Ogólne rozporządzenie o ochronie danych osobowych będzie stosowane we wszystkich krajach UE od maja 2018 r. Przepisy nakładają na administratorów danych i podmioty przetwarzające dane (tzw. procesorów) dodatkowe obowiązki szczególnie w stosunku do osób fizycznych, których dane przetwarzają. Zmienią się też warunki uzyskiwania zgody na przetwarzanie danych, czy zakres obowiązków informacyjnych.
Środki adekwatne do ryzyka
Rozporządzenie pozostawia administratorom więcej swobody (znika obowiązek rejestracji zbiorów danych), z drugiej strony, na podmiotach przetwarzających dane spoczywać będzie większa odpowiedzialność za dobór środków ochrony i wdrożenie procedur odpowiednich do poziomu ryzyka. Zgodnie z promowaną zasadą rozliczalności, administrator lub podmiot przetwarzający na wypadek kontroli będą musieli wykazać, że środki, które wdrożyli dla zapewnienia ochrony danych, są adekwatne do ryzyka (rodzaju działalności, sposobu przetwarzania) oraz że te środki techniczne i organizacyjne są rzeczywiście stosowane.Odpowiednie ukształtowanie środków ochrony danych może mieć kluczowe znaczenie dla uniknięcia lub zmniejszenia sankcji przewidzianych w rozporządzeniu, a te mogą być bardzo dotkliwe.
Kara nawet do 20 mln euro
Do tej pory przedsiębiorcy mogli traktować naruszenia danych osobowych jako naruszenia „mniejszej wagi". Dziś w przypadku zidentyfikowania takiego naruszenia GIODO zazwyczaj wzywa w decyzji do usunięcia uchybień, usunięcia danych osobowych, czy też uzupełnienia, uaktualnienia lub sprostowania danych, aby osiągnąć stan zgodności z prawem. Kary pieniężne nie były podstawowym środkiem oddziaływania na nierzetelnych administratorów, a jeśli nawet były nakładane, to ich wysokość nie była znacząca.
Od 2018 r. ta sytuacja się zmieni. Pieniężna kara ma stać się podstawowym środkiem oddziaływania, a wysokość sankcji ma być na tyle wysoka, aby skutecznie pełniła funkcję odstraszającą i motywowała do przestrzegania przepisów.
Jakie naruszenia
Najwyższa kara do 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku (granicą jest wyższa z kwot) została przewidziana w rozporządzeniu dla: