Rozwój nowych technologii wymusza aktualizacje prawa. 14 kwietnia 2016 roku przegłosowano w Parlamencie Europejskim długo omawiane rozporządzenie dotyczące ochrony danych. Rozporządzenie Unii Europejskiej o Ochronie Danych Osobowych stanowić będzie gruntowną reformę prawa unijnego i krajowego w zakresie ochrony danych osobowych. Zostaną wzmocnione prawa osób fizycznych w tym zakresie a na przedsiębiorców nałożone zostaną nowe obowiązki. Póki co obowiązuje dyrektywa bez konieczności implementacji w krajowym porządku prawnym.
Zgodnie z art. 99 ogólnego rozporządzenia o ochronie danych, rozporządzenie wchodzi w życie 20 dnia po publikacji w Dzienniku Urzędowym UE, a będzie stosowane od dnia 25 maja 2018 r. natomiast dyrektywa wchodzi w życie pierwszego dnia po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Co zmieni rozporządzenie?
Kary
Rozporządzenie ma na celu wprowadzenie lepszej ochrony prywatności i bezpieczeństwa obywateli. Ciężko o egzekwowanie prawa bez sankcji za jego nieprzestrzeganie.
Zaostrzenie procedur oznacza również wyższe kary – za naruszenie nowego porządku prawnego grozić będzie kara do 4 % rocznego globalnego obrotu w maksymalnej wysokości do 20 mln euro.
Obecnie w Polsce kary nakładane przez GIODO to rzadkość. Ponadto mogą być one stosowane jedynie w sytuacji, kiedy adresat decyzji GIODO, nie zastosuje się do jej dyspozycji.
Rozporządzenie unijne przyznaje GIODO uprawnienie nakładania kar finansowych.
W zależności od tego, które zasady rozporządzenia zostaną naruszone, mogą być to kary administracyjne w wysokości do:
10 000 000 EUR lub (dla przedsiębiorcy) do 2 % światowego rocznego obrotu. A w przypadku naruszeń podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, kara może wynieść nawet 20 000 000 EUR lub do 4% światowego rocznego obrotu.
Kary będzie mógł organ nakładać „z urzędu” i bez uprzedniego wezwania do usunięcia uchybień.
Inspektor
Wielkie koncerny działające na całym świecie takie jak Google, Facebook czy Apple będą podlegać tym samym przepisom europejskim – każda usługa skierowana do Europejczyka, będzie musiała gwarantować poszanowanie jego praw.
Rozpowszechnianie informacji o danej osobie będzie wymagało jej wyraźnej zgody a firmy będą mogły współpracować z jednym organem regulacyjnym reprezentującym wszystkie kraje.
W sporach z zagranicznym podmiotem nie trzeba będzie uciekać do instytucji ponadnarodowych – każdy obywatel będzie mógł złożyć skargę do Generalnego Inspektora Ochrony Danych Osobowych.
One stop shop
One stop shop to jeden z fundamentów reformy unijnej – zakłada, iż organ właściwy ze względu na siedzibę główną administratora (w Polsce GIODO), jako organ nadzorczy, powinien mieć pełne i wyłączne kompetencje korygujące (ang. corrective measures) w przypadku przetwarzania danych, które ma miejsce w więcej niż jednym państwie członkowskim – jest to o tyle istotne, że obecnie kiedy przedsiębiorstwo prowadzi swoją działalność w różnych państwach członkowskich UE, to ma do czynienia z organami ochrony danych osobowych z każdego z tych państw.
Profilowanie
Nowe unijne rozporządzenie to kolejny krok w kierunku ochrony prywatności albowiem każdy człowiek będzie miał prawo żądać usunięcia danych zbieranych przez tzw.”ciasteczka” na swój temat oraz zażądać transferu danych a także uzyska wpływ na profilowanie jego danych w BIG DATA. Jeśli okaże, że mechanizm źle profiluje daną osobę, będzie mógł on zażądać ludzkiej interwencji. Profilowanie tak daleko ingeruje w sferę biznesu, że brak kontroli nad tym procederem spowodować mógłby negatywne skutki dla przedsiębiorcy.
Co zmieni się w Polsce od 2018 roku?
Zostanie wprowadzona możliwość zgłaszania do GIODO naruszeń danych osobowych przez przedsiębiorców – to istotne nowum tego rozporządzenia.
Zostanie ograniczona dotychczas aktywna rola GIODO, który rejestrował zbiory danych, Administratorów bezpieczeństwa informacji, wydawał decyzje administracyjne z zakresu ochrony danych osobowych.
Rozporządzenie przewiduje obowiązek wyznaczenia Inspektora Ochrony Danych w każdym przedsiębiorstwie, które przetwarza dane osobowe więcej niż 5000 podmiotów. Ponadto przepisy art. 35-37 omawianego rozporządzenia jednoznacznie określają status i zadania należące do Inspektora Ochrony Danych.
Zniknie zatem obowiązek rejestracji baz danych w GIODO, a rolę tą przejmie Inspektor jako odpowiednik dzisiejszego ABI.
Podsumowanie
Wydaje się, że nadchodzące zmiany wprowadzą obiecujący dla obywateli mechanizm, który pomoże chronić ich prywatność a jednocześnie nie ugodzi w przedsiębiorców.
Niestety rozwiązanie to jak się okazuje w dalszym ciągu nie zapewnia oczekiwanego poziomu bezpieczeństwa przy przekazywaniu danych do państw trzecich.
