Nowe regulacje ws. ochrony danych osobowych zatwierdzone w 2016 r. zaczną obowiązywać od 25 maja br. jako zbiór jednolitych przepisów z bezpośrednim zastosowaniem we wszystkich państwach członkowskich UE. Mają one zapewnić swobodny przepływ danych na całym jednolitym rynku cyfrowym, lepiej chronić prywatność Europejczyków, zwiększyć zaufanie i bezpieczeństwo konsumentów i jednocześnie tworzyć nowe możliwości rozwoju dla przedsiębiorstw, zwłaszcza tych małych i średnich.
"W dzisiejszym świecie od tego, jak postępujemy z danymi, zależy w dużym stopniu przyszłość naszej gospodarki i bezpieczeństwa osobistego - powiedziała w środę komisarz do spraw sprawiedliwości i konsumentów Viera Jourova. - Potrzebujemy nowoczesnych przepisów, aby móc reagować na nowe zagrożenia. Dlatego wzywamy rządy państw UE, organy krajowe i przedsiębiorstwa, by wydajnie spożytkowały czas, jaki nam pozostał, i wypełniły zadania spoczywające na nich w ramach przygotowań do tego ważnego dnia".
Przepisy ustalają jednakowe zasady stosowane do wszystkich przedsiębiorstw świadczących usługi na terenie UE, nawet jeżeli mają one siedzibę poza UE. Wzmacniają istniejące prawa obywateli w zakresie ochrony danych i przyznają nowe: zwiększone zostało prawo do informacji, prawo dostępu oraz prawo do bycia zapomnianym. Nowe prawo do przenoszenia danych umożliwia też osobom fizycznym przenoszenie danych z jednej firmy do innej.
Nowe regulacje wzmacniają ochronę przed naruszeniami w dziedzinie danych; firma, której chronione dane zostały naruszone, co naraziło osoby fizyczne na ryzyko, musi powiadomić o tym organ ochrony danych w ciągu 72 godzin. Niestosujący się do przepisów będą musieli liczyć się z karami, jako że wszystkie organy ochrony danych będą miały uprawnienia do nakładania grzywien w wysokości do 20 mln euro lub, w przypadku przedsiębiorstw, w wysokości 4 proc. całkowitego rocznego światowego obrotu.
Proponowana legislacja ma zasadniczo zmienić podejście do chronienia danych. Dotychczas firmy i organizacje dysponujące danymi osobowymi były zobowiązane do zgłaszania zbiorów danych uzyskanych poprzednio. Teraz będzie je obowiązywała zasada domyślnej ochrony danych (data protection by design), co oznacza, że o taką ochronę będą musiały zadbać już na samym początku uruchomiania działań związanych z przetwarzaniem. W praktyce oznacza to, że taka ochrona będzie musiała być często wkomponowana w usługę już na etapie jej projektowania.
W opublikowanych wytycznych przedstawiono działania, jakie zarówno KE, jak i krajowe organy ochrony danych i administracja muszą jeszcze podjąć w procesie przygotowawczym.
KE zaznacza, że w pewnych kwestiach konieczne będą znaczące dostosowania, jak nowelizacje istniejących aktów prawnych przez rządy państw UE czy też utworzenie Europejskiej Rady Ochrony Danych przez organy ochrony danych. W wytycznych podsumowano przeprowadzone już prace przygotowawcze, a także przedstawiono zadania, które Komisja Europejska oraz krajowe organy ochrony danych i krajowe organy administracji muszą jeszcze wykonać.
Przygotowania w poszczególnych państwach członkowskich postępują w różnym tempie. Na obecnym etapie tylko dwa państwa przyjęły już stosowne przepisy krajowe. Dlatego KE wzywa państwa członkowskie, by przyspieszyły przyjmowanie przepisów krajowych i "zapewniły zgodność środków z rozporządzeniem". Powinny one również zadbać o "zaopatrzenie organów krajowych w niezbędne fundusze i zasoby ludzkie w celu zagwarantowania niezależności i skuteczności działania" tych jednostek.
Na potrzeby organów ochrony danych oraz szkolenia specjalistów w zakresie ochrony danych Komisja przeznaczyła 1,7 mln euro. Dodatkowo 2 mln euro udostępniono na wspieranie organów krajowych w działaniach ukierunkowanych na przedsiębiorstwa, w szczególności małe i średnie.
Żeby ułatwić tego typu przedsiębiorstwom oraz obywatelom dostosowanie się do nowych przepisów, KE uruchomiła w środę specjalne narzędzie internetowe.
>>> Czytaj też: RODO rozbudzi rynek cyberpolis i ubezpieczeń
