NEWSLETTER - SPECIAL NEWS OUR SPECIAL NEWS - THE GDPR RODO - rozporządzenie dotyczące ochrony danych osobowych / The GDPR the general data protection regulation IN THIS ISSUE LEGAL NEWS OUR SPECIAL NEWS - THE GDPR 1.1 RODO - rozporządzenie dotyczące ochrony danych osobowych / The GDPR the general data protection regulation Parlament Europejski i Rada Unii Europejskiej przyjęły Rozporządzenie Ogólne o Ochronie Danych Osobowych (dalej: Rozporządzenie lub RODO ). Rozporządzenie wprowadza zasadniczą zmianę podejścia do ochrony danych osobowych. Każdy podmiot gromadzący i przetwarzający dane osobowe będzie miał obowiązek aktywnego zabiegania o ochronę prywatności na każdym etapie przetwarzania. Wcześniejsze regulacje musiały zostać uaktualnione, ponieważ obowiązujące do teraz przepisy zostały ustanowione w 1995 roku a więc np. trzy lata przed powstaniem Google. 2.1 Nowe obowiązki administratorów danych / New requirements for data administrators 3.1 Obowiązek powołania Inspektora Danych Osobowych / Obligation to appoint a Personal Data Inspector 4.1 Kto odpowiada za naruszenie obowiązków określonych w RODO? / Who is responsible for infringements of the obligations specified in the Regulation? 5.1 Wysokość kar za niezgodne z RODO przetwarzanie danych osobowych / Amount of penalties for non-compliant processing of personal data The European Parliament and the Council of the European Union have adopted the General Data Protection Regulation (the Regulation or GDPR ). The Regulation introduces fundamental changes to the approach to the protection of personal data. Every entity collecting and processing personal data will be required to actively ensure privacy at every stage of processing. Previous regulations needed to be updated because the rules that were in force had been drafted in 1995, three years before Google was created.
Od 25 maja 2018 r. we wszystkich państwach UE będą obowiązywać jednakowe zasady dotyczące ochrony danych osobowych. Będą musiały się do nich dostosować zarówno instytucje publiczne, przedsiębiorcy europejscy, a także przedsiębiorcy spoza Europy, którzy chcieliby działać na rynku europejskim, np. świadcząc obywatelom UE usługi przez Internet. As of 25 May 2018, all EU countries will have identical rules on the protection of personal data. Public institutions and European entities and non-european entities which want to operate on the European market, for example by providing EU citizens with Internet services, will all have to adapt to the new rules. Nowe obowiązki administratorów danych RODO przewiduje wiele obowiązków, które administratorzy danych (czyli przedsiębiorcy, którzy zarządzają danymi) powinni spełnić w celu zgodnego z prawem przetwarzania danych osobowych. Według założeń Rozporządzenia konsument zyska większą kontrolę nad swoimi danymi. Zgodnie z tzw. prawem do bycia zapomnianym będzie mógł np. zażądać od administratora danych, aby przestał je przetwarzać. Administrator, który upublicznił dane osobowe, będzie musiał poinformować innych administratorów, którzy je przetwarzają, o usunięciu wszelkich łączy do tych danych, kopii lub ich replikacji. Konsumenci będą mogli dowiedzieć się także jakie dane firma posiada, jak ich używa, czy korzysta z nich w celach marketingowych lub czy przekazuje je innym podmiotom. Każdy obywatel będzie mógł wystąpić do administratora z żądaniem przekazania danych osobowych w formie pliku pdf. Przedsiębiorca będzie więc zobowiązany wykazać które konkretnie dane wykorzystuje w swojej działalności. New requirements for data administrators The GDPR envisages a number of obligations that data administrators (entities which manage data) must comply with to lawfully process personal data. Due to the provisions of the Regulation consumers will gain more control over their data. In line with the principle of the right to be forgotten, they can, for example, demand that data administrators stop processing their data. A data administrator which has disclosed personal data will need to instruct other data administrators which process it to remove any links to that data or copies thereof or to cease to replicate it. Consumers will also be able to find out what data a company has, how that company uses it, whether it is used for marketing purposes, or whether the company provides it to other parties. Every citizen will be able to request that an administrator sends their personal data in the form of a.pdf file. An entity will therefore be required to demonstrate which data it uses in its business.
