14 kwietnia 2016 r. Parlament Europejski ostatecznie przyjął Rozporządzenie w sprawie ochrony danych osobowych (GDPR), które wejdzie w życie za dwa lata czyli w maju 2018 roku. Rozporządzenie będzie bezpośrednio stosowane w polskim porządku prawnym, bez konieczności implementowania go ustawą.
Jedną z zasadniczych i najbardziej rewolucyjnych zmian wprowadzanych przez GDPR jest przyznanie organom publicznym kontrolującym przetwarzanie danych osobowych w państwach członkowskich (w Polsce GIODO) prawa do nakładania wysokich kar pieniężnych na przedsiębiorstwa nie przestrzegające przepisów GDPR. Najsurowsze kary będą mogły sięgać nawet 4% światowego obrotu przedsiębiorstwa (jednak nie więcej niż 20 mln EUR).
W obecnym stanie prawnym w zakresie sankcji za niezgodne przetwarzanie danych osobowych GIODO jest kompetentne jedynie do wymierzenia grzywny przymuszającej (do 200 tys. PLN) w związku z wydaną decyzją administracyjną.
Powyższa zmiana spowoduje, że przetwarzanie danych przejdzie na całkowicie inny poziom ryzyk, a jego zgodność z przepisami dotyczącymi ochrony danych osobowych stanie się jeszcze bardziej istotna dla przedsiębiorstw.
Ponadto istotne zmiany będą dotyczyć w szczególności kwestii stosowania jednego prawa w sytuacji prowadzenia działalności przez administratora danych w kilku krajach UE („one stop shop”), powoływania Administratora Bezpieczeństwa Informacji, zgłaszania naruszeń przepisów danych osobowych, tworzenia narzędzi samoregulacji czy wprowadzenia obowiązku uwzględnienia ochrony danych osobowych na poziomie projektowania produktów lub usług („privacy by default”).
O najistotniejszych zmianach i ich skutkach dla biznesu będziemy Państwa informować na łamach naszego bloga, jednak już dziś warto zastanowić się, czy można coś usprawnić w Państwa firmie w zakresie przetwarzania danych osobowych.