Nowe Rozporządzenie UE dotyczące ochrony danych osobowych osób fizycznych
24 maja 2016 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Będzie ono jednak miało zastosowanie bezpośrednio we wszystkich państwach członkowskich dopiero od 25 maja 2018 r.
Celem rozporządzenia jest zapewnienie wysokiego i spójnego stopnia ochrony praw osób fizycznych, związanych z przetwarzaniem ich danych osobowych. Długo oczekiwany akt prawny ma być odpowiedzią na rozwój technologii i nowych zjawisk społecznych, które powodują zagrożenie dla prawa do ochrony danych osobowych, w szczególności poprzez ujednolicenie prawa państw członkowskich w tym zakresie.
Rozporządzenie znajdzie zastosowanie we wszelkich przypadkach przetwarzania danych osobowych stanowiących lub mających stanowić część zbioru danych z wyjątkiem przetwarzania danych osobowych:
– w ramach działalności nieobjętej zakresem prawa Unii;
– przez państwa członkowskie, w ramach wykonywania działań wskazanych w tytule V rozdział 2 TUE;
– przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
– przez właściwe organy dla celów zwalczania przestępczości.
Na uwagę zasługuje fakt, że rozporządzenie znajdzie zastosowanie w przypadku przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Co więcej, rozporządzenie będzie stosowane nawet w przypadkach, w których administrator lub podmiot przetwarzający nie ma jednostek organizacyjnych w Unii, ale przetwarzanie danych osób przebywających w Unii wiąże się z oferowaniem towarów lub usług takim osobom lub monitorowaniem ich zachowania, o ile do zachowań tych dochodzi na terenie Unii.
Ponadto, rozporządzenie nakłada na administratorów danych osobowych obowiązek zawiadamiania organu nadzorczego o wszelkich naruszeniach ochrony danych osobowych w terminie 72 godzin od stwierdzenia naruszenia. Ponadto, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.