Spis treści. Ogólne rozporządzenie o ochronie danych osobowych przyjęte 7 najważniejszych zmian

Transkrypt

1

2 Spis treści Przygotowanie do zmian 3 obszary... 2 Pseudonimizacja danych osobowych... 3 Modyfikacja konstrukcji zgody na przetwarzanie danych... 3 Zwiększenie kontroli nad danymi osobowymi... 4 Privacy by design i Privacy by default... 5 Informowanie o naruszeniach ochrony danych... 6 Transfer danych do państw trzecich... 7 Wysokie kary pieniężne

3 Ogólne rozporządzenie o ochronie danych osobowych (rodo) zostało przyjęte przez Parlament Europejski 14 kwietnia 2016 r. Rozporządzenie zmieni wiele istotnych kwestii, m.in. transfer danych osobowych do państw trzecich, proces zbierania zgód na przetwarzanie danych i obowiązki informacyjne administratora bezpieczeństwa informacji. Wprowadzi też wysokie kary finansowe za naruszenia przepisów o ochronie danych osobowych. Dotychczasowe przepisy o ochronie danych osobowych, ustanowione przepisami dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. (Dz.Urz. L 281/31 z 23 listopada 1995 r.) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwana dalej dyrektywą ) oraz na niej wzorowanej ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. (tekst jedn.: Dz.U. z 2016 r. poz. 922), dalej określana jako ustawa, zostaną zastąpione postanowieniami ogólnego rozporządzenia o ochronie danych osobowych. Wieloletnie prace legislacyjne nad tym aktem właśnie się zakończyły. 15 grudnia 2015 r. zakończone zostały negocjacje pomiędzy przedstawicielami Parlamentu Europejskiego i Rady Europejskiej. Zakończyły one tym samym uzgadniane treści projektu rodo przez wszystkie trzy organy Unii Europejskiej, tj. Parlament, Radę i Komisję (tzw. trilog). Komitet Stałych Przedstawicieli zatwierdził projekt 17 grudnia 2015 r. Natomiast 14 kwietnia 2016 r. ogólne rozporządzenie o ochronie danych osobowych zostało ostatecznie uchwalone i przegłosowane przez Parlament Europejski. Wejście w życie tych przepisów ma nastąpić w dwa lata od dnia publikacji w Dzienniku Urzędowym Unii Europejskiej, czyli w pierwszej połowie 2018 roku. Warto już teraz przeanalizować przepisy rozporządzenia pod kątem nowych konstrukcji i instrumentów ochrony danych osobowych. O potrzebie takiego badania przesądzają następujące powody. Po pierwsze, znajomość niektórych z wprowadzonych w rodo obowiązków może mieć znaczenie dla obecnie już prowadzonych operacji na danych. Przykładem jest nowy obowiązek pozyskiwania zgody na profilowanie. Można bowiem założyć, że aktualnie zbierane informacje o osobach fizycznych będą nadal przetwarzanie po wejściu w życie rodo. Po drugie, określone w rozporządzeniu nowe obowiązki mogą mieć wpływ na kształt tworzonych czy zamawianych narzędzi informatycznych, których eksploatacja będzie następowała również w okresie obowiązywania rozporządzenia. Chodzi tu w szczególności o rozwiązania typu privacy by design czy privacy by default, jak również różne sposoby anonimizacji lub pseudonimizacji danych. Po trzecie, wiele obowiązków o charakterze organizacyjnym, takich jak np. proaktywne podejście do ochrony danych (zasada rozliczalności), wymagać będzie zmiany sposobu funkcjonowania wielu organizacji, co również jest procesem rozłożonym w czasie. 2

