Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), potocznie określane RODO reformuje unijne i krajowe ramy prawne w zakresie ochrony danych osobowych. To największa zmiana w tej materii od czasu przyjęcia Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Rozporządzenie to jest zwieńczeniem czteroletnich prac nad dostosowaniem przepisów o ochronie danych osobowych do współczesnego, zdigitalizowanego świata. Od czasu przyjęcia Dyrektywy 95/46/WE minęło 21 lat. W tym czasie mieliśmy do czynienia z niezwykle szybkim rozwojem technologii, zwłaszcza informatycznych, a także znaczącą integracją społeczno-gospodarczą między państwami członkowskimi, która niewątpliwie wiąże się ze wzrostem transgranicznych przepływów danych osobowych. Pojawiły się nowe globalne firmy, jak np. Google czy Facebook, które operują danymi osobowymi na ogromną skalę. Firmy takie nie podlegają bezpośrednio przepisom Dyrektywy, choć przetwarzają dane setek milionów Europejczyków. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Dlatego też europejski ustawodawca dostrzegł konieczność dostosowania przepisów do obecnie panującej sytuacji oraz biorąc pod uwagę perspektywę dalszego postępu procesu globalizacji.

Głównym celem rozporządzenia jest wzmocnienie tego prawa do prywatności i stworzenie systemu, który pozwoliłby na faktyczne zapewnienie ochrony danych osobowych. Technologia powinna w dalszym ciągu ułatwiać swobodny przepływ danych pomiędzy państwami członkowskimi Unii Europejskiej oraz przekazywanie ich do organizacji międzynarodowych i państw trzecich, jednak konieczne jest równoczesne zadbanie o najwyższy poziom bezpieczeństwa przetwarzania danych osobowych. Równocześnie warty zaznaczenia jest fakt, że nałożenie bardziej szczegółowych obowiązków i nowych regulacji wiąże się z dodatkowym obciążeniem przedsiębiorców, którzy przetwarzają dane osobowe i mają obowiązek odpowiednio je zabezpieczać.

Podstawowe daty związane z rozporządzeniem:

§ wejście w życie: 24 maja 2016 r.

§ stosowanie od: 25 maja 2018 r.

Niektórzy specjaliści mówią o rewolucji w ochronie danych osobowych, inni o ewolucji dotychczas znanych nam przepisów, ale jedno jest pewne – czeka nas wiele zmian i nowości. Niektóre z instytucji i uregulowań zawartych w Dyrektywie nie sprawdziły się, w przypadku zaś innych konieczne było ich doprecyzowanie. Globalizacja i szybki postęp techniczny przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. staje się nieaktualna w obliczu ogromnych zmian związanych z cyfryzacją. W związku z tym konieczne było przystosowanie przepisów dotyczących prawa tak ważnego dla każdego obywatela Unii Europejskiej do współczesnych realiów i stosowanych. Ustawodawca europejski w nowym rozporządzeniu położył duży nacisk na nowe technologie oraz metody i środki przetwarzania danych osobowych.

Aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych z różnych państw członkowskich.

– Motyw 13 Preambuły RODO

Biorąc pod uwagę szeroki zakres zmian, już teraz należy rozpocząć przygotowania swojej firmy/instytucji do wejścia w życie nowych przepisów. Równocześnie warto mieć świadomość jakie grożą konsekwencje w przypadku niedostosowania się do regulacji zawartych w ogólnym rozporządzeniu o ochronie danych osobowych.

Nowością wprowadzoną przez rozporządzenie są sankcje pieniężne za przetwarzanie danych osobowych wbrew jego przepisom. Obowiązująca ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych takich sankcji nie przewidywała. Do tej pory za naruszenie przepisów ustawy o ochronie danych osobowych groziła odpowiedzialność administracyjna, karna, cywilna oraz dyscyplinarna.

Nowo wprowadzone instrumenty mają na celu wzmocnienie i zharmonizowanie sankcji administracyjnych. Na mocy art. 83 RODO w gestii organu nadzorczego leży zapewnienie, by stosowane kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Ustęp 2 tego artykułu zawiera katalog kwestii stanowiących podstawę do ustalenia wysokości kary pieniężnej. Rozporządzenie daje organowi nadzorczemu uprawnienie do nałożenia administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, co szczegółowo określa ww. artykuł. Tak wysoka kara może grozić m.in. w przypadku naruszenia przepisów dotyczących:

• podstawowych zasad przetwarzania (np. przejrzystości, adekwatności czy celowości przetwarzania danych osobowych),
• warunków zgody na przetwarzanie danych,
• obowiązku informacyjnego,
• prawa do bycia zapomnianym.

Kary pieniężne:

§ do 20 000 000 EUR

§ do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

Wysokość kar wskazanych w rozporządzeniu zostanie dopasowana do polskich realiów, jednak w kwestii przystosowania przepisów krajowych do regulacji ogólnego rozporządzenia o ochronie danych osobowych istnieje jeszcze wiele niewiadomych. Z pewnością wraz ze zbliżaniem się tak ważnej dla ochrony danych osobowych daty – 25 maja 2018 r. – będziemy wiedzieć coraz więcej. Wprowadzenie administracyjnych kar pieniężnych stanowi skuteczny instrument w egzekwowaniu stosowania przepisów o ochronie danych osobowych, dzięki któremu realna stanie się możliwość ingerencji organu administracji w działalność podmiotów niezapewniających odpowiedniego bezpieczeństwa przetwarzanym danym osobowym.