Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE wejdzie w życie 25 maja 2018 r.
„Kiedy przyjmowano dyrektywę 95/46/WE, założyciel Facebooka Mark Zuckerberg miał 13 lat, Google dopiero co został założony, a cloud computing raczkował. Rozporządzenie uchwalone w 2016 r. jest o wiele bardziej dostosowane do obecnego, zdigitalizowanego świata” – mówi PAP Technologie radca prawny Izabela Kowalczuk-Pakuła, kierująca praktyką ochrony danych osobowych i prywatności w kancelarii Bird & Bird.
Nowe przepisy we wszystkich państwach członkowskich zajmą miejsce dotychczas obowiązujących 28 odpowiedników polskiej ustawy o ochronie danych osobowych. „Rozporządzenie będzie jednolicie obowiązywać – niestety z wieloma wyjątkami – we wszystkich krajach członkowskich UE. To ułatwi stosowanie prawa przez podmioty o zasięgu międzynarodowym” – uważa Kowalczuk-Pakuła.
„Zmienia się paradygmat podejścia do ochrony danych osobowych. Uciążliwe i biurokratyczne zgłoszenia zbiorów danych osobowych zostaną zastąpione koncepcją domyślnej ochrony danych – +data protection by design+, czyli obowiązkiem dbania o ochronę danych osobowych już od rozpoczęcia procesów biznesowych związanych z przetwarzaniem danych” – tłumaczy mecenas.
W obliczu nowych przepisów organizacje będą musiały przeprowadzać analizę skutków operacji przetwarzania dla ochrony danych osobowych, a także będą miały obowiązek uwzględniania ich ochrony już w fazie projektowania usługi. Zaostrzone zostaną także warunki powołania się przez organizacje na niektóre podstawy prawne przetwarzania danych, jak np. zgodę osoby, której dane dotyczą.
Jak wskazuje Kowalczuk-Pakuła, „rozporządzenie nadaje daleko idące uprawnienia osobom fizycznym, jak np. prawo do bycia zapomnianym czy prawo do przenoszalności danych”. „Organizacje będą musiały być o wiele bardziej transparentne co do sposobu przetwarzania danych osobowych oraz informować osoby, których dane dotyczą, o takich szczegółach, jak okres retencji danych czy kryteria jego ustalenia, jak również o prawie wniesienia skargi do organu nadzorczego. Ponadto w razie wycieku danych osobowych, w kwalifikowanych wypadkach administratorzy danych będą zobowiązani zgłaszać to do GIODO oraz informować osoby, których dane wyciekły” – dodaje.
Rozporządzenie będzie miało zastosowanie do wszystkich biznesowych organizacji przetwarzających dane osobowe, jednak szczególnie mocno wpłynie na podmioty prowadzące analizę Big Data, zwłaszcza w kontekście profilowania konkretnych osób fizycznych. „Istotnym aspektem w kontekście profilowania w drodze analizy Big Data będą zapewne obostrzone kryteria dla uzyskania zgody na profilowanie od osób, których dane dotyczą – w tym bardzo rozbudowany obowiązek informacyjny – oraz obowiązek zgłaszania naruszeń ochrony danych do organów nadzorczych, takich jak GIODO” – uważa Kowalczuk-Pakuła.
Ekspertka przyznaje, że "wielu przedsiębiorców kwestionuje niektóre zapisy rozporządzenia jako za mało uwzględniające interesy biznesu, a zbyt dalece chroniące osobę fizyczną, i to w większości przypadków niezależnie od tego czy mają miejsce stałego zamieszkania w UE czy nie”. W egzekwowaniu nowego prawa ma pomóc zaostrzenie sankcji. „Kary będą o wiele bardziej dotkliwe – do 20 mln euro, a w przypadku przedsiębiorstwa nawet do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego” – przestrzega Kowalczuk-Pakuła.
„Biorąc pod uwagę szeroki zakres zmian, już teraz warto rozpocząć przygotowania do wejścia w życie nowych przepisów. Przede wszystkim organizacje powinny dokonać analizy luk i uchybień przepisów rozporządzenia, zaplanować środki naprawcze i kolejność ich wdrażania oraz zastanowić sią nad celowością powołania inspektora ochrony danych (chyba, że takie powołanie jest obowiązkowe na podstawie rozporządzenia)” – wylicza Kowalczuk-Pakuła. Jej zdaniem „warto także zastanowić się nad przeglądem i uaktualnianiem polityk prywatności i klauzul informacyjnych czy zgód, a także umów z dostawcami”.
„Rozporządzenie jest dobrą okazją do zrobienia przez organizacje porządków na własnych podwórkach i ustalenia kategorii danych na potrzeby mapowania (identyfikacji danych), identyfikacji podstaw przetwarzania i przekazywania danych oraz środków zapewniających odpowiedni poziom bezpieczeństwa transferu danych, okresy lub kryteria retencji, itd.” – wymienia.
„Wszyscy musimy się przygotować na nadchodzące zmiany – duzi i mali gracze, biznes i podmioty publiczne. Nie tylko europejskie, ale także wiele podmiotów spoza Unii, np. usługodawcy, którzy na co dzień świadczą usługi rezydentom UE. Żarty z ochroną danych osobowych się skończyły. Czekają nas ciekawe czasy” – przewiduje Kowalczuk-Pakuła.