4 W rodo nie zmieniono dotychczasowego rozumienia danych osobowych jako informacji o osobie fizycznej, której tożsamość można ustalić bezpośrednio na podstawie treści posiadanych o niej informacji, bądź pośrednio poprzez połączenie tych informacji z innymi dodatkowymi informacjami pozwalającymi łącznie na ustalenie jej tożsamości (art. 4 pkt 1). Równocześnie jednak wprowadzono pojęcie danych spseudonimizowanych, definiując w art. 4 pkt 5 sam proces pseudonimizacji jako: przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Jak wyjaśniono w preambule do rozporządzenia, dane spseudonimizowane cały czas należy traktować jako dane osobowe. Nadal bowiem przy użyciu dodatkowych informacji możliwa jest identyfikacja danej osoby. Z drugiej jednak strony wykonanie tego rodzaju czynności może ograniczyć zagrożenia w stosunku do podmiotów danych. Wyjaśnić należy w związku z tym, że istotą pseudonimizacji jest kodowanie polegające na procesie zastępowania pól identyfikacyjnych pseudonimami. Pseudonim może być generowany dla pojedynczego pola lub dla zestawu pól. Co szczególnie istotne dla podmiotów przetwarzających, różne zestawy danych dotyczących danej osoby zawsze posiadają jednakowy pseudonim. Umożliwia to grupowanie informacji o danej osobie i w ten sposób pozwala na dokonywanie wartościowych (ogólnych) analiz. Wymogiem wskazanym w rodo jest przy tym osobne przechowywanie informacji pozwalających przypisać dane osobowe konkretnemu podmiotowi. Warto więc już teraz bliżej zapoznać się z metodami pseudonimizacji danych. Bez wątpienia będą one odgrywały kluczową rolę w różnych projektach związanych z profilowaniem danych, w tym na potrzeby analiz Big Data. W art. 4 pkt 11 rozporządzenia wprowadzono nową definicję zgody podmiotu danych, rozbudowując ją w stosunku do dotychczasowych definicji zawartych w przepisach dyrektywy oraz w uodo. Zgoda w wielu przepisach rodo stanowi przesłankę legalizującą przetwarzanie. Zgodnie z nową definicją zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych. Na gruncie rozporządzenia skuteczna zgoda wymaga więc łącznego spełnienia trzech elementów. Po pierwsze, swobody jej wyrażenia przez 3

5 podmiot danych. Musi mieć on zapewniony rzeczywisty wybór. Oznacza to, że niezłożenie takiego oświadczenia nie będzie się wiązało z negatywnymi konsekwencjami dla niego. Przyjmuje się, że warunek ten nie jest przeważnie spełniony w relacjach pomiędzy pracodawcą a pracownikiem czy obywatelem a organem publicznym. Zgody nie można również wymusić, np. uzależniając zawarcie umowy od jej udzielenia na przetwarzanie na inny cel (np. marketing). Po drugie, zgoda musi być konkretna i świadoma. W tym celu podmiot danych powinien przed podjęciem tej decyzji otrzymać odpowiednie informacje dotyczące planowanego przetwarzania informacji go dotyczących. Istotne znaczenie odgrywa przy tym język, dostępność i widzialność tej informacji, co może mieć znaczenie np. w przypadku różnego rodzaju okienek w serwisach internetowych. Wymóg konkretności oznacza z kolei, że podmiot danych powinien zostać zapytany ponownie o zgodę w sytuacji, w której kolejne rodzaje operacji przetwarzania informacji o nim zostaną dodane lub zmienione w sposób, którego nie mógł przewidzieć na etapie wyrażania pierwotnej zgody. Po trzecie, zgoda może być wyrażona w formie oświadczenia albo konkludentnego działania zainteresowanej osoby. W pierwszej sytuacji chodzi o oświadczenie woli zarówno w formie ustnej, jak i pisemnej. W stosunku do drugiego sposobu w definicji zgody podkreślono wymóg jej wyraźności, co oznacza, że nie może być wątpliwości, że podmiot danych swoim zachowaniem chciał ją rzeczywiście wyrazić. Wyklucza to przyjęcie jej skutecznego złożenia w przypadku braku aktywności ze strony podmiotu danych. Niedopuszczalne jest również podejmowanie prób jej zbierania w postaci różnego rodzaju sposobów domyślnego zaznaczania zgody na formularzach, stronach internetowych itd. Zgodnie z rozwiązaniem przyjętym w rodo ciężar dowodu pozyskania zgody spoczywać będzie, w obu wyżej opisanych sposobach, na administratorze danych (art. 7 ust.1). W rodo wprowadzono dwa nowe uprawnienia podmiotów danych, zwiększające ich uprawnienia w zakresie kontroli nad danymi. Pierwsze z nich określane jest jako prawo do usunięcia danych (prawo do bycia zapomnianym). Składają się na niego dwa cząstkowe uprawnienia. W pierwszej kolejności prawo żądania usunięcia danych, które może zostać zrealizowane w sytuacjach wymienionych w art.17 a f. Novum w tym zakresie, w stosunku do dotychczasowego stanu prawnego, jest objęcie szczególną ochroną osób, które w czasie gdy miały status małoletnich same bądź poprzez przedstawicieli ustawowych wyraziły zgodę na przetwarzanie ich danych w związku z usługami społeczeństwa informacyjnego (np. rejestracja w serwisach społecznościowych). Taka sytuacja jest bowiem odrębną podstawą do żądania usunięcia danych (art. 17 ust. 1 pkt f). Drugim cząstkowym uprawnieniem, składającym się na prawo do bycia zapomnianym i znajdującym zastosowanie przede wszystkim przy przetwarzaniu danych w Internecie, jest obowiązek administratora, który upublicznił dane i do którego 4

