W dniu 4 maja 2016 w Dzienniku Urzędowym UE L 119 zostały opublikowane oficjalne teksty następujących aktów prawnych składających się na reformę ochrony danych:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW

Zgodnie z art. 99 ogólnego rozporządzenia o ochronie danych, rozporządzenie wchodzi w życie 20 dnia po publikacji w Dzienniku Urzędowym UE, a będzie stosowane od dnia 25 maja 2018 r. natomiast dyrektywa wchodzi w życie pierwszego dnia po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Jakie zmiany czekają nas więc od roku 2018? Można je podzielić na siedem głównych obszarów;

1. Pseudonimizacja danych osobowych –czyli przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są Objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
2. Modyfikacja konstrukcji zgody na przetwarzanie danych – Zgodnie z nową definicją „zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych.
3. Zwiększenie kontroli nad danymi osobowymi - wprowadzono dwa nowe uprawnienia podmiotów danych, zwiększając uprawnienia kontroli nad danymi: Prawo żądania usunięcia danych oraz Prawo do przenoszenia danych.
4. Privacy by design i privacy by default – Nałożono na Administratorów nowe obowiązki w zakresie podjęcia działań określanych jako obowiązek uwzględniania ochrony danych w fazie projektowania (privacy by design), jak i samego już przetwarzania danych (privacy by default).
5. Informowanie o naruszeniach ochrony danych – ADO oraz procesor będą zobowiązani do zgłoszenia naruszenia ochrony danych osobowych Generalnemu Inspektorowi „bez zbędnej zwłoki”, i jeżeli jest to wykonalne, nie później niż w terminie 72h po stwierdzeniu naruszenia. Zgłoszenie po czasie wyznaczonym w rodo wymagać będzie „uzasadnionego wyjaśnienia”. Zgłoszenia powinny między innymi opisywać charakter naruszenia ochrony danych osobowych, a także imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub innej osoby, od której będzie można uzyskać więcej informacji o naruszeniu.
6. Transfer danych do państw trzecich – Przy określeniu warunków dopuszczalności przekazywania danych do państwa trzeciego przyjęto zasadę, że eksporter danych (administrator lub procesor) powinien oprzeć transfer na jednym z trzech „mechanizmów transferowych”:

a)      Decyzji Komisji Europejskiej stwierdzającej odpowiedniość ochrony w państwie trzecim,

b)      Odpowiednich gwarancji ochrony danych osobowych,

c)       Wyjątkach określonych w art. 44 rozporządzenia.

7. Wysokie kary pieniężne – przepisy wprowadzają radykalną zmianę w powyższym względzie. Zgodnie z art. 79 ust. 3-3aa, naruszenia przepisów o ochronie danych osobowych mogą podlegać grzywnie administracyjnej sięgającej w niektórych przypadkach nawet 20 mln euro, a w przypadku przedsiębiorstwa – sięgające 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Zmiany wejdą w życie dopiero w roku 2018 ale warto juz dziś wiedzieć jak się do nich przygotować.

Monika Zygmunt - Jakuć

Dyrektor Zarządzając "bez owijania"