Już za kilka miesięcy, bo 25 maja 2018 roku wszyscy przedsiębiorcy przetwarzający w związku z prowadzoną działalnością dane osobowe będą zobowiązani przestrzegać nowych unijnych przepisów w tym zakresie. Na przystosowanie się do nowych uregulowań zastępujących dotychczasowe prawo krajowe Unia wyznaczyła okres 2 lat od ich wejścia w życie, czyli od maja 2016 roku.

Do niedawna poszczególne kraje Unii Europejskiej miały swoje oddzielne przepisy dotyczące przetwarzania i ochrony danych osobowych, które jedynie musiały spełniać wytyczne unijnej Dyrektywy 95/46/WE (w Polsce była to Ustawa o ochronie danych osobowych z dn. 29 sierpnia 1997 r.). Dość spore różnice w uregulowaniach krajowych rodziły wiele problemów na gruncie prawnym, natomiast Dyrektywa stworzona w latach 90. ubiegłego wieku w dobie gwałtownych zmian technologicznych stała się po prostu przestarzała. To skłoniło do stworzenia dla całej Unii Europejskiej jednolitych i przystających do współczesnych realiów przepisów, które zostały ujęte w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. „w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE”. Rozporządzenie zwane RODO jest aktem prawnym obowiązującym bezpośrednio w każdym kraju członkowskim. Oznacza to, że nie jest konieczne wydawanie krajowych aktów implementujących unijne przepisy.

W porównaniu do dotychczasowych polskich przepisów w zakresie ochrony przetwarzanych danych osobowych Rozporządzenie Parlamentu Europejskiego różni się pod wieloma względami:

• rozszerza definicję danych osobowych, uwzględniając nowe rodzaje danych wpływających na identyfikację osoby;
• wprowadza szereg nowych pojęć związanych m.in. z nowoczesnymi technologiami internetowymi np.: profilowanie czy dane biometryczne;
• wprowadza zasady przetwarzania danych osobowych, które musi być m.in.: zgodne z prawem, rzetelne, przejrzyste, uzasadnione, prawidłowe, ograniczone czasowo (przez okres nie dłuższy, niż jest to niezbędne do celów), zapewniające bezpieczeństwo;
• daje nowe uprawnienia osobom, których dane są przetwarzane np.: prawo do bycia zapomnianym oraz do przenoszenia danych;
• wprowadza konieczność uwzględnienia ochrony danych już na etapie projektowania systemów ich przetwarzania (privacy by design oraz privacy by default), a także konieczność oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych;
• ogranicza tzw. profilowanie poprzez m.in. wskazanie konkretnych sytuacji, kiedy może być ono wykorzystywane oraz wprowadzenie prawa do sprzeciwu osób wobec przetwarzania ich danych w celach marketingowych;
• wprowadza pojęcie inspektora ochrony danych (zastąpi on administratora bezpieczeństwa informacji);
• precyzuje i upraszcza zasady przetwarzania danych przez grupy przedsiębiorców (grupy kapitałowe), wprowadzając np. mechanizm one-stop-shop dla firm operujących na terenie kilku państw UE;
• nakłada obowiązek zgłaszania bez zbędnej zwłoki (do 72 godzin) przez administratora danych wszelkich stwierdzonych naruszeń ochrony danych do organu nadzorczego.

W RODO znalazły się również przepisy dotyczące nakładania kar administracyjnych przez organy nadzorcze z tytułu nieprzestrzegania uregulowań zawartych w Rozporządzeniu. Niestety kary te mogą być bardzo dotkliwe dla przedsiębiorstw, ponieważ ich maksymalną wysokość w zależności od rodzaju naruszenia przepisów ustalono na 2 lub 4% całkowitego rocznego obrotu z poprzedniego roku obrotowego.

Warto podkreślić, że Ministerstwo Cyfryzacji już pracuje nad wewnętrznymi krajowymi regulacjami, mającymi na celu skuteczne egzekwowanie przepisów Rozporządzenia na gruncie polskim (w marcu 2017 r. zaprezentowano np. projekt nowej ustawy o ochronie danych osobowych). Polscy przedsiębiorcy powinni swoje procedury przetwarzania i ochrony danych już zacząć dostosowywać bezpośrednio do przepisów RODO, ponieważ mają na to coraz mniej czasu.

 Monika Zygmunt - Jakuć (Dyrektor Zarządzający "bez owijania")