6 następnie skierowane zostało żądanie ich usunięcia, poinformowania o tym żądaniu innych (kolejnych) administratorów danych, po to, aby usunęli wszelkie łącza (np. linki) do tych danych, jak również ich kopie (lub ich replikację). Zgodnie z rodo powyższy obowiązek należy zrealizować, biorąc pod uwagę dostępną technologię i koszt realizacji, co niewątpliwie osłabi możliwość realizacji tego prawa w każdym przypadku (art. 17 ust. 2). Drugie z nowych uprawnień kontroli nad danymi jest określane jako prawo do przenoszenia danych (art. 20). Jego celem jest zwiększenie kontroli nad własnymi danymi w kontekście zautomatyzowanego przetwarzania danych, szczególnie tam, gdzie dane są przetwarzane w związku z różnymi usługami społeczeństwa informacyjnego. Przykładowo chodzi o uniknięcie sytuacji, gdy format danych stosowany przez administratora danego serwisu społecznościowego utrudni lub wręcz uniemożliwi przeniesienie danych osobowych zgromadzonych w profilu użytkownika serwisu do innego dostawcy tego rodzaju usług. Z tych przyczyn w rodo wprowadzono dwa nowe obowiązki. Po pierwsze, podmiot danych ma prawo otrzymać dane go dotyczące w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Ma również prawo przesłać te dane innemu administratorowi, bez przeszkód ze strony administratora, od którego dane będą wydobywane (art. 20 ust. 1). Po drugie, w przypadkach gdy jest to technicznie możliwe podmiot danych może żądać od administratora przesłania jego danych bezpośrednio innemu administratorowi (art. 20 ust. 2). Warto podkreślić, że te uprawnienia mogą zostać zrealizowane sytuacjach, w których podmiot danych wyraził zgodę lub informacje o nim, są niezbędne do wykonania umowy z administratorem danych (art. 20 ust. 1 pkt a). Jedną z głównych koncepcji leżących u podstaw przepisów rodo dotyczących obowiązków w zakresie ochrony danych osobowych jest tzw. zasada rozliczalności. Jej istotą jej wymóg proaktywnego podejścia podmiotów przetwarzających dane osobowe do zapewnienia odpowiednich gwarancji ochrony danych. Powinni oni bowiem z własnej inicjatywy, a nie w wyniku interwencji organów nadzorczych lub podmiotów danych, podejmować różnego rodzaju działania realizujące ten cel. Wyróżnić należy w związku z tym dwie podstawowe grupy aktywności. Po pierwsze, zastosowanie wewnątrz danej organizacji wielu różnych mechanizmów zabezpieczenia i kontroli danych, takich jak np. ocena skutków planowanych operacji na danych (art. 32 i nast.). Po drugie, zapewnienie odpowiedniej dokumentacji, która pozwoli organom nadzorczym czy podmiotom danych na weryfikację, że tego rodzaju działania zostały podjęte, np. obowiązek dokumentowania działań podjętych w sytuacji naruszenia ochrony danych (art. 33 ust. 5). W powyższym kontekście w art. 25 rodo nałożono na administratorów nowe obowiązki w zakresie podjęcia działań określanych jako obowiązek uwzględnienia ochrony danych w fazie projektowania 5

