Najważniejszym wydarzeniem dotyczącym ochrony danych osobowych w 2016 r. jest chyba oficjalne zakończenie trwającej od 2012 r. dużej reformy przepisów regulujących ochronę danych osobowych w Unii Europejskiej. I chociaż na wejście w życie nowego prawa powinny przygotować się w szczególności wszystkim państwa członkowskie, organy ochrony danych osobowych i podmioty przetwarzające dane, to także obywatele poszczególnych państw z pewnością powinni zapoznać się z tymi zmianami, aby móc swobodnie egzekwować przysługujące im prawa.
W dniu 4 maja 2016 w Dzienniku Urzędowym UE L 119 zostały opublikowane oficjalne teksty aktów prawnych składających się na reformę ochrony danych, uchwalonych przez Parlament Europejski:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW
Zgodnie z art. 99 ogólnego rozporządzenia o ochronie danych, rozporządzenie wchodzi w życie 20 dnia po publikacji w Dzienniku Urzędowym UE, a będzie stosowane od dnia 25 maja 2018 r. natomiast dyrektywa wchodzi w życie pierwszego dnia po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
W konsekwencji powyższych zmian, od 2018 r. we wszystkich państwach Unii Europejskiej obowiązywać będą jednakowe przepisy dotyczące ochrony danych osobowych. Rozporządzenie nie wymaga implementacji, jednak jego wejście w życie spowoduje konieczność zmiany wielu polskich ustaw i rozporządzeń.
Po wejściu w życie rozporządzenia obywatele będą mogli składać skargi na podmioty przetwarzające ich dane do swoich krajowych rzeczników ochrony danych bez względu na to, gdzie mieści się siedziba danej firmy. Rzecznicy ochrony danych osobowych z 28 państw członkowskich UE będą dysponowali silniejszymi narzędziami współpracy. Dzięki temu będą mogli współdziałać na rzecz lepszej ochrony danych osobowych, efektywniej wykorzystywać zasoby i doświadczenie.
Nowe rozporządzenie przewiduje nie tylko wzmocnienie współpracy rzeczników ochrony danych, ale wyposaża ich w narzędzia oddziaływania na administratorów danych osobowych. Generalny Inspektor Danych Osobowych będzie mógł nakładać kary administracyjne w wysokości do 20 000 000 euro lub aż do 4% rocznego światowego obrotu (w przypadku przedsiębiorstw).
Po wejściu życie rozporządzenia nie tylko będziemy mogli zażądać od administratora danych informacji o tym, jakie dane o nas posiada, ale także – w przypadku danych przetwarzanych elektronicznie – otrzymać je zapisane w powszechnie wykorzystywanym formacie i bez przeszkód przenieść je do innego usługodawcy.
Zgodnie z rozporządzeniem obywatele mają prawo nie podlegać decyzjom opartym w pełni na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, które powodować będzie skutki prawne lub w inny istotny sposób wpływać na ich sytuację. Profilowanie będzie dopuszczalne, jeśli administrator danych wykaże, że ma podstawę prawną do takiego działania (może to być niezbędne do realizacji umowy, wynikać z przepisów prawa lub można bazować na zgodzie osoby, której dane dotyczą). Będziemy mogli sprzeciwić się wykorzystywaniu naszych danych do profilowania, np. gdy związane jest ono z marketingiem bezpośrednim, a przed wyrażeniem zgody na ich przetwarzanie lub przed zawarciem umowy, której realizacja wymaga profilowania, powinniśmy otrzymać informacje o tym, co będzie się działo z naszymi danymi i jakie mogą być konsekwencje takiego procesu.
Administrator danych już na etapie planowania swoich działań związanych z przetwarzaniem danych powinien wybierać rozwiązania i narzędzia najbardziej sprzyjające ochronie prywatności i danych osobowych, a jako domyślne wybierać takie ustawienia, które również temu służą. Może to osiągnąć, wykorzystując odpowiednie środki techniczne i procedury. Dotychczas zasady te stanowiły dobrą praktykę. Po wejściu w życie rozporządzenia będą obligatoryjnym standardem działania firm.
Jedną z zasadniczych i najbardziej rewolucyjnych zmian wprowadzanych przez powyższe Rozporządzenie jest przyznanie organom publicznym kontrolującym przetwarzanie danych osobowych w państwach członkowskich (w Polsce GIODO) prawa do nakładania wysokich kar pieniężnych na przedsiębiorstwa nie przestrzegające przepisów GDPR. Najsurowsze kary będą mogły sięgać nawet 4% światowego obrotu przedsiębiorstwa (jednak nie więcej niż 20 mln EUR). W obecnym stanie prawnym w zakresie sankcji za niezgodne przetwarzanie danych osobowych GIODO może wymierzyć grzywnę przymuszającą w wysokości do 200 tys. złotych.
Zmiana w zakresie dotkliwości kar za nieprzestrzeganie przepisów regulujących przetwarzanie danych osobowych powoduje, iż niewiedza albo ignorowanie przepisów o ochronie danych osobowych może dotkliwie wpływać na istnienie wielu przedsiębiorców. Dlatego już dziś warto zapoznać się z obowiązkami, jakie ustawodawca nałożył na podmioty przetwarzające dane osobowe (patrz:
https://www.radca.eu/przetwarzanie-danych-osobowych-w-firmie-obowiazki-administratora-danych-osobowych/).
