Celem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych (RODO) jest zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi. Rozporządzenie ujednolica zasady, zgodnie z którymi dane będą przetwarzane na terenie Unii Europejskiej, a jednocześnie ma zapewnić ich bezpieczeństwo i zagwarantować nienaruszalność prawa do prywatności.
Wspólne zasady dla całej Unii
Wspólne zasady dotyczące ochrony danych osobowych we wszystkich państwach UE zdecydowanie ułatwią funkcjonowanie firm działających na wielu rynkach. W obecnym porządku prawnym każde z państw członkowskich UE operuje wedle swoich wewnętrznych regulacji (własnej wersji implementacji Dyrektywy 95/46/WE). Łatwo sobie wyobrazić jakie utrudnienia to powoduje.
Dzięki RODO podmioty operujące na terenie kilku państw UE, będą mogły również skorzystać z mechanizmu „one-stop-shop". Oznacza to, że główna jednostka organizacyjna będzie mogła wybrać organ ochrony danych osobowych, właściwy dla całej grupy kapitałowej. Będzie także możliwe powołanie jednego inspektora ochrony danych dla całej grupy (dotychczas w systemie ochrony danych osobowych funkcjonuje Administrator Bezpieczeństwa Informacji – ABI). Zmodyfikowano także koncepcję uzasadnionego interesu administratora jako przesłanki przetwarzania danych. Rozporządzenie wśród przykładowych prawnie uzasadnionych interesów administratorów wskazuje m.in. udostępnianie danych innym jednostkom w ramach grupy przedsiębiorstw, którzy mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach tej grupy do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych klientów lub pracowników (pozostaje to bez wpływu na ogólne zasady przekazywania danych poza EOG, także w ramach grupy). Takie unormowanie daje zatem podstawę do przekazywania danych spółkom z grupy kapitałowej, jako niezależnym administratorom danych.
W pogoni za rozwojem nowych technologii
Dotychczasowe regulacje w zakresie ochrony danych osobowych, implementujące Dyrektywę 95/46/WE z 1995 r. (zarówno krajowe, jaki i unijne) dawno przestały przystawać do zdigitalizowanej rzeczywistości. Ustawodawca to dostrzegł i przygotowując RODO uregulował m.in. zagadnienia przetwarzania nowych kategorii danych, które pojawiły się wraz z rozwojem technologii. Wraz z nową regulacją ochronie będą podlegały nowe kategorie danych takie jak IP, cookie ID, czy user ID wykorzystywany w Google Analytics.
Zmianie ulegnie także forma wyrażania zgody na przetwarzanie danych wrażliwych. Funkcjonująca dziś nomenklatura dotycząca danych szczególnie wrażliwych stanowi, że są one zaliczane do grupy szczególnie chronionych danych osobowych, a zgodnie z brzmieniem ustawowym ich katalog jest zamknięty. Przetwarzanie danych wrażliwych jest co do zasady zabronione, chyba że osoba, której dotyczą pozyskane dane, wyrazi na to pisemną zgodę. Tego typu zapisy, zwłaszcza w przypadku biznesów działających na rynku online, de facto uniemożliwiały przetwarzanie danych szczególnie wrażliwych, często ze szkodą dla klientów.