Z dniem 25 maja 2018 roku zacznie obowiązywać na terenie Unii Europejskiej rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (tzw. ogólne rozporządzenie o ochronie danych). W odróżnieniu od dotychczas obowiązującej dyrektywy, przepisy rozporządzenia obowiązują i wymagają stosowania w sposób bezpośredni, bez konieczności krajowej implementacji. Tylko niektóre, wyraźnie wskazane w rozporządzeniu kwestie, będą mogły zostać doprecyzowane na poziomie krajowym.
Rozporządzenie wprowadza szereg rewolucyjnych zmian w zakresie ochrony danych osobowych. Przede wszystkim poszerza obowiązki informacyjne przedsiębiorców. Dodatkowo wymaga, aby informacje były przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W związku z powyższym konieczne jest opracowanie przez przedsiębiorców nowych katalogów informacji przekazywanych osobom, których dane są przetwarzane.
Ponadto, rozporządzenie przyznaje osobie, której dane dotyczą prawo otrzymywania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczących, które dostarczyła administratorowi. Taka osoba może również żądać by jej dane osobowe zostały przesłane przez administratora, innemu administratorowi.
Osoba, której dane dotyczą może także, przy zaistnieniu odpowiednich przesłanek, żądać od administratora danych niezwłocznego usunięcia dotyczących jej danych osobowych (tzw. „prawo do bycia zapomnianym”).
Realizacja obowiązków administratora wynikających z powyżej opisanych praw podmiotów danych, będzie wymagała opracowania odpowiednich wewnętrznych procedur a także interpretacyjnych formatów, które umożliwią przenoszenie danych.
Na mocy rozporządzenia administrator danych będzie zobowiązany przeprowadzać analizę ryzyka właściwego dla przetwarzania danych oraz wdrażać środki administracyjne i techniczne minimalizujące to ryzyko. Środki te powinny zapewniać odpowiedni poziom bezpieczeństwa przy uwzględnieniu stanu wiedzy technicznej oraz kosztów ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie.
W przypadku naruszenia ochrony danych administrator będzie miał obowiązek bez zbędnej zwłoki (w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia), powiadomić o tym fakcie właściwy organ nadzorczy. Ponadto, administrator musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia danych osobowych, jego skutki oraz podjęte działania zaradcze.
Niezwykle istotnym jest, że w przypadku niewypełniania obowiązków wynikających z rozporządzenia, na administratora danych będzie mogła zostać nałożona kara pieniężna w wysokości do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku, przy czym zastosowanie będzie miała wyższa ze wskazanych kwot.
Z uwagi na charakter niniejszej publikacji, powyżej przedstawiono jedynie część spośród nowych regulacji, jednak należy podkreślić, że zakres zmian w prawie ochrony danych osobowych jest znacznie większy. Przedsiębiorców ogólne rozporządzenie o ochronie danych może przytłoczyć nie tylko swoją objętością, ale także zakresem i złożonością obowiązków, które na nich nakłada. Dlatego warto już teraz podjąć działania mające na celu wprowadzenie rozwiązań zapewniających zgodności z postanowieniami rozporządzenia.