W dniu dzisiejszym przyjęto rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tekst: Eur-lex), tzw. ogólne rozporządzenie o ochronie danych.

Przewiduje ono spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. Jednocześnie stanowi odpowiedź na wyzwania towarzyszące rozwojowi nowych technologii, szczególnie w zakresie komunikacji.

Szczególne przepisy odnoszą się przykładowo do praktyki przypisywania osobom fizycznym identyfikatorów internetowych, takich jak adresy IP, czy identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID.

W katalogu danych osobowych podkreślono znaczenie danych dotyczących zdrowia, zaliczając do nich wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.

Przewidziano również objęcie szczególną ochroną praktyk towarzyszących wykorzystywaniu danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich. Na szczególną uwagę zasługują również przepisy dotyczące przetwarzania danych osobowych do celów marketingu bezpośredniego, w tym przyznające osobie, której dane dotyczą, prawo do wniesienia w dowolnym momencie, bezpłatnego sprzeciwu wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Towarzyszy mu wymóg wyraźnego informowania o tym prawie osoby, której dane dotyczą.

Odrębne przepisy dotyczą wzmocnienia dyskutowanej od kilku lat konstrukcji prawo do „bycia zapomnianym” w internecie. W rozporządzeniu doszło do rozszerzenia prawa do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji.

Funkcjonującą do tej pory Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych zastępuje Europejska Rada Ochrony Danych wyposażona w liczne kompetencje w zakresie funkcjonowania nowych przepisów.

W celu zapewnienia skutecznego egzekwowania nowych przepisów przewidziano m.in. przyznanie krajowym organom nadzorczym uprawnień do nakładania administracyjnych kar pieniężnych za naruszenia przepisów rozporządzenie.  Zgodnie z ogólnymi warunkami nakładania administracyjnych kar pieniężnych będą one mogły być nakładane zarówno na przedsiębiorców, ale także na osoby fizyczne pełniące obowiązki administratora i podmiotu przetwarzającego. Wysokość takich kar zależy od kategorii danego naruszenia, przy czym ich maksymalny pułap wyznacza kwota 10 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego.

Prezentowane rozporządzenie będzie podlegało zastosowaniu od dnia 25 maja 2018 r. Tym samym jego adresaci powinni w tym czasie nie tylko zapoznać się z nową regulacją, ale w kontekście nowego systemu sankcji – który będzie jeszcze doprecyzowany na poziomie prawa krajowego – podjąć niezbędne działania służące zapewnieniu zgodności własnych praktyk z przepisami rozporządzenia.