Ogólne rozporządzenie o ochronie danych czeka obecnie na przyjęcie przez Radę Unii Europejskiej, a następnie poddanie pod głosowanie przez Parlament Europejski, co powinno nastąpić w marcu 2016 r. Po przyjęciu przez organy UE i opublikowaniu RODO czeka jeszcze 2-letni okres vacatio legis.
Okres ten musi zostać wykorzystany na dostosowanie się do nadchodzących zmian, w tym m.in. przegląd i zmianę wielu polskich przepisów – według szacunków GIODO zmiany mogą dotyczyć nawet kilkudziesięciu aktów prawnych rangi ustawowej.
Przepisy RODO nie wymagają implementacji i zaczną obowiązywać najpewniej latem 2018 r. Co warte podkreślenia, obowiązki wynikające z RODO dotyczyć będą także podmiotów niemających siedziby w Unii, ale oferujących usługi skierowane (np. dzięki sieci Internet) do obywateli UE.
Najważniejsze zmiany
Do najważniejszych zmian, jakie wprowadza RODO, należą:
1. Kary administracyjne, które będą nakładane przez organy ochrony danych osobowych – w zależności od naruszenia będzie to nawet 20 mln Euro lub 4% rocznego globalnego obrotu ukaranego podmiotu, zależnie od tego, która kwota okaże się wyższa. Kary te mają mieć charakter prewencyjny, co może oznaczać, m.in. że spóźnione spełnienie obowiązku nie pozwoli na uniknięcie kary.
2. Obowiązek powiadomienia właściwego organu ochrony danych osobowych w ciągu 72 godzin od powzięcia wiadomości o przypadku naruszenia bezpieczeństwa danych. Niekiedy konieczne będzie także poinformowanie podmiotu danych o zaistniałym naruszeniu.
3. Nowe wymagania odnośnie do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych – konieczne będzie prowadzenie szczegółowej dokumentacji, w tym dokumentów potwierdzających zgodność procesów przetwarzania danych z obowiązującym prawem. W przypadku niektórych usług czy produktów przed ich wprowadzeniem na rynek obowiązkowe będzie przeanalizowanie ich wpływu na prywatność osób fizycznych (Data Protection Impact Assessments).
4. Konieczność projektowania usług lub produktów w taki sposób, aby ilość danych osobowych przetwarzanych do ich obsługi była jak najmniejsza, ich przetwarzanie było transparentne, a podmiot danych miał możliwość monitorowania procesów związanych z przetwarzaniem danych (Data protection by design and by default).
5. Nowe prawa podmiotów danych i wzmocnienie dotychczasowych. Pojawi się prawo podmiotu danych do ograniczenia przetwarzania jego danych, np. do czasu zweryfikowania, czy dane są aktualne, lub do czasu zbadania, czy interes administratora usprawiedliwia przetwarzanie danych pomimo zgłoszonego sprzeciwu podmiotu danych.
6. Możliwość nakładania restrykcji, w tym czasowego lub stałego zakazu przetwarzania danych osobowych przez dany podmiot.
7. Prawo do przenoszalności danych, polegające na możliwości żądania transferu danych między przedsiębiorcami przez podmiot danych, które może dotyczyć np. przeniesienia danych z jednego serwisu społecznościowego do drugiego.
8. Obowiązek ustanowienia Data Protection Officer (odpowiednika obecnego polskiego Administratora Bezpieczeństwa Informacji) w przypadku, gdy administratorem danych jest organ państwowy, przetwarzanie danych stanowi podstawowy przedmiot działalności administratora/procesora lub gdy przetwarzane są duże ilości danych sensytywnych.
9. Zasada „one stop shop”, dotycząca z jednej strony administratorów, z drugiej podmiotów danych. Polega na prowadzeniu, co do zasady, postępowań wobec danego przedsiębiorcy przez jeden organ ochrony danych z UE. Organ ten będzie współpracował ze swoimi odpowiednikami z innych państw członkowskich, jeśli dany przedsiębiorca prowadzi operacje na terytorium innych państw UE. Współpraca ta będzie polegać przykładowo na przekazywaniu sobie informacji na temat działania danego podmiotu czy wspólnych kontrolach. Natomiast one stop shop dla obywateli oznacza możliwość zgłoszenia naruszenia przepisów RODO do lokalnego organu ochrony danych osobowych.
Transfer danych osobowych do państw trzecich
W kwestii transferu danych osobowych do państw trzecich warto zaznaczyć, że dotychczasowe decyzje Komisji dotyczące zapewnienia przez te państwa prawidłowego stopnia ochrony danych osobowych pozostaną w mocy. Oznacza to możliwość dalszego wysyłania danych do tych państw na podstawie już wydanych decyzji, do czasu ich zmiany lub odwołania przez Komisję. Komisja wciąż będzie mieć prawo do wydania nowych decyzji, niemniej warunki ich wydania będą surowsze niż do tej pory. Warto też podkreślić, że po ostatnim, głośnym wyroku Trybunału Sprawiedliwości Unii Europejskiej, w sprawie M. Schremsa (C‑362/14), pozostaje wątpliwość, czy taka podstawa prawna do przesyłania danych poza UE nie zostanie zakwestionowana przez Trybunał.
Dodatkowo, RODO pozostawia w pewnych obszarach możliwość wprowadzenia innych, szczegółowych przepisów dotyczących ochrony danych przez każde z państw członkowskich.