Obecnie przepisy dotyczące danych osobowych reguluje w Polsce ustawa o ochronie danych osobowych z 1997 r. (Dz. U. 2015 poz. 2135 ze zm.). Rok 2016 może jednak okazać się przełomowym w tej materii z uwagi na fakt, że Parlament Europejski w dniu 14 kwietnia 2016 roku przyjął ostateczną wersję nowego Rozporządzenia „w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE”, za sprawą którego we wszystkich państwach Unii Europejskiej obowiązywać będą jednakowe przepisy dotyczące ochrony danych osobowych. Rozporządzenie weszło w życie 20 dni po publikacji w Dzienniku Urzędowym Unii Europejskiej, jednak w praktyce obowiązywać będzie dopiero 2 lata od daty publikacji, a więc od dnia 25 maja 2018 r. Jakie najważniejsze zmiany wiążą się z przyjęciem rozporządzenia?
Celem rozporządzenia jest m.in. zharmonizowanie i wzmocnienie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania, stąd konsekwencją jego wejścia w życie będzie dość dużo zmian w obecnie obowiązujących przepisach. Rozporządzenie dodaje przepisy dotyczące osób fizycznych, które uprawniają m.in. do przenoszenia danych czy dają prawo do bycia zapomnianym. Co więcej, zniknie obowiązek rejestracji baz danych w GIODO. Obecnym Administratorem Bezpieczeństwa Informacji (ABI) będzie Inspektor Ochrony Danych (IOD), który będzie powoływany obowiązkowo dla:
- 1. podmiotów administracji publicznej,
- 2. jeśli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
- jeśli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).
Ponadto, w rozporządzeniu dodano nowy przepis art. 20, zgodnie z którym „osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe”. Nowością będzie również to, że przedsiębiorstwa lub pojedyncze spółki, które prowadzą swoje usługi na terenie kilku państw UE, będą mogły skorzystać z tzw. „one-stop-shop” (punkt kompleksowej obsługi), co oznacza, że będą mogły podlegać jednemu organowi ochrony danych osobowych, właściwemu dla całej grupy (np. polskiemu GIODO).
Istotny jest także fakt, że zgodnie z rozporządzeniem kary finansowe będą mogły zostać nałożone przez wszystkie organy nadzorcze UE. W zależności od tego, która część Rozporządzenia i które zasady zostaną naruszone, mogą być to kary administracyjne w wysokości do 10 000 000 EUR lub (dla przedsiębiorcy) do 2 % światowego rocznego obrotu. A w przypadku naruszeń podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, kara może wynieść nawet 20 000 000 EUR lub do 4% światowego rocznego obrotu.