Na podstawie Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 IV 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE z 2016 r. L 119, s. 1) – skrótowo określanym „RODO”, od 25 maja 2018 r. znaczącej zmianie ulegną obowiązki w zakresie ochrony danych osobowych. Przepisy będą jednolite dla wszystkich krajów członkowskich UE. Rozporządzenie spowoduje, że wiele przepisów polskiej ustawy o ochronie danych osobowych ulegnie zmianie lub w ogóle przestanie obowiązywać.
Nowe zasady wejdą w życie w sposób bezpośredni, co oznacza, że nie będą wymagać krajowej implementacji. Ich celem jest wzmocnienie pozycji osób fizycznych i większą ochronę ich danych osobowych m.in. poprzez nałożenie nowych obowiązki na przedsiębiorców oraz pozostałe podmioty. Pomimo faktu, iż RODO zacznie obowiązywać dopiero za niecały rok, to nowe obowiązki – m.in. w zakresie zabezpieczenia danych osobowych i zgłaszania naruszeń – są na tyle istotne, a sankcje z nimi związane na tyle surowe, że przedsiębiorcy powinni zapoznać się z nadchodzącymi zmianami. Poniżej przedstawiamy część z nich.
Modyfikacja konstrukcji zgody na przetwarzanie danych
Podstawową zmianą przewidzianą w RODO jest zmiana procedury pozyskiwania zgody na przetwarzanie danych osobowych. Dostosowanie procedury do nowych przepisów jest o tyle istotne, że uzyskanie zgody w sposób nieprawidłowy będzie powodowało nieważność udzielonej zgody, a tym samym przedsiębiorca nie będzie mógł na jej podstawie przetwarzać uzyskanych danych osobowych. Nowe przepisy rozszerzają obowiązek informacyjny podczas zbierania danych. Katalog sytuacji, w których możliwe jest przetwarzanie danych osobowych, zasadniczo nie ulegnie zmianie i przetwarzanie będzie zgodne z prawem jeśli spełniony będzie jeden z warunków wskazanych w RODO, m.in. przetwarzanie będzie niezbędne do wykonania umowy lub do podjęcia działań przed samym zawarciem umowy, przetwarzanie będzie niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze itd. Dodatkowo, rozporządzenie doprecyzowuje jakie warunki powinna spełniać wyżej wskazana zgoda.
Jak wynika z treści punktu 32 RODO, „Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia”. W praktyce oznacza to, że tzw. formularze zgody powinny być sformułowane jasnym i czytelnym językiem. Formularze niezrozumiałe bądź zbyt zawiłe dla osoby, której dane mają być przetwarzane mogą okazać się wadliwe, a zgoda – uznana za bezskuteczną.