7 (privacy by design), jak też samego już przetwarzania danych (privacy by default). Realizacja tych obowiązków może przybrać różną postać, np. wdrożenia rozwiązań informatycznych pozwalających na jak najszybszą pseudonimizację danych czy też wprowadzenia rozwiązań informatycznych ułatwiających podmiotom danych monitorowanie przetwarzania dotyczących ich danych osobowych. Bez wątpienia należyte rozumienie, a następnie wykonanie wyżej wymienionych obowiązków stanowić będzie duże wyzwanie dla firm informatycznych dostarczających różnego rodzaju aplikacje do przetwarzania danych osobowych. W dotychczasowym stanie prawnym nie było generalnego obowiązku informowania o stwierdzonych naruszeniach ochrony danych osobowych. Obowiązek ten występował tylko w regulacjach sektorowych. Istotną zmianę w tym zakresie wprowadza rodo. W przepisach rozporządzenia przewidziano przy tym dwa obowiązki powiadomień w stosunku do organów ds. ochrony danych osobowych (w Polsce GIODO) oraz podmiotów danych, dla których ta sytuacja może stanowić zagrożenie dla ich praw i wolności. Administratorzy danych oraz procesor będą zobowiązani do zgłoszenia naruszenia ochrony danych osobowych Generalnemu Inspektorowi (art. 33 ust. 1). Zgłoszenie to powinno nastąpić bez zbędnej zwłoki i jeżeli jest to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że jest mało prawdopodobne, aby naruszenie skutkowało zagrożeniem dla praw i wolności osób fizycznych (art. 33 ust. 1). Ważne Zgłoszenie po czasie wyznaczonym w rodo wymagać będzie uzasadnionego wyjaśnienia. Zgłoszenia powinny między innymi opisywać charakter naruszenia ochrony danych osobowych, a także imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub innej osoby, od której będzie można uzyskać więcej informacji o naruszeniu. Obowiązkiem powiadamiania będą objęci również procesorzy, którzy bez zbędnej zwłoki powinni zawiadomić administratorów o stwierdzonych naruszeniach ochrony danych osobowych (art. 33 ust. 2). Jeżeli naruszenie danych osobowych może mieć duże zagrożenie dla praw i wolności podmiotów danych osobowych, administrator bez zbędnej zwłoki będzie musiał zawiadomić również podmiot danych (art. 34). Zawiadomienie powinno zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej odnośnie do minimalizacji potencjalnych jego skutków. 6

8 Naruszenia mogą przybrać różną postać np. kradzież tożsamości, szkoda majątkowa, naruszenie dóbr osobistych. Z tych przyczyn, celem ich minimalizacji, szczególnie istotne jest jak najszybsze powiadomienie podmiotów danych o naruszeniu. Działania mające na celu wdrożenie środków przeciwko tym lub podobnym naruszeniom ochrony danych mogą zostać wykonane już po tym powiadomieniu. Ważne W pewnych przypadkach, określonych w art. 34 ust. 3 pkt a c, zawiadomienie podmiotu danych nie będzie jednak konieczne. Będzie tak między innymi wówczas, gdy spełnienie obowiązku powiadomienia wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wystarczające będzie powiadomienie w postaci komunikatu publicznego lub środka o podobnym rodzaju. Przepisy dotyczące transferu danych do państwa trzeciego (art. 44 i n.) stanowiły jedną z najbardziej dyskutowanych grup zagadnień prawnych w ramach prac nad rodo. Warto w związku z tym w omówieniu najważniejszych postanowień rodo poświęcić im nieco więcej miejsca. Na wstępie należy podkreślić, że inaczej niż to było dotychczas adresatem obowiązków transferowych będzie nie tylko administrator danych, ale i procesor. Będzie on więc mógł samodzielnie występować do organów krajowych ds. ochrony danych osobowych o wydawanie odpowiednich zezwoleń w przypadkach, w których przepisy rodo ich wymagają (np. art. 46 ust. 3). Z drugiej strony w przypadku naruszenia zobowiązań określonych w art będzie mógł być adresatem decyzji nakładającej na niego kary pieniężne określone w art. 83 ust. 5 pkt c. Przepisy rodo nie określają, które operacje na danych osobowych można zaliczyć do kategorii przekazywania danych osobowych do państwa trzeciego. Bez wątpienia mieścić się w nim będą różne przypadki fizycznego wypływu danych osobowych poza terytorium Unii Europejskiej. Bardziej skomplikowana jest ocena dostępu z terytorium państwa trzeciego do danych osobowych zgromadzonych w Unii Europejskiej. Istotnej wskazówki dostarczył nam w tym zakresie Trybunał Sprawiedliwości Unii Europejskiej w wyroku w sprawie Lindquist, który znajduje zastosowanie również na gruncie rodo. W orzeczeniu tym Trybunał stwierdził, że w przypadku umieszczania danych osobowych na witrynie internetowej utrzymywanej przez inny podmiot (uploading) nie mamy do czynienia z transferem danych osobowych do państwa trzeciego, w sytuacji gdy te dane osobowe są umieszczane na stronie hostowanej w jednym z państw członkowskich Unii Europejskiej. Interesującą i mającą istotne znaczenie praktyczne kwestią jest również ocena, czy przepisy rodo dotyczące transferu danych obejmować będą tzw. reeksport danych. Chodzi tu w szczególności o sytuacje, w których administrator lub procesor z państwa trzeciego powierza przetwarzanie danych 7

