By Justyna Chomicz

Od 25 maja 2018r. w państwach należących do Unii Europejskiej zastosowanie znajdzie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Przedmiotowe rozporządzenie weszło w życie już w 2016r. jednakże Unia pozostawiła państwo członkowskim czas na wprowadzenie stosownej regulacji, która będzie zgodna z Rozporządzeniem. Celem Rozporządzenia jest ujednolicenie przepisów dotyczących ochrony danych osobowych osób fizycznych na terenie wszystkich państw członkowskich . Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych zagwarantowanych w Karcie Praw Podstawowych Unii Europejskiej. Jak podkreślono w motywach ww. Rozporządzenia, do jego powstania przyczyniły się  nowe wyzwania w dziedzinie ochrony danych osobowych w związku z szybkim postępem technicznym oraz proces globalizacji. Rozwój technologii pozwala przedsiębiorstwom prywatnym, jak i organom publicznym, wykorzystywać dane osobowe na niespotykaną dotąd skalę. Technologia powinna zapewniać najwyższy stopień ochrony danych osobowych.

Powyższe przemiany oraz rozwój społeczeństwa informacyjnego, wymuszają stabilne i spójne  ramy ochrony danych na terenie Unii Europejskiej. Jednocześnie niezbędne jest zagwarantowanie środków pozwalających ich skuteczne i zdecydowane egzekwowanie. Nie można również zapominać , iż osoby fizyczne powinny mieć zapewnioną realną kontrolę nad własnymi danymi osobowymi.

Rozporządzenie pozostawia państwom członkowskim możliwość wprowadzenia bardziej szczegółowych przepisów, które miałyby zapewnić ochronę praw i wolności w przypadku przetwarzania danych chociażby pracowników. Powyższe rozwiązanie pozwala na jeszcze bardziej skuteczną ochronę danych osobowych na poziomie poszczególnych państw członkowskich.

Ponadto akt ten wprowadza definicję danych osobowych, precyzując, iż są to informacje identyfikujące osobę fizyczną takie jak np. imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, czy też jakiekolwiek czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Powyższy akt prawny ustanawia surowe kary dla przedsiębiorców, którzy naruszają zasady ochrony danych osobowych. Maksymalny poziom kar nakładanych na przedsiębiorców może sięgać nawet 20 000 000 euro  lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego.

Ponadto na przedsiębiorców nałożone zostaną liczne obowiązki informacyjne. Każda osoba fizyczna, której dane są przetwarzane, powinna zostać poinformowana kto jest administratorem danych osobowych, jakim podmiotom dane zostaną udostępnione czy też o prawach im przysługujących takich jak chociażby cofnięcie zgody na przetwarzanie danych, prawo dostępu do danych, sprostowanie. Dodatkowo osoby te muszą być poinformowane o wykorzystywaniu danych w procesie profilowania.

Podkreślić należy, iż Rozporządzenie wprowadza bardzo ważne uprawnienie dla osób, których dane są przetwarzanie, a mianowicie prawo do usunięcia danych, czyli tzw. „prawo do bycia zapomnianym”. Z tego uprawnienia będzie można skorzystać w szczególności gdy dane osobowe nie będą już potrzebne do celów, w których były zbierane, czy też cofnięto zgodę na przetwarzanie danych.

Powyższy akt prawny wprowadza wiele zmian, które nie zostały wymienione, a do których państwa członkowskie powinny dostosować się do maja 2018r. Zmiany te są odpowiedzią na nowe wyzwania stawiane wraz z rozwojem społeczeństwa informacyjnego, czy  też postępem technologii. Ich wprowadzenie pozytywnie uporządkuje systemy prawne państw członkowskich oraz dostosuje je do najwyższych standardów bezpieczeństwa.