17 maja 2016 roku weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Zacznie ono bezpośrednio obowiązywać w krajowych porządkach prawnych od dnia 25 maja 2018 roku.
Ogólne Rozporządzenie o Ochronie Danych, zwane także „RODO” lub „GDPR” (dalej w niniejszej publikacji, jako „Rozporządzenie” lub „RODO”), stanowi kompleksową regulację dotyczącą zakresu obowiązków podmiotów, które przetwarzają dane osobowe, a jego celem jest stworzenie nowej
perspektywy dla ochrony danych osobowych. Wiąże ono wszystkie podmioty, które przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Uregulowanie zasad ochrony danych osobowych rozporządzeniem, a nie jak to miało miejsce poprzednio – dyrektywą, ma na celu ujednolicenie przepisów na obszarze całej Unii Europejskiej. Jednolita regulacja ma ułatwić prowadzenie transgranicznej działalności gospodarczej. Zmniejszeniu ulegną rozbieżności w prawie ochrony danych osobowych występujące w poszczególnych krajach Unii Europejskiej, a tym samym przedsiębiorcy z większą pewnością będą mogli stosować mechanizmy ochrony danych osobowych we wszystkich krajach Unii Europejskiej, w których prowadzą swoją działalność. Nie oznacza to jednak, że Rozporządzenie całkowicie zastąpi krajową Ustawę o ochronie danych osobowych. Ustawa stanowić będzie uzupełnienie przepisów Rozporządzenia. W praktyce przedsiębiorcy przetwarzający dane osobowe będą weryfikowali zgodność swoich działań, odwołując się wprost do przepisów Rozporządzenia, oraz uzupełniając je zapisami znowelizowanej Ustawy o ochronie danych osobowych.
Na mocy Rozporządzenia utworzona została Europejska Rada Ochrony Danych („EROD”), która przejęła dotychczasowe obowiązki Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych. EROD jest organem Unii Europejskiej, który posiada osobowość prawną i działa w sposób niezależny.
Jego zadaniem jest zapewnienie spójnego stosowania przepisów Rozporządzenia. Na poziomie krajowym zaś przestrzeganie nowych przepisów monitorować będą organy nadzoru. Nowe przepisy wprowadzają zasadę one-stop shop, która oznacza, że, w przypadku, gdy przedsiębiorca przetwarza dane osobowe w więcej niż jednym państwie członkowskim, to organ nadzoru właściwy dla głównej siedziby przedsiębiorcy będzie właściwy także względem transgranicznego przetwarzania danych, jak również wszystkich obowiązków tego podmiotu z zakresu realizacji zapisów Rozporządzenia. Organy nadzoru poszczególnych państw członkowskich pozostaną nadal właściwe w stosunku do skarg kierowanych przez osoby fizyczne przeciwko działalności administratora danych osobowych w danym państwie członkowskim.
W obecnym porządku prawnym funkcjonują zasady przetwarzania danych osobowych, jednakże w głównej mierze są to rekomendacje, nie zaś bezwzględnie obowiązujące przepisy prawa.
Rozporządzenie wprowadza wprost zasady przetwarzania danych osobowych, a tym samym wiążące obowiązki dla podmiotów przetwarzających dane osobowe. Wprowadzenie katalogu podstawowych zasad ochrony danych osobowych stanowi podstawę nowych standardów ochrony danych oraz określa ramy dla pozostałych, szczegółowych przepisów Rozporządzenia.
Mając na względzie doniosłość wprowadzanych zmian oraz dotkliwość ewentualnych sankcji nakładanych w związku z naruszaniem postanowień RODO, niniejsze wydanie Polish Law Review zostało w całości poświęcone tematyce ochrony danych osobowych.