9 osobowych procesorowi w jednym z państw członkowskich Unii Europejskiej, a następnie chce zwrotnie wytransferować dane osobowe do państwa trzeciego. W świetle treści przepisów rodo, w tym dotyczących zakresu terytorialnego ich stosowania (art. 3), należy przyjąć, że postanowienia rozporządzenia znajdują również zastosowanie do reeksportu danych. Przy określaniu warunków dopuszczalności przekazywania danych do państwa trzeciego przyjęto zasadę, że eksporter danych (administrator lub procesor) powinien oprzeć transfer na jednym z mechanizmów transferowych określonych w rozdziale V rodo, tj.: a) decyzji Komisji Europejskiej stwierdzającej odpowiedniość ochrony w państwie trzecim (art. 45 ust. 1), b) odpowiednich gwarancjach ochrony danych osobowych (art ) lub c) wyjątkach określonych w art. 49. W świetle przepisów rodo nie jest jasne, czy eksporter danych (administrator lub procesor) ma pełną swobodę wyboru określonego mechanizmu (podstawy), czy też powinien je stosować w określonej kolejności. Szczególnie istotna jest odpowiedź na pytanie, czy można oprzeć się na wyjątku (np. zgodzie podmiotu danych), w sytuacji gdy możliwe jest zastosowanie jednej z gwarancji, o której mowa w art Niestety przepisy rozporządzenia nie dają jednoznacznej odpowiedzi na powyższe pytanie. W szczególności nie wskazano, który z mechanizmów jest ważniejszy. Niewątpliwie kwestia ta o bardzo dużym znaczeniu praktycznym będzie wymagała szybkiego wyjaśnienia. Zgodnie z nowym modelem stwierdzania adekwatności ochrony w państwie trzecim tę kompetencję przyznano wyłącznie Komisji Europejskiej (art. 45 ust. 1). Możliwości takiej pozbawione zostały więc krajowe organy do spraw ochrony danych osobowych, jak również administratorzy danych. Wprowadzenie takiego rozwiązania jest ściśle związane z ideą harmonizacji prawa ochrony danych osobowych w Unii Europejskiej, realizowanej między innymi przez zwiększenie kompetencji organów unijnych, tj. Komisji Europejskiej, a także Europejskiej Rady Ochrony Danych Osobowych, której przyznano uprawnienie do konsultowania decyzji. Wymienione w art rodo gwarancje ochrony można podzielić na dwie podstawowe grupy. Pierwszą stanowią te z nich, których stosowanie nie wymaga szczególnej (indywidualnej) zgody organu ds. ochrony danych osobowych (w Polsce GIODO). Zaliczyć do nich należy: a) wiążące reguły korporacyjne zatwierdzone wcześniej przez krajowy organ ds. ochrony danych osobowych, b) standardowe klauzule przyjęte przez Komisję Europejską, c) standardowe klauzule przyjęte przez krajowy organ ds. ochrony danych osobowych i zatwierdzone następnie przez Komisję Europejską, zgodnie z tzw. procedurą sprawdzającą, d) zatwierdzone kodeksy postępowania oraz e) zatwierdzone mechanizmy certyfikacji. 8

