Rozporządzenie ogólne o ochronie danych wymusi liczne zmiany w polityce ochrony danych osobowych przedsiębiorców. Niedostosowanie się do nowych regulacji może grozić karami finansowymi sięgającymi 4 proc. rocznego globalnego obrotu przedsiębiorstwa.

Po ponad trzech latach nieformalnych negocjacji organy Unii Europejskiej w ramach tzw. trilogu (Komisja Europejska – Parlament Europejski – Rada Europejska) uzgodniły ostateczną wersję Rozporządzenia ogólnego o ochronie danych. Ma ono być poddane pod głosowanie na początku 2016 roku i docelowo wejść w życie na wiosnę 2018 roku. Zastąpi Dyrektywę 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Rozporządzenie znacząco zmieni sposób, w jaki administratorzy danych będą zbierać i przetwarzać informacje o osobach fizycznych. Każdy podmiot, który oferuje usługi na terenie UE lub przetwarza dane rezydentów UE, będzie zobowiązany przestrzegać postanowień Rozporządzenia. Będzie ono wywierało bezpośredni skutek na terenie całej Unii Europejskiej.

Najważniejsze zmiany 

  • Wprowadzenie obowiązku notyfikacji naruszeń bezpieczeństwa przetwarzania danych – administrator danych będzie zobowiązany powiadomić właściwy organ ochrony danych osobowych w ciągu 72 godzin od powzięcia wiadomości o danym incydencie. W niektórych przypadkach konieczne będzie także poinformowanie podmiotu danych o zaistniałym naruszeniu.
  • Wprowadzenie kar finansowych, które będą nakładane przez organy ochrony danych osobowych – nawet 20 mln euro lub 4 proc. rocznego globalnego obrotu. 
  • Zwiększenie wymagań w kwestii zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych – obowiązkiem przedsiębiorcy będzie prowadzenie szczegółowej dokumentacji dotyczącej przetwarzania danych, w tym dokumentów potwierdzających zgodność procesów przetwarzania danych z obowiązującym prawem. W niektórych przypadkach obowiązkowe będzie analizowanie wpływu wprowadzanych usług czy produktów na prywatność osób fizycznych (Privacy Impact Assessments). Dodatkowe wymagania będą zależały m.in. od liczby pracowników zatrudnionych u danego przedsiębiorcy. 
  • Wprowadzenie obowiązku projektowania usług lub produktów w taki sposób, aby ilość danych osobowych przetwarzanych do ich obsługi była jak najmniejsza, ich przetwarzanie było transparentne, a podmiot danych miał możliwość monitorowania procesów związanych z przetwarzaniem danych (Data protection by design and by default).
  • Utrzymanie generalnego zakazu transferu danych do państw trzecich. Komisja nadal będzie mogła wydać decyzję stwierdzającą, iż dane państwo zapewnia odpowiedni poziom ochrony danych osobowych. Warunki do wydania takiej decyzji będą jednak surowsze niż do tej pory. Ponadto transfer będzie możliwy, jeżeli administrator danych wdroży odpowiednie zabezpieczenia w polityce ochrony danych lub transfer będzie się odbywał na podstawie Wiążących Reguł Korporacyjnych (Binding Corporate Rules).
  • Rozbudowanie katalogu praw podmiotów danych i wzmocnienie dotychczasowych uprawnień. Pojawi się prawo podmiotu danych do ograniczenia przetwarzania jego danych, np. do czasu zweryfikowania, czy dane są aktualne lub do czasu zbadania, czy interes administratora usprawiedliwia przetwarzanie danych pomimo zgłoszonego sprzeciwu podmiotu danych. Kolejnym uprawnieniem jest prawo do przenoszalności danych, polegające na możliwości transferu danych między przedsiębiorcami na żądanie podmiotu danych. Natomiast Right to be forgotten – prawo do żądania usunięcia danych (prawo do bycia zapomnianym) wzmocni istniejące uprawnienia podmiotu danych do interwencji w procesy przetwarzania danych. Warto zaznaczyć, że w przypadku przetwarzania danych pracowników ostateczny kształt przepisów może ulec zmianie, gdyż Rozporządzenie pozostawiło swobodę zastosowania dalej idącej ochrony wobec tej kategorii danych.
  • Wprowadzenie obowiązku ustanowienia Data Protection Officer (odpowiednika polskiego Administratora Bezpieczeństwa Informacji) w przypadku, gdy administratorem danych jest organ państwowy, przetwarzanie danych stanowi podstawowy przedmiot działalności administratora/procesora, lub gdy przetwarzane są duże ilości danych sensytywnych.
  • Ustanowienie zasady „one-stop shop”, polegającej na prowadzeniu postępowań wobec danego przedsiębiorcy przez jeden organ ochrony danych z UE. Organ ten będzie współpracował ze swoimi odpowiednikami z innych państw członkowskich, jeśli dana spółka prowadzi operacje na terytorium innych państw UE.

Ochrona danych – wyzwania dla biznesu

Nie ulega wątpliwości, że Rozporządzenie wymusi liczne zmiany w polityce ochrony danych osobowych przedsiębiorców. Mając na uwadze wysokie kary, warto już teraz podjąć odpowiednie kroki w celu dostosowania wewnętrznych regulacji do przepisów Rozporządzenia. Działania te powinny koncentrować się na audycie dotychczas stosowanych rozwiązań, analizie potencjalnych zagrożeń i wdrożeniu nowych modeli przetwarzania danych.