Trwająca od 2012 roku reforma europejskich przepisów dotyczących ochrony danych osobowych dobiegła końca. 4 maja 2016 roku w Dzienniku Urzędowym Unii Europejskiej opublikowany został tekst nowego Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Powyższe rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich (bez konieczności jego implementacji), a nowe unijne przepisy obowiązywać będą od 25 maja 2018 roku. Oznacza to, że podmioty przetwarzające dane osobowe mają dwa lata na dostosowanie się do wymogów Rozporządzenia. Jakie rozwiązania przynosi nowa regulacja i jakim obowiązkom będą musieli sprostać przedsiębiorcy przetwarzający dane osobowe? Podstawowe aspekty wyjaśniamy poniżej.

Harmonizacja prawa

Zasadniczym celem regulacji jest zapewnienie wysokiego i równorzędnego we wszystkich państwach członkowskich stopnia ochrony danych osobowych. Powyższemu służyć będzie wzmocnienie i doprecyzowanie praw osób, których dane są przetwarzane, a także zapewnienie takich samych uprawnień w zakresie egzekwowania przepisów o ochronie danych oraz przyjęcie równorzędnych we wszystkich państwach członkowskich kar za naruszenia przepisów. Co istotne, unijna regulacja obejmuje nie tylko podmioty z Unii Europejskiej, ale także podmioty z innych państw, które przetwarzają dane obywateli UE chociażby w związku ze świadczeniem usług w Internecie.

Więcej uprawnień obywateli

Naczelną ideą unijnego rozporządzenia pozostaje zasada przejrzystości przetwarzania danych osobowych. Zasada ta wymaga, aby wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne oraz sformułowane w sposób jasny i przystępny. Odnosi się to przede wszystkim do obowiązku informowania osób, których dane są przetwarzane, o tożsamości administratora, celach przetwarzania oraz ich uprawnieniach. Nowym rozwiązaniem przyjętym na gruncie Rozporządzenia jest uprawnienie osób fizycznych do żądania przenoszenia swoich danych osobowych do innego administratora, co wiąże się chociażby z ułatwieniami przy zmianie usługodawcy czy operatora. Dookreślone zostało także prawo do zaprzestania przetwarzania danych i ich usunięcia („prawo do bycia zapomnianym”).

Obowiązki administratorów

W art. 25 Rozporządzenia przewidziany został obowiązek uwzględnienia ochrony danych już w fazie projektowania (privacy by design) oraz obowiązek domyślnej ochrony danych (privacy by default). Pierwszy ze wskazanych oznacza obowiązek administratora do wdrażania odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu skutecznej realizacji zasad ochrony danych (np. „pseudonimizacja”), zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania. Drugi z obowiązków to obowiązek wdrożenia takich środków technicznych i organizacyjnych, które zagwarantują, aby domyślnie były przetwarzane wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Administratorzy danych będą więc zobligowani do tego, aby domyślne ustawienia urządzeń (np. aplikacji na smartfony) przewidywały jak najmniejszy zakres pobierania danych.

W przypadku naruszenia ochrony danych osobowych administrator zobowiązany będzie do zgłoszenia tego faktu właściwemu organowi nadzorczemu – w Polsce jest to Generalny Inspektor Ochrony Danych Osobowych – i to nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.

Udogodnieniem dla przedsiębiorców jest natomiast wprowadzenie zasady One-Stop-Shop, która oznacza, że administrator przetwarzający dane osobowe w różnych krajach Unii odpowiada przed jednym organem ochrony danych, niezależnie od tego, w ilu państwach Unii prowadzi działalność.

Wysokie sankcje

Jedną z najdotkliwszych dla przedsiębiorców zmian wprowadzonych Rozporządzeniem jest nadanie organom nadzorczym poszczególnych państw (np. GIODO) kompetencji do nakładania administracyjnych kar finansowych za naruszenia przepisów unijnego rozporządzenia. Naruszenie podstawowych zasad przetwarzania danych oraz praw osób, których dane są przetwarzane, może wiązać się z nałożeniem kary w wysokości nawet do 20.000.000 euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Dotkliwe sankcje mają wpłynąć na przestrzeganie przepisów dotyczących ochrony danych.

Warto więc już teraz zastanowić się nad dostosowaniem mechanizmów, rozwiązań, regulaminów czy umów do unijnej regulacji, rozpoczynając od inwentaryzacji aktualnych zasobów danych osobowych w firmie oraz oceny zasad ich przetwarzania. Lista zadań do wykonania może bowiem okazać się długa, a dwuletni okres na dostosowanie do unijnych przepisów niewystarczający.