10 Do drugiej grupy gwarancji ochrony, których stosowanie wymaga zezwolenia organu ds. ochrony danych osobowych, należą natomiast: ad hoc klauzule umowne oraz przepisy, które zostaną zamieszczone w porozumieniach administracyjnych między organami lub podmiotami publicznymi i w których przewidziane będą egzekwowalne i skuteczne prawa podmiotów danych. Zawarte w rodo wyjątki, na podstawie których mimo braku odpowiedniej ochrony i braku posłużenia się ww. odpowiednimi gwarancjami nadal będzie można przekazywać dane do państwa trzeciego, są w istotnej części zbieżne z funkcjonującymi już w dotychczasowym stanie prawnym. Warunkiem ich zastosowania generalnie jest bowiem również: zgoda, żądanie lub interes podmiotu danych (art. 49 a c i f), interes publiczny (art. 49d), realizacja roszczeń prawnych (art. 49e) czy przekazywanie danych zawartych w ogólnodostępnych rejestrach (art. 49g). W przypadku niektórych przepisów dokonano jednak ich doprecyzowania. Za istotną zmianę uznać należy w szczególności wprowadzenie wymogu poinformowania podmiotu danych, na etapie zbierania zgody, o ewentualnych zagrożeniach, z którymi ze względu na brak decyzji stwierdzającej odpowiedni poziom ochrony oraz na brak odpowiednich gwarancji może się dla niego wiązać transfer danych. Zupełnie nowy konstrukcyjnie wyjątek wprowadzono z kolei w art. 49 ust. 1. Jego celem jest zezwolenie na transfer danych w interesie administratora danych, który nie może oprzeć się ani na podstawach wskazanych w art. 45 i 46, ani na żadnym z wyjątków określonych w art. 49 a g. W takim przypadku może on dokonać transferu, ale przy zastrzeżeniu spełnienia dodatkowych przesłanek: a) transfer nie może być powtarzalny, b) powinien dotyczyć tylko ograniczonej liczby podmiotów i c) być realizowany z uwagi na ważne uzasadnione interesy realizowane przed administratora danych, wobec którego charakteru nadrzędnego nie mają interesy ani prawa podmiotu danych. Dodatkowo administrator danych powinien ocenić wszystkie okoliczności przekazania danych, a także poinformować o transferze inaczej niż w przypadku innych wyjątków krajowy organ ds. ochrony danych osobowych, a także podmiot danych, o którym informacje zostaną przekazane. 9

11 W dotychczasowym stanie prawnym dobór sankcji za nieprzestrzeganie przepisów o ochronie danych osobowych pozostawiono ustawodawstwu krajowemu. Jak wykazuje ich analiza, w większości przypadków wprowadzone rozwiązania przewidują sankcje dwojakiego rodzaju administracyjne i/lub karne. W przypadku tych pierwszych górna granica kar pieniężnych jako sankcji administracyjnych o ile w ogóle są one przewidziane nie przekracza kwoty kilkudziesięciu tysięcy euro, a jedynie w skrajnych przypadkach organy krajowe nakładają kary o wyższej wysokości. Przepisy rodo wprowadzają radykalną zmianę w powyższym względzie. Zgodnie bowiem z art. 83 ust. 5, naruszenia przepisów o ochronie danych osobowych mogą podlegać grzywnie administracyjnej sięgającej w niektórych przypadkach nawet 20 mln euro, a w przypadku przedsiębiorstwa sięgającej 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa). Niewątpliwie istotnie zwiększa ryzyko prawne związane z przestrzeganiem przepisów o ochronie danych osobowych. Xawery Konarski adwokat, starszy wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska 10

12 Redaktor: Wioleta Szczygielska ISBN: E-book nr: Wydawnictwo: Adres: Kontakt: 2HH0467 Wydawnictwo Wiedza i Praktyka sp. z o.o Warszawa, ul. Łotewska 9a Telefon , faks , cok@wip.pl NIP: Numer KRS: Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego: zł Copyright by: Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa