Przetwarzanie danych osobowych – nowe obowiązki

Parlament Europejski uchwalił rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Nowe rozporządzenie znacząco zreformuje system ochrony danych osobowych. Przepisy rozporządzenia będą miały zastosowania od dnia 25 maja 2018 roku.

Jedną z najistotniejszych zmian jest wprowadzenie nowego obowiązku wobec przedsiębiorców przetwarzających dane osobowe, np. takich jak przedsiębiorcy prowadzący sklepy internetowe. W myśl nowych przepisów, w przypadku naruszenia ochrony danych osobowych, administrator tych danych, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, powinien zgłosić naruszenie właściwemu organowi nadzorczemu, którym w na gruncie polskiego prawa jest Generalny Inspektor Danych Osobowych. Ponadto, o naruszeniu danych administrator, bez zbędnej zwłoki, powinien zawiadomić osobę, której dane dotyczą, np. poprzez wysłanie do takiej osoby wiadomości e-mail. Rozporządzenie szczegółowo określa warunki, jakie musi spełniać zgłoszenie do GIODO oraz zawiadomienie osoby, której dotyczą dane.

Należy podkreślić, że powyższe obowiązki, aktualizują się jedynie w przypadku, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Brak zastosowania się do opisanych powyżej obowiązków może być dla przedsiębiorcy bardzo dotkliwe. Za nieprzestrzeganie przepisów rozporządzenie może zostać bowiem nałożona kara administracyjna w wysokości 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, nie większa jednak niż 20.000.000 euro.