14 kwietnia Parlament Europejski uchwalił Rozporządzenie w zakresie ochrony danych osobowych, które ujednolici zasady przetwarzania i ochrony danych osobowych w całej Unii Europejskiej.
Rozporządzenie, nad którym prace trwały ponad cztery lata, zmienia sposób patrzenia na kwestie ochrony prywatności. Prede wszystkim przepisy mają być wspólne dla wszystkich Państw członkowskich UE i stosowane jednolicie, co znacznie uprości zasady zbierania danych i ich wykorzystywania przez międzynarodowe firmy.
Z rzeczy, które nie były do tej pory uregulowane wprost w przepisach dotyczących ochrony danych osobowych, należy wskazać przede wszystkim nowe kategorie wykorzystywania danych (takie jak profilowanie czy pseudonimizacja), zasady informowania osób, których dane dotyczą oraz lokalnego organu do spraw ochrony danych osobowych o wycieku ich danych (w przypadku informowania regulatora taki obowiązek miały do tej pory jedynie podmioty działające w oparciu o Prawo telekomunikacyjne).
Co więcej, sam incydent bezpieczeństwa danych osobowych będzie mógł być kosztowny dla administratora danych. W przeciwieństwie do obecnego stanu prawnego, GIODO będzie uprawniony do nałożenia (lub żądania nałożenia przez sąd) kary grzywny z tytułu samego naruszenia przepisów Rozporządzenia – i to grzywny wysokiej. Maksymalna przewidziana kara to 20 milionów euro lub 4% globalnego obrotu firmy.
Czy już należy się bać? Dwuletnie vacatio legis wydaje się być rozsądnym terminem na wdrożenie w organizacji zmian i dopasowanie modelu działalności do nowych regulacji. W niektórych przypadkach zmiany będą mniejsze, w innych większe. Największym błędem wydaje się odłożenie tematu na półkę – bo mamy „jeszcze” dwa lata. Zacznijmy analizować to już dzisiaj – a w razie potrzeby będziemy dysponować czasem, chociażby na skorzystanie z porad ekspertów.