W związku z wydaniem przez Parlament Europejski i Radę Unii Europejskiej dnia 27 kwietnia 2016 r. Rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie: ogólne rozporządzenie o ochronie danych) zasady polityki państw członkowskich w zakresie danych osobowych ulegną znaczącym zmianom.

Cel i idea zmian

Zgodnie z Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej każdy człowiek ma prawo do ochrony własnych danych osobowych.  Zasadniczym celem wprowadzanych zmian ma być zapewnienie pełnego urzeczywistnienia tego prawa poprze zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi. Dotychczasowe regulacje, jakie wprowadzały państwa członkowskie w tym zakresie, okazały się bowiem niewystarczające w obliczu postępu technologicznego oraz postępującej globalizacji.

Zastosowanie

Zgodnie z art. 2 Rozporządzenie o ochronie danych znajduje zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Obowiązkiem stosowania nowych przepisów zostały objęte: jednostki organizacyjne administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii oraz podmioty spoza UE, o ile przetwarzają one dane osobowe osób przebywających w Unii w związku z oferowaniem im towarów i usług lub monitorowaniem ich zachowania na terenie Wspólnoty Europejskiej.

Zasady przetwarzania danych

Unijne Rozporządzenie zawiera katalog zasad przetwarzania danych osobowych, których administrator danych w rozumieniu przepisów rozporządzenia ma obowiązek przestrzegać. Przede wszystkim przetwarzanie ma spełniać wymogi zgodności z prawem, rzetelności i przejrzystości, a także gwarantować  integralność i poufność danych. Prawo do gromadzenia danych podlega licznym ograniczeniom: ze względu na cel (który musi być konkretny i wyraźnie wskazany), ze względu na zakres (wyłącznie w niezbędnym zakresie), ze względu na aktualność (obowiązek usunięcia bądź sprostowania danych nieprawidłowych), ze względu na czas (wyłącznie przez okres niezbędny do realizacji zgodnych z prawem celów). Ciężar dowodu w zakresie przestrzegania wskazanych zasad obciąża administratora danych w rozumieniu przepisów unijnych.

Wymóg zgodności przetwarzania danych osobowych z prawem został szczegółowo określony przez art. 6. Przepis ten wskazuje katalog sytuacji, w których dopuszczalne jest przetwarzanie danych. Zostały one określone w sposób ogólny- państwa członkowskie dysponują uprawnieniami do doprecyzowania jego postanowień we własnych przepisach wewnętrznych.

Rozporządzenie wprowadza kategorię szczególnych danych. Są to takie dane, których przetwarzanie podlega szczególnej ochronie, której zakres może być dodatkowo poszerzony przez państwa członkowskie. Są to m.in. informacje o pochodzeniu rasowym światopoglądzie, ale również, co stanowi nowum,  dane biometryczne.

Ważnym zapisem jest uzależnienie przetwarzanie danych osobowych dzieci poniżej 16 roku życia od zgody lub aprobaty ich opiekuna prawnego. Ma to zwiększyć bezpieczeństwo osób nieletnich w sieci.

Rozporządzenie zawiera szczegółowe uregulowania dotyczące obowiązków informacyjnych administratora danych, który musi podać osobie, której dotyczy przetwarzanie: swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych; cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania; jeżeli przetwarzanie odbywa się na tej podstawie– prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych. Dodatkowo podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania.  Tak szeroki zakres wiadomości, które muszą przekazać administratorzy danych ma sprawić, że zgoda na przetwarzanie osoby, której danych ono dotyczy, będzie udzielona w pełni świadomie.

Obowiązki przedsiębiorstw związane z przetwarzaniem danych osobowych

Rozporządzenie nakłada na przedsiębiorców szereg obowiązków w zakresie ochrony danych osobowych. Jednym z nich jest nałożenie na podmioty i organy publiczne, podmioty, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę lub podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, obowiązku wyznaczenia inspektora danych osobowych. Kontrolujący i przetwarzający dane będą zobowiązani od przygotowania i utrzymania wszechstronnych rejestrów dotyczących przetwarzanych danych. Według art. 35 jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przedsiębiorcy administrujący danymi będą musieli dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Kontrola przetwarzania danych

W odniesieniu do kontroli przetwarzania danych osobowych Rozporządzenie wprowadza kilka nowych rozwiązań. Podmiot, którego dotyczy przetwarzanie, posiada na mocy unijnych przepisów szereg praw. Są to m.in.: prawo do sprostowania danych, prawo do ograniczenia przetwarzania danych oraz prawo do przenoszenia danych. Nowością jest tzw. prawo do bycia zapomnianym. Oznacza ono, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe.

W przypadku naruszenia ochrony danych osobowych mogących skutkować naruszeniem praw i wolności osób fizycznych administrator danych ma obowiązek w terminie do 72 godzin poinformować o nim organ nadzorczy. Podmiot, wobec którego doszło do naruszenia praw odnoszących się do danych osobowych, ma zaś prawo wnieść bezpłatnie skargę do organu nadzorczego w swoim państwie jak również do organu nadzorczego w innym państwie członkowskim.

Zgodnie z art. 82 każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia Rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. W zakresie nakładania administracyjnych kar pieniężnych za złamanie przepisów Rozporządzenia przewidziane są grzywny maksymalnie do 20 mln EUR, a w przypadku przedsiębiorstwa do 4% całkowitego światowego obrotu z poprzedniego roku za naruszenie istotnych przepisów ochrony danych osobowych przewidzianych w Rozporządzeniu, a dwukrotnie mniejsze kary (10 mln EUR lub do 2% światowego obrotu) w sprawach mniejszej wagi.

Obowiązywanie

Rozporządzenie ma być stosowane we wszystkich państwach członkowskich Unii Europejskiej od dnia 25 maja 2018 r.