28 marca 2017 r. na stronie Ministerstwa Cyfryzacji został opublikowany długo oczekiwany projekt nowej ustawy o ochronie danych osobowych. Regulacja ta, wraz z unijnym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO lub rozporządzenie), zastąpi obowiązujące przepisy, a jednocześnie na nowo zdefiniuje prawa osób fizycznych do ochrony danych osobowych. Co przewidują te regulacje? W jaki sposób wpłyną one na polskich przedsiębiorców?
Czy nowe regulacje są potrzebne?
Ewolucja technologii informatycznych, która nastąpiła w ostatnich latach, diametralnie zmieniła środowisko przetwarzania danych i przyniosła wiele nowych wyzwań. Ze względu na powszechny dostęp do internetu (wiążący się chociażby z wykorzystywaniem aplikacji mobilnych, dokonywaniem zakupów internetowych, wysyłaniem ofert handlowych drogą elektroniczną czy też korzystaniem z portali społecznościowych) do przetwarzania danych osobowych dochodzi już na szeroką skalę. Niestety, obowiązujące regulacje krajowe i unijne – tworzone w latach 90. ubiegłego wieku – nie są dostosowane do tak dużego postępu technologicznego.
Potrzebę gruntownych reform zauważyła Unia Europejska, która wraz z państwami należącymi do Europejskiego Obszaru Gospodarczego postanowiła wprowadzić jednolity standard ochrony danych osobowych – dostosowany do naszych czasów. Tym samym 4 maja 2016 r. został opublikowany ostateczny tekst unijnego rozporządzenia, które ma zwiększyć ochronę przetwarzania danych osób fizycznych. W praktyce oznacza to wprowadzenie wielu nowych obowiązków dla przedsiębiorców, m.in. zwiększenia zakresu informacji przekazywanych osobie, której dane są przetwarzane; zobligowania administratorów do zgłaszania naruszeń ochrony danych osobowych w ciągu 72 godzin od wystąpienia naruszenia czy choćby obowiązek przeprowadzania analiz ryzyka i potencjalnego wpływu zamierzonego przetwarzania na prawa i wolności osób fizycznych.
Za niewypełnianie obowiązków wynikających z RODO przepisy przewidują wysokie kary finansowe – nawet do 20 mln euro lub do 4 proc. światowego rocznego obrotu.
Czasu na dostosowanie organizacji do zmian pozostało już niewiele. Rozporządzenie zacznie obowiązywać 25 maja 2018 r. i najpóźniej tego dnia przedsiębiorcy powinni być gotowi na wypełnianie obowiązków wynikających z RODO.