Parlament Europejski przyjął tzw. Ogólne Rozporządzenie o Ochronie Danych Osobowych, tym samym kończąc ponad czteroletnie prace nad reformą prawa unijnego w zakresie danych osobowych.

Rozporządzenie wejdzie w życie 20 dni od dnia publikacji w Dzienniku Urzędowym UE (maj/czerwiec 2016 r.), wyznaczając dwuletni okres przygotowawczy w trakcie, którego należy dostosować przetwarzanie danych do nowych wymogów. Aktualnie obowiązujące przepisy dotyczące ochrony danych osobowych – Dyrektywa 95/46/WE oraz implementująca ją polska Ustawa o ochronie danych osobowych z 1997 r. zostają zastąpione Rozporządzeniem. Głównym celem reformy jest wzmocnienie praw osób, których dane dotyczą, wprowadzenie jednolitej regulacji w całej UE, uwzględnienie rozwoju technologii, w tym głównie dotyczących społeczeństwa cyfrowego oraz wprowadzenie skuteczniejszych mechanizmów egzekucyjnych (w tym wysokich kar finansowych).

W odróżnieniu od dotychczas obowiązującej Dyrektywy, przepisy Rozporządzenia obowiązują i wymagają stosowania w sposób bezpośredni, bez konieczności krajowej implementacji. Rozporządzenie upoważnia jednak państwa członkowskie do przyjmowania przepisów szczegółowych w określonych obszarach (np. dane przetwarzane w kontekście zatrudnienia, tajemnica służbowa), które mogą doprecyzowywać zasady ochrony wynikające z Rozporządzenia.

Rozporządzenie w sposób gruntowny reformuje unijne i krajowe ramy prawne w zakresie ochrony danych osobowych, w tym głównie koncentrując się na wzmocnieniu prawa osób fizycznych w tym zakresie (idea „przywrócenia osobom fizycznym kontroli nad ich danymi”), a co za tym idzie nakładając dodatkowe obowiązki na przedsiębiorców.

Do najważniejszych zmian należy objęcie przepisami Rozporządzenia także podmiotów z siedzibą poza UE, o ile oferują osobom przebywającym w Unii swoje towary lub usługi lub monitorują ich zachowania (a więc np. Google czy Facebook również będą musiały stosować przepisy Rozporządzenia). Następuje silne wzmocnienie uprawnień osób fizycznych, poprzez m.in. wprowadzenie nowych uprawnień takich jak m.in. prawo do przenoszenia danych, prawo do bycia zapomnianym. Nowością jest wprowadzenie powszechnego obowiązku zgłaszania przez przedsiębiorców do GIODO naruszeń danych osobowych, a w poważniejszych przypadkach informowanie także osób, których dane zostały zagrożone. Dodana została także szczegółowa regulacja tzw. profilowania oraz ochrony danych osobowych dzieci; a także ułatwienie transferów danych do państw trzecich. Zniknie natomiast obowiązek rejestracji baz danych w GIODO.

Istotnym ułatwieniem dla przedsiębiorców prowadzących działalność w więcej niż jednym kraju UE będzie wprowadzenie mechanizmu One-Stop-Shop (tzw. punktu kompleksowej obsługi), zgodnie z którym organ nadzorczy głównej jednostki przedsiębiorcy będzie właściwy do podejmowania działań jako główny organ nadzorczy dla przetwarzania danych prowadzonego przez dany podmiot.

W końcu, wprowadzone zostają bardzo wysokie kary, które będą mogły być nakładane na podmioty naruszające przepisy Rozporządzenia, w tym kary finansowe w wysokości do 20.000.000 EUR, lub – w przypadku przedsiębiorstw – w wysokości do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Co także ważne, Rozporządzenie wprowadza także obowiązek nie tylko przetwarzania danych zgodnie z nowymi przepisami, ale także obowiązek wykazania takiej zgodności z prawem. Służyć mają temu rozmaite mechanizmy, w tym nowa możliwość uzyskania certyfikacji i znaków jakości potwierdzających wypełnianie przez przedsiębiorcę przepisów o ochronie danych osobowych.

źródło: Komisja Europejska

Kan