutaj głownie o przypadki profilowania danych;

  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

  • dane osobowe były przetwarzane niezgodnie z prawem;

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego, któremu podlega administrator;

  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

Ograniczenie profilowania

Zgodnie z motywem 71 Rozporządzenia profilowanie to jedna z form przetwarzania danych polegająca na ocenie niektórych aspektów danych życia osobistego w ramach automatycznego przetwarzania danych. Profilowanie jest narzędziem często wykorzystywanym przez firmy z branży marketingowej oraz e-commerce, ponieważ pozwala analizować oraz prognozować chociażby takie czynniki jak efekty pracy, sytuację ekonomiczną, stan zdrowia czy osobiste preferencje danej osoby. Według ustawodawcy unijnego podejmowanie konkretnych decyzji wobec podmiotów, których dane dotyczą, w oparciu o dane zabrane w toku profilowania może mieć miejsce jedynie w ściśle określonych sytuacjach. Mianowicie, profilowanie jest dozwolone na gruncie prawa UE albo prawa państwa członkowskiego, któremu podlega administrator danych. Ponadto profilowanie można wykorzystywać 1) w celu monitorowania i zapobiegania oszustwom uchylania się od podatków, 2) gdy profilowanie jest konieczne do zapewnienia bezpieczeństwa i niezawodności usług świadczonych przez administratora danych albo 3) gdy jest to niezbędne do zawarcia lub wykonania umowy zawartej pomiędzy osobą, której dane dotyczą, a administratorem danych. Zgoda podmiotu danych jest również jedną z przesłanek legalizujących profilowanie. Jeśli czynności profilowania są dokonywane w innych przypadkach niż te wymienione powyżej, osobie fizycznej przysługuje prawo do zgłoszenia sprzeciwu (art. 21 Rozporządzenia).

Mechanizm One-stop-shop

Pewnym ułatwieniem zarówno dla administratorów danych jak i podmiotów danych jest wprowadzenie tzw. one-stop-shop („mechanizm kompleksowej współpracy”), który dotyczy przedsiębiorców (administratorów) podejmujących działalność transgraniczną. Koncepcja one-stop-shop w swoim zamyśle polega na tym, że kompetencje nadzorcze administratora danych działającego na terytorium więcej niż jednego państwa członkowskiego zostaną przyznane organowi nadzorczemu (regulatorowi) właściwemu ze względu na miejsce dominującej działalności administratora. Dzięki temu wszelkie rozstrzygnięcia nadzorcze będą respektowane w pozostałych krajach UE. Niewątpliwie takie rozwiązanie w istotnym sposób przyczyni się do zmniejszenia obciążeń o charakterze administracyjnym. Co więcej, omawiany mechanizm będzie istotnym ułatwieniem dla podmiotów danych, ponieważ skargi w sprawie nieprawidłowego przetwarzania danych ich dotyczących, będzie można zgłosić w dowolnym państwie członkowskim z obowiązkiem ich przekazania właściwemu organowi nadzorczemu.

Obowiązek wyznaczenia inspektora ochrony danych

Oprócz przyznania nowych praw podmiotom danych, Rozporządzenie nakłada również dodatkowe obowiązki na administratorów danych. Dotychczasowy administrator bezpieczeństwa informacji (ABI) zmieni nazwę na inspektora ochrony danych. Co ważne, grupa przedsiębiorstw (jak w Rozporządzeniu określana jest grupa kapitałowa) może wyznaczyć jednego inspektora ochrony danych, pod warunkiem, że każda z jednostek organizacyjnych będzie mogła z nim łatwo nawiązać kontakt. Rozporządzenie ustanawia obowiązek powołania inspektora ochrony danych osobowych w następujących przypadkach:

  • przetwarzanie danych przez organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości);

  • główna działalność administratora/podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób na dużą skalę;

  • główna działalność administratora/podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Warto w tym miejscu nadmienić, że w poprzednim stanie prawnym wyznaczenie administratora bezpieczeństwa danych miało charakter fakultatywny.

Wśród głównych zadań inspektora ochrony danych wskazanych w Rozporządzeniu można wymienić m.in.: czuwanie nad przestrzeganiem przepisów Rozporządzenia przez organy administratora danych oraz pracowników administratora, kontaktowaniem się z organem nadzoru (np.: polskim GIODO) w celu zgłoszenia naruszeń wynikających z nieprzestrzegania Rozporządzenia, czy też wydawanie zaleceń dotyczących ochrony danych osobowych. W porównaniu do wcześniejszych regulacji, rozszerzono katalog kompetencji przysługujących inspektorowi ochrony danych przy jednoczesnym zwiększeniu ciążących na nim obowiązków.

Europejska Rada Ochrony Danych

Na mocy Rozporządzenia ustanowiono nowy organ UE – Europejską Radę Ochrony Danych (dalej: „EROD”), która zastąpi Grupę Roboczą powołaną na mocy art. 29 Dyrektywy. Podobnie jak Grupa Robocza, EROD ma być ciałem doradczym Komisji Europejskiej w zakresie ochrony danych osobowych. W świetle art. 70 Rozporządzenia do głównych zadań EROD należy zapewnienie spójnego stosowania Rozporządzenia m.in. poprzez monitorowanie jego stosowania, doradzanie Komisji Europejskiej w sprawach związanych z ochroną danych osobowych czy wydawanie wytycznych, zaleceń oraz określanie najlepszych praktyk.

Co istotne, Rada będzie rozstrzygać spory o właściwość pomiędzy organami nadzorczymi a także spory w sytuacjach, w których zgłoszono sprzeciw do projektu decyzji organu wiodącego.

Kary za naruszenie Rozporządzenia

W Rozporządzeniu przewidziano wysokie („w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”) kary pieniężne dla podmiotów, które nie będą się stosować do regulacji Rozporządzenia. Kary pieniężne dla przedsiębiorstwa, w zależności od naruszenia, stosowane będą w wysokości do 2% lub do 4% (w przypadku cięższego naruszenia) całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego danego przedsiębiorcy.

Wejście w życie i stosowanie Rozporządzenia

Jak wspomniano na początku niniejszego artykułu, Rozporządzenie weszło w życie 17 maja 2016 r., a jego przepisy będą obowiązywać od 25 maja 2018 r. (w tym dniu uchylona zostanie Dyrektywa 95/46). Przedsiębiorcy powinni zatem do tego czasu przystosować swoje wewnętrzne procedury tak, aby spełniały one wymogi Rozporządzenia. Należy bowiem nadmienić, że posłużenie się w ramach reformy unijnego prawa ochrony danych osobowych aktem prawnym, jakim jest rozporządzenie, ma swoje istotne konsekwencje. Zgodnie z art. 288 TFUE rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. W przeciwieństwie do dyrektywy rozporządzenie nie wymaga implementacji (transpozycji) do krajowych porządków prawnych. Dzięki temu dojdzie do ujednolicenia stosowania prawa na całym terytorium Unii Europejskiej (EOG) – zlikwidowana zostanie „mozaika” ustawodawstw państw członkowskich w zakresie ochrony danych osobowych, które w wielu przypadkach bardzo różniły się między sobą, ponieważ Dyrektywa, jako akt harmonizacji minimalnej, zobowiązuje jedynie do wdrożenia odpowiednich środków wyznaczających dolny pułap ochrony, zaś w pozostałym zakresie pozostawia państwom członkowskim margines swobody, jeśli chodzi o bardziej restrykcyjne uregulowania (motyw 8 i 9 Dyrektywy).

Współautorami wpisu są Ewelina Ocipińska i Hubert Kutkiewicz

0 Komentarzy