Nowe rozporządzenie UE o ochronie danych osobowych gruntownie reformuje unijne i krajowe przepisy. Koncentruje się na lepszej ochronie prywatności osób, poprawie bezpieczeństwa, nakłada dodatkowe obowiązki na przedsiębiorców
4 maja 2016 r. w Dzienniku Urzędowym UE L 119 opublikowano rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Rozporządzenie weszło w życie 20. dnia po publikacji w Dzienniku Urzędowym UE, tj. 24 maja 2016 r., a od 25 maja 2018 r. będzie bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej.
Tego samego dnia, 25 maja 2018 r., po ponad 20 latach obowiązywania, uchylona zostanie dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz UE z 1995 r. L 281 s. 31).
Zmiany są rewolucyjne: z jednej strony przyznają osobom fizycznym nieznane wcześniej uprawnienia, zwiększając ich ochronę, z drugiej – nakładają na przedsiębiorców i administrację publiczną zupełnie nowe obowiązki, do realizacji których już teraz należy się przygotowywać. Zdecydowanie zaostrzają też system sankcji za nieprzestrzeganie norm dotyczących ochrony danych osobowych – kary będą nie tylko wysokie (wielomilionowe), ale również łatwiej będzie je nałożyć. Co więcej: nowe przepisy będą miały zastosowanie do firm również spoza UE, na przykład jeżeli przetwarzają dane mieszkańców UE, w celu świadczenia im usług, chociażby nieodpłatnie (portale społecznościowe etc.). Skala zmian jest tak duża, że wymagać będzie od znacznej części przedsiębiorców wdrożenia zupełnie nowych narzędzi i modyfikacji systemów informatycznych.
Wprowadzenie nowych przepisów jest wynikiem wieloletnich prac legislacyjnych, mających na celu kompleksowe uregulowanie kwestii przetwarzania danych osobowych na poziomie całej Unii Europejskiej, przy użyciu narzędzi maksymalnie dopasowanych do rozwoju technologicznego, w szczególności cyfryzacji, a także do wyzwań globalizacji, w tym transgranicznego świadczenia usług.
Regulacje mają z jednej strony dać bezpieczeństwo osobom, których dane dotyczą, a z drugiej pewność prawa przedsiębiorcom, również tym prowadzącym działalność na terenie wielu krajów, w tym ujednolicić ich sytuację prawną. Zdecydowanie wpłyną na sposób prowadzenia działalności przez wiele podmiotów.
Nowe przepisy dla organów publicznych
4 maja 2016 r. w Dzienniku Urzędowym UE L 119 opublikowano również tekst drugiego aktu prawnego składającego się na reformę ochrony danych – dotyczący generalnie postępowań karnych i zapobiegania przestępczości. Jest nim dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz UE L 119 s. 89).
Dyrektywa co do zasady nie dotyczy przedsiębiorców – reguluje przetwarzanie danych przez organy publiczne, oraz związane z tym prawa osób, których dane dotyczą.
Wchodzi w życie pierwszego dnia po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej, a więc obowiązuje już od 5 maja. Państwa członkowskie mają teraz obowiązek transpozycji przepisów dyrektywy do własnych porządków prawnych, najpóźniej do 6 maja 2018 r.