Niespełna dwa lata mają przedsiębiorcy na przygotowanie się do zmian, jakie wprowadzi obowiązujące wprost rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z 27 kwietnia 2016 r. – tzw. ogólne rozporządzenie o ochronie danych (Dz.Urz. UE L119 s. 1), które właśnie weszło w życie (24 maja br.), ale będzie bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej od 25 maja 2018 r. Wbrew pozorom czasu na przygotowania wcale nie jest tak wiele. Z uwagi na skalę zmian w ochronie danych osobowych, liczbę nowych obowiązków i modyfikacji – określa się je mianem „rewolucji w unijnym systemie ochrony danych osobowych”.
Kamila Koszewicz, starszy konsultant, Kancelaria Olesiński i Wspólnicy / Dziennik Gazeta Prawna
Grzegorz Leśniewski, manager, Kancelaria Olesiński i Wspólnicy / Dziennik Gazeta Prawna
Nowe przepisy o ochronie danych zawarte w stanowisku Rady UE dają silniejsze, dodatkowe prawa obywatelom. Dzięki temu zyskać mają lepszą kontrolę nad własnymi danymi osobowymi, a tym samym będą mogli z większym zaufaniem korzystać z transgranicznych usług online, to zaś – w zamyśle Rady UE – pobudzić ma jednolity rynek cyfrowy. Przepisy mają znacznie lepiej niż obecnie chronić interesy osób, których dane są na co dzień przetwarzane, zwłaszcza przez przedsiębiorców i administrację publiczną, co w świecie postępujących technologii, a co za tym idzie – z coraz większą łatwością budowania olbrzymich baz danych – jest coraz trudniejsze.
Szczególną ochroną objęto dzieci, uznając, że mogą być mniej świadome swoich praw oraz zagrożeń związanych z przetwarzaniem danych osobowych.
Ta zwiększona ochrona oznacza jednak więcej obowiązków dla przedsiębiorców. Przede wszystkim – informacyjnych. Obowiązek dostarczenia kopii danych, powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania – to tylko wybrane obowiązki wobec osób, których dane są przetwarzane. Dużo więcej kłopotów przysporzy firmom także wzmocnienie prawa do bycia zapomnianym. Ponieważ np. każdy będzie miał prawo domagania się usunięcia informacji, które zamieścił jako dziecko – można spodziewać się zwiększonego zapotrzebowania na usuwanie informacji, nawet po wielu latach – gdy Jaś stał się poważnym Janem. A przepisy nie tylko nakładają obowiązek wykreślenia ze swojej strony takich informacji, ale również poinformowania innych administratorów przetwarzających je, że osoba żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Rozporządzenie nakłada na administratora danych osobowych obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, w niektórych przypadkach – konieczność sporządzania oceny skutków, a w razie potrzeby – konsultowania jej z GIODO. Do przestrzegania przepisów o ochronie danych mają się przyczynić kodeksy postępowania i mechanizmy certyfikacji. Ponadto do stosowania rozporządzenia mają skłaniać przedsiębiorców wysokie kary o odstraszającym charakterze, w tym administracyjna kara pieniężna w wysokości do 20 mln euro, a w przypadku przedsiębiorstw – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Z uwagi na skalę nowych obowiązków i groźbę wielomilionowych sankcji – przedsiębiorcy już dzisiaj powinni zacząć przygotowywać się do zmian.