Po kilku latach intensywnych prac legislacyjnych Parlament Europejski uchwalił ostateczną treść rozporządzenia ogólnego o ochronie danych osobowych. Nowe przepisy będą obowiązywać w Polsce już za dwa lata, a dla wielu przedsiębiorców dostosowanie działalności do nowego prawa w tak krótkim czasie może być dużym wyzwaniem. Najważniejsze wnioski z lektury rozporządzenia można sprowadzić do dwóch zasadniczych tez. Przede wszystkim w ocenie unijnego ustawodawcy ochrona prywatności jest fundamentalnym prawem każdego, kogo dane te dotyczą, a rolą organów ochrony danych jest maksymalizowanie tej ochrony za pomocą narzędzi przyznanych na mocy nowych przepisów. Jednocześnie jednak rozporządzenie otwiera przed przedsiębiorcami nowe możliwości przetwarzania danych do celów biznesowych – precyzyjnie wskazując np., w jaki sposób profilować klientów, choćby na potrzeby zwiększenia sprzedaży, jak przetwarzać dane osobowe dzieci albo jak dokonywać oceny skutków przetwarzania na prywatność.
W porównaniu z obecnie obowiązującą ustawą rozporządzenie wymaga przede wszystkim znacznie większej odpowiedzialności oraz dojrzałości przy przetwarzaniu danych osobowych, zarówno od administratorów danych, jak i podmiotów przetwarzających dane na zlecenie.
W myśl nowego prawa administratorzy danych zostali zobowiązani do zawierania umów o powierzenie przetwarzania danych jedynie z tymi podmiotami, które gwarantują właściwe wdrożenie przepisów rozporządzenia, w tym zaimplementowali środki bezpieczeństwa adekwatne do ryzyka związanego z przetwarzaniem, na przykład poprzez szyfrowanie danych, ale też regularne ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo. Co ważne, zmieniła się także minimalna treść umowy powierzenia, która będzie musiała regulować kwestię transferu danych poza Europejski Obszar Gospodarczy, czy też obowiązki podmiotu przetwarzającego dane na zlecenie w zakresie realizacji uprawnień osób, których dane są przetwarzane w imieniu administratora.
Więcej zadań dla administratora
Unijny ustawodawca postawił mocniej na przejrzystość przetwarzania danych i realne informowanie osoby o gromadzeniu i wykorzystywaniu jej danych osobowych. Do tej pory wystarczyło posługiwać się krótką, zestandaryzowaną klauzulą zawierającą obligatoryjne informacje wynikające z ustawy. Już jednak niedługo wykonywanie obowiązku informacyjnego będzie wymagało od administratora istotnie większego wysiłku organizacyjnego. To administrator będzie musiał zadbać, aby informacja była zrozumiała, zwięzła i przedstawiona w łatwo dostępnej formie.
Co ciekawe, będzie można wykorzystywać standardowe znaki graficzne, które w zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania danych. Dodatkowo zakres informacji przekazywanych osobie przez administratora zostanie zwiększony. Przykładowo administrator powinien wskazywać dane kontaktowe inspektora ochrony danych czy też szczegółową informację o profilowaniu, o prawie do przenoszenia danych i prawie do cofnięcia zgody albo informację o okresie przechowywania danych osobowych.