Z dniem 25.05.2018 zaczną w naszym kraju obowiązywać nowe europejskie regulacje dotyczące ochrony danych osobowych. Choć termin wydaje się na razie dość odległy, to wielu przedsiębiorców już teraz zaczyna przygotowywać się do nadchodzących zmian, by w momencie ich wejścia w życie być na nie w pełni przygotowanym.

Nowe przepisy to:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Oraz

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW

W tych aktach prawnych dokonano ponownej  definicji wielu pojęć o kluczowym charakterze dla ochrony danych osobowych. Na nowo ustalono znaczenie m. in:

• Danych osobowych (rozszerzono katalog danych uznawanych za dane osobowe)
• Przetwarzania
• Zgody
• Zbioru danych
• Administratora

Tak więc tych pojęć które mają fundamentalne znaczenie dla zapewnienia z przepisami zgodności działań przedsiębiorców i innych administratorów danych osobowych. Dodatkowo rozszerzono zakres ochrony praw podmiotów których dane mają być przetwarzane

Zmienione zostanę również same zasady przetwarzania danych, np. poprzez wprowadzenie nieznanych wcześniej zasad “minimalizacji danych”, “ograniczenia przechowywania” czy też obowiązującą administratora zasadę “rozliczalności” tj. odpowiedzialności za wykazanie przestrzegania prawidłowości przetwarzania.

Rozszerzono również katalog oraz podniesiono poziom wymogów technicznych wobec administratorów oraz wprowadzono dla niego nowe obowiązki. Zobligowano go również do prowadzenia rejestru czynności przetwarzania danych osobowych.

Samym zainteresowanym przyznano ustalone w orzecznictwie prawo do bycia zapomnianym – teraz zostało ono bezpośrednio wyrażone w akcie prawnym  pozwala obywatelom żądać niezwłocznego usunięcia dotyczących ich danych osobowych, w których posiadaniu jest dany administrator, choć sytuacje te wymieniono w zamkniętym katalogu.

Nowością jest również instytucja inspektora danych osobowych, czyli osoby wspomagającej organy kontrolujące legalność przetwarzania danych. Jest on niejako pośrednikiem między organami państwowymi a przedsiębiorstwem; powołanie go będzie konieczne przy przetwarzaniu danych osobowych na dużą skalę.

Przepisy dyrektywy będą oczywiście konkretyzowane w ustawodawstwie polskim, jednak pozwalają nam wyraźnie zobaczyć kierunek, w którym zmierza ustawodawca europejski i przygotować się do nadchodzących zmian.