Możliwe będzie także, aby konsument zażądał od firmy, by tego samego pliku z informacją o jego danych osobowych nie wysyłała do niego, tylko bezpośrednio do innej firmy lub instytucji. Rozporządzenie dopuszcza niewykonalność spełnienia oczekiwań klienta w zakresie udostępniania mu informacji o przetwarzaniu danych osobowych. Należy jednak udowodnić, że dołożono wszelkich starań żeby dane udostępnić, ale jest to technicznie niemożliwe. It will also be possible for a consumer to request that a company sends the same file with personal information not themselves but directly to another company or institution. The Regulation allows for the inability to meet a consumer s expectations with regard to the providing of information about the processing of personal data. However, it must be demonstrated that all efforts have been made to make the data available but that that is technically impossible. Obowiązek powołania Inspektora Danych Osobowych Obligation to appoint a Personal Data Inspector Istotną zmianą w stosunku do aktualnego stanu prawnego będzie obowiązek powołania Inspektora Danych Osobowych odpowiednika obecnego administratora bezpieczeństwa informacji (ABI). Dotyczy to przede wszystkim tych przedsiębiorców, dla których przetwarzanie danych osobowych jest podstawą działalności oraz tych, którzy przetwarzają dane osobowe w zaawansowany technologicznie sposób. Zgodnie z regulacjami zawartymi w RODO inspektor ochrony danych pełni wyłącznie funkcję doradczą. Nie każde przedsiębiorstwo musi korzystać z jego pomocy. Art. 39 RODO wskazuje, że do zadań inspektora należy informowanie administratora o obowiązkach wynikających z Rozporządzenia, monitorowanie przestrzegania jego postanowień, prowadzenie szkoleń czy wydawanie zaleceń co do oceny skutków przetwarzania danych, a także współpraca z organem nadzorczym. A significant change in the current legal status will be the obligation to appoint a Personal Data Inspector equivalent to the current Information Security Administrator (ISA). This applies especially to those entities for whom processing personal data is the basis of their business and those who process personal data in a technologically advanced way. Pursuant to the Regulation, Personal Data Inspectors will fulfil a purely advisory function. Not every company will have to make use of the help of an inspector. Article 39 states that an inspector s task is to inform the administrator of the relevant obligations under the Regulation, monitor compliance with its provisions, conduct training, make recommendations on the impact of data processing and co-operate with the supervisory authority.
Należy zaznaczyć, że wdrożenie zasad wynikających z RODO jest obowiązkiem podmiotów dokonujących przetwarzania danych, a więc zarządu lub poszczególnych członków zarządu spółki. Kto odpowiada za naruszenie obowiązków określonych w RODO? Pomimo, iż sama kara za naruszenie obowiązków określonych w RODO zostanie nałożona na spółkę dopuszczającą się naruszenia, odpowiedzialność za jej zapłatę może ponieść również jej zarząd, ponieważ aktualnie obowiązujące przepisy dopuszczają odpowiedzialność członków zarządu wobec samych spółek, w których ci pełnią funkcje. Kodeks spółek handlowych w art. 293 i art. 483 przewiduje odpowiedzialność członków zarządu za szkodę wyrządzoną spółce. Przesłankami odpowiedzialności jest powstanie szkody po stronie spółki, związek przyczynowy pomiędzy działaniem lub zaniechaniem członka zarządu oraz wina. Jeżeli szkoda została wyrządzona przez kilka osób łącznie, odpowiadają oni solidarnie. Oznacza to, że spółka o naprawienie szkody może zwrócić się zarówno do wszystkich z nich jednocześnie, jak i wybrać niektórych w celu dochodzenia odszkodowania. Jeżeli jeden z członków zarządu nie został pozwany, to pozostali mogą mieć do niego regres o proporcjonalny zwrot kwot zapłaconych tytułem odszkodowania. It should be noted that the implementation of the Regulation s rules is the responsibility of data processing entities, i.e. the board or individual members of the board of directors of a company. Who is responsible for infringements of the obligations specified in the Regulation? Although the penalty for infringing the obligations will be imposed on the offending company, liability may also be borne by its management, as the rules currently in force allow directors to be liable to the companies they work for. The Code of Commercial Companies, in Art. 293 and Art. 483, envisages the responsibility of board members for damage caused to a company. A condition therefor is the causing of damage to a company and a causal link between an action or omission of a board member and the damage. If damage is caused by several people together, they are jointly and severally liable. This means that a company can seek compensation for damage from all of them at the same time or select certain individuals. If one of the members of a management is not sued, the others may have recourse to him/her for a proportionate return of the amounts paid for damages.
