Zmiany przepisów o ochronie danych osobowych

20 lipca 2017
ochrona danych osobowych
W maju 2018 w życie wejdą zmiany przepisów o ochronie danych osobowych. Zobacz, czego te zmiany dotyczą, co oznaczają dla przedsiębiorców oraz jak się do nich przygotować. 



Mecenas Katarzyna Sawicka, Senior Associate Banking and Finance w firmie Deloitte wyjaśnia, czego dotyczą zmiany w przepisach, co oznaczają dla przedsiębiorców oraz jak się do nich przygotować.

Pełna treść artykułu ukaże się w najbliższym numerze Vademecum Dewelopera, kwartalniku PZFD dostępnym dla firm zrzeszonych w Związku.

5 września w Warszawie odbędzie się Grupa Prawna –  szkolenie dla pracowników firm deweloperskich dotycząca tych zmian.  Ekspertami spotkania będą pracownicy firmy Deloitte.


W przyszłym roku mają wejść rewolucyjne zmiany w prawie o ochronie danych osobowych. Czego powinni obawiać się deweloperzy? 

Maj 2018 roku będzie stanowił datę graniczną, jeżeli chodzi o sposób myślenia o przetwarzaniu danych osobowych. Zmiany rzeczywiście będą rewolucyjne i dotkną wszystkich – różne sektory i wszystkie podmioty, które przetwarzają dane osobowe, czyli tak naprawdę wszystkie firmy, które mają do czynienia z klientami, będącymi osobami fizycznymi.

Rozporządzenie unijne znane jest od 2016 roku, mimo to brakuje akcji informacyjnej, która przygotowałaby przedsiębiorców do zmian. Jakie rewolucyjne zapisy dla przedsiębiorców znajdują się w rozporządzeniu o ochronie danych osobowych i jak przedsiębiorcy mogą się do nich przygotować?

Przygotowanie do zmian w przepisach należy zacząć od przeprowadzenia bardzo głębokiego audytu całej organizacji. Po pierwsze, będziemy musieli przejrzeć wszystkie dokumenty, które posiadamy, czyli zgody na przetwarzanie danych, klauzule, wszelkie umowy. Musimy pamiętać, że nie chodzi tylko o wprowadzenie zmian w dokumentach, ale także o sposób komunikacji z klientami. Język tej komunikacji powinien być prosty i zrozumiały. Należy unikać żargonu, który jest znany i rozumiany tylko w naszej branży. Nasz klient powinien mieć świadomość tego, jakie dane będziemy pobierać, co z nimi zrobimy, jak długo będziemy je przechowywać, czy będziemy chcieli stworzyć profil klienta.
Ze strony organizacji,  powinniśmy dostosować dokumenty, szkolić pracowników, jak rozmawiać z klientami, a dodatkowo zrobić audyt procesów i systemów IT, gdyż bardzo wiele danych, które obecnie przetwarzane są przez firmy, to tak zwane dane nieustrukturyzowane.

Czy zgodzi się Pani z tezą, że wprowadzane zmiany nie są kosmetyczne, a wręcz wymagają stworzenia zupełnie nowych zasad przetwarzania danych osobowych, dalekich, od tych, które znamy w dzisiejszym stanie prawnym?

Zmiany przepisów o ochronie danych osobowych, które nas czekają, na pewno nie są zmianami kosmetycznymi. Zupełnie zmienia się podejście do danych osobowych. Do tej pory w przepisach znajdowały się wyraźne odniesienia do rodzajów zabezpieczeń, jakie powinny mieć nasze systemy IT. Nowe rozporządzenie zupełnie zmienia nam paradygmat, wprowadza bowiem zasadę rozliczalności.

Idąc tokiem Pani wywodu – co grozi przedsiębiorcy, który nieodpowiednio przygotuje się na zmiany przepisów o ochronie danych osobowych?

Moim zdaniem podejście, które mówi „Będzie dobrze, nie muszę się bardzo dostosowywać, wystarczy, że zmienię dwa zdania w umowie czy w klauzuli informacyjnej” nie jest wystarczające. Pod nowym reżimem prawnym czekają nas bowiem bardzo wysokie kary pieniężne – do 20 milionów euro albo do 4% światowego obrotu przedsiębiorcy za dany rok, w zależności od tego, która z tych kwot jest wyższa. Do tej pory niektórzy przedsiębiorcy traktowali przetwarzanie danych osobowych lekką ręką, dlatego że Generalny Inspektor Ochrony Danych Osobowych najczęściej upominał przedsiębiorcę, nakazywał zaprzestanie przetwarzania danych osobowych bądź wprowadzenie pewnych korekt.