BMS Creative

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – tak brzmi pełna nazwa dokumentu, który sieje ostatnio postrach wśród przedsiębiorców. Słusznie, czy nie? No cóż, to zależy...

Lektura blisko 90 stron tekstu, z których niemal połowa stanowi uzasadnienie dla nowychprzepisów, sama w sobie nie jest oczywiście przyjemnością, no chyba że dla prawnika... Nie trzeba nim jednak być, żeby przeczytawszy to dzieło, dojść do pierwszego interesującego wniosku – aktyprawne w Brukseli tworzy się trochę rozsądniej niż w Warszawie. Krótko mówiąc, rozporządzenie wydaje się mieć głęboki sens i nie sprowadza się wyłącznie do nakładania na działające w Unii firmy i instytucje szeregu uciążliwych, ale w istocie formalnych obowiązków, połączonych w dodatku z określonymi obciążeniami na rzecz fiskusa. W istocie pozostawia ono wspomnianym podmiotomdużą swobodę manewru, ale też przenosi na nie odpowiedzialność za wybór podjętych działań. Ważniejszy jest więc duch niż litera.

Przykładowo, rozporządzenie znosi ogólny obowiązek rejestracji baz danych osobowych, bo w istocie z obowiązku tego niewiele wynikało dla tych, których dane miały być chronione. W uzasadnieniu do rozporządzenia czytamy: Dyrektywa 95/46/WE przewidywała ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Obowiązek ten powodując jednak obciążenia administracyjne i finansowe i nie zawsze przyczyniał się do poprawy ochrony danych osobowych. Dlatego należy znieść te powszechne, ogólne obowiązki zawiadamiania i zastąpić je skutecznymi procedurami i mechanizmami koncentrującymi się w zamian na tych rodzajach operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Czyż nie jest to mądre podejście?

Ale medal ma też i drugą stronę. Jeśli ktoś liczy na to, że rozwiąże problem zlecając jakiejś wyspecjalizowanej firmie przeprowadzenie audytu, a następnie otrzyma od niej książkę z procedurami, którą odłoży na półkę i okaże w razie kontroli, jest chyba w błędzie. Zupełnie nie o to chodzi! Rzecz w tym, aby naprawdę, a nie tylko na niby przetwarzać dane osobowe w sposób, który nikomu nie zrobi krzywdy. Rozporządzenie ma charakter bardzo pragmatyczny i tak właśnie należy je stosować.

Kogo dotyczy omawiany tu akt prawny – w przypadku przedsiębiorców, wydaje się że praktycznie wszystkich. Jeśli tylko posiadamy bazy danych naszych klientów, czy to indywidualnych, czy też firm, ale z danymi kontaktowymi pracowników, to przetwarzamy dane osobowe, a więc takie dane, które najoględniej mówiąc, pozwalają zidentyfikować osobę fizyczną (szczegóły w rozporządzeniu). A jeśli przetwarzamy je elektronicznie (kto robi to inaczej?), to musimy zatroszczyć się między innymi o to, by narzędzia, których używamy, gwarantowały odpowiednie bezpieczeństwo, ale też spełniały jeszcze inne, sensowne, choć nie do końca precyzyjne wymogi. Jakie? O tym w kolejnych artykułach.