Wysokość kar za niezgodne z RODO przetwarzanie danych osobowych Za niezgodne z RODO przetwarzanie danych osobowych przewidziane zostały wysokie kary pieniężne. Może to być nawet do 20 mln euro lub do 4% całkowitego, rocznego, globalnego obrotu z poprzedniego roku. Istnieć będzie również obowiązek powiadomienia osób, których dane osobowe zostały, bądź mogły zostać poważnie naruszone. Taki obowiązek może generować poważne problemy, zarówno techniczne, organizacyjne, jak i finansowe, w szczególności w przypadku wycieku danych na dużą skalę. Niedopełnienie obowiązku notyfikacyjnego będzie mogło skutkować nałożeniem kary finansowej do 10 mln euro. Amount of penalties for non-compliant processing of personal data High penalties are envisaged for processing of personal data in ways that does not comply with the Regulation: they can be up to EUR 20 million or up to 4% of the total annual global turnover of an entity in the previous year. There will also be an obligation to notify persons whose personal data has been or may have been seriously affected. This obligation can result in serious problems, both technical, organisational and financial, especially in the case of a large-scale data leakages. Failure to comply with the obligation to notify can result in fines of up to EUR 10 million. RESPONSIBLE TEAM Marcin Milczarek, partner marcin.milczarek@ecovis.pl Piotr Pruś, partner piotr.prus@ecovis.pl Cezary Giziński, assistant cezary.gizinski@ecovis.pl Proszę kierować do nas pytania dotyczące zagadnień poruszonych w tym wydaniu. Please do not hesitate to ask us questions related to matters raised in this issue.
ECOVIS Milczarek i Wspólnicy Kancelaria Prawna Spółka Komandytowa ul. Belwederska 9A / 5 00-761 Warszawa Tel. + 48 22 400 19 02 Fax: + 48 22 404 32 64 E-mail: warsaw-law@ecovis.pl Website: www.ecovis.com. Facebook: Ecovis Milczarek i Wspólnicy Kancelaria Prawna Instagram: ecovis_poland Czym jest ECOVIS? 18. co do wielkości sieć doradcza na świecie według wartości obrotu 262 biura w 50 krajach na całym świecie ponad 4,600 pracowników 657 partnerów włącznie ze stowarzyszonymi wspólnikami amerykańskimi 359,7milionów USD łączna wartość obrotu firm tworzących sieć, oraz 28 % wzrost w stosunku do poprzedniego roku. What is ECOVIS? 18th largest professional network in the world by combined fee income 262 offices in 50 countries worldwide more than 4,600 in staff 657 USP incl. US cooperation partner 359,7,7 USD Million the combined fee income of independent member firms, a 28 % year-on-year increase. ECOVIS International doradcy podatkowi księgowi audytorzy prawnicy w: ECOVIS International tax advisors accountants auditors lawyers in: Argentynie, Australii, Austrii, Belgii, w Bułgarii, Brazylii, Chinach, Chorwacji, na Cyprze, w Czechach, Danii, Estonii, Finlandii, Francji, Grecji, Hiszpanii, Holandii, Hong Kongu, Indiach, Indonezji, Irlandii, Izraelu, Japonii, Katarze, Korei Płd., Liechtensteinie, na Litwie, w Luksemburgu, na Łotwie, w Macedonii, Malezji, na Malcie, w Meksyku, Niemczech, Norwegii, Nowej Zelandii, Polsce, Portugalii, Rosji, Rumunii, Serbii, Singapurze, na Słowacji, w Słowenii, Szwajcarii, Szwecji, na Tajwanie, w Tunezji, Turcji, na Ukrainie, w Urugwaju, Zjednoczonych Emiratach Arabskich, USA (zrzeszone firmy), na Węgrzech, w Wielkiej Brytanii, Wietnamie oraz we Włoszech. Argentina, Australia, Austria, Belgium, Bulgaria, Brazil, China, Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Great Britain, Greece, Hong Kong, Hungary, India, Indonesia, Republic of Ireland, Italy, Israel, Japan, Republic of Korea, Latvia, Liechtenstein, Lithuania, Luxembourg, Republic of Macedonia, Malaysia, Malta, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Qatar, Romania, Russia, Serbia, Singapore, Slovak Republic, Slovenia, South Africa, Spain, Sweden, Switzerland, Taiwan, Tunisia, Turkey, Ukraine, United Arab Emirates, Uruguay, USA (associated partners) and Vietnam. Copyright by ECOVIS Milczarek i Wspólnicy Kancelaria Prawna sp. k.