Warszawa, 14.04.2016 (ISBnews) - Rozporządzenie Unii Europejskiej o Ochronie Danych Osobowych w sposób gruntowny reformuje unijne i krajowe ramy prawne w zakresie ochrony danych osobowych, w tym głównie koncentrując się na wzmocnieniu prawa osób fizycznych w tym zakresie, a co za tym idzie nakładając dodatkowe obowiązki na przedsiębiorców, uważa radca prawny, partner w DLA Piper Ewa Kurowska-Tober.
Parlament Europejski przyjął dzisiaj tzw. Ogólne Rozporządzenie o Ochronie Danych Osobowych, tym samym kończąc ponad czteroletnie prace nad reformą prawa unijnego w zakresie danych osobowych. Rozporządzenie wejdzie w życie 20 dni od dnia publikacji w Dzienniku Urzędowym UE (maj/czerwiec 2016 r.), wyznaczając dwuletni okres przygotowawczy w trakcie, którego należy dostosować przetwarzanie danych do nowych wymogów. Aktualnie obowiązujące przepisy dotyczące ochrony danych osobowych - Dyrektywa 95/46/WE oraz implementująca ją polska Ustawa o ochronie danych osobowych z 1997 r. zostają zastąpione 'rozporządzeniem'.
"W odróżnieniu od dotychczas obowiązującej Dyrektywy, przepisy rozporządzenia obowiązują i wymagają stosowania w sposób bezpośredni, bez konieczności krajowej implementacji. Rozporządzenie upoważnia jednak państwa członkowskie do przyjmowania przepisów szczegółowych w określonych obszarach (np. dane przetwarzane w kontekście zatrudnienia, tajemnica służbowa), które mogą doprecyzowywać zasady ochrony wynikające z rozporządzenia" - napisała Ewa Kurowska-Tober w komentarzu przesłanym ISBnews.
Według niej, rozporządzenie w sposób gruntowny reformuje unijne i krajowe ramy prawne w zakresie ochrony danych osobowych, w tym głównie koncentrując się na wzmocnieniu prawa osób fizycznych w tym zakresie (idea ,,przywrócenia osobom fizycznym kontroli nad ich danymi"), a co za tym idzie nakładając dodatkowe obowiązki na przedsiębiorców.
"Do najważniejszych zmian należy objęcie przepisami Rozporządzenia także podmiotów z siedzibą poza UE, o ile oferują osobom przebywającym w Unii swoje towary lub usługi lub monitorują ich zachowania (a więc np. Google czy Facebook również będą musiały stosować przepisy rozporządzenia)" - napisała Kurowska-Tober.
Podkreśla ona, że następuje silne wzmocnienie uprawnień osób fizycznych, poprzez m.in. wprowadzenie nowych uprawnień takich jak m.in. prawo do przenoszenia danych, prawo do bycia zapomnianym.
"Nowością jest wprowadzenie powszechnego obowiązku zgłaszania przez przedsiębiorców do GIODO naruszeń danych osobowych, a w poważniejszych przypadkach informowanie także osób, których dane zostały zagrożone. Dodana została także szczegółowa regulacja tzw. profilowania oraz ochrony danych osobowych dzieci; a także ułatwienie transferów danych do państw trzecich. Zniknie natomiast obowiązek rejestracji baz danych w GIODO" - dodaje radca prawny.
Istotnym ułatwieniem dla przedsiębiorców prowadzących działalność w więcej niż jednym kraju UE będzie wprowadzenie mechanizmu One-Stop-Shop (tzw. punktu kompleksowej obsługi), zgodnie z którym organ nadzorczy głównej jednostki przedsiębiorcy będzie właściwy do podejmowania działań jako główny organ nadzorczy dla przetwarzania danych prowadzonego przez dany podmiot.
"W końcu, wprowadzone zostają bardzo wysokie kary, które będą mogły być nakładane na podmioty naruszające przepisy Rozporządzenia, w tym kary finansowe w wysokości do 20 000 000 euro, lub - w przypadku przedsiębiorstw - w wysokości do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego" - podkreśla Kurowska-Tober.
Jednocześnie podkreśla, że rozporządzenie wprowadza także obowiązek nie tylko przetwarzania danych zgodnie z nowymi przepisami, ale także obowiązek wykazania takiej zgodności z prawem. Służyć mają temu rozmaite mechanizmy, w tym nowa możliwość uzyskania certyfikacji i znaków jakości potwierdzających wypełnianie przez przedsiębiorcę przepisów o ochronie danych osobowych.