Poprzednia dyrektywa 95/46/WE już zapewniała każdemu obywatelowi UE prawo do ochrony jego danych osobowych. Zgodnie z artykułem 8 „The Charter of Fundamental Rights of The EU” (Karty Praw Podstawowych UE), prawem każdego obywatela jest ochrona swojej prywatności („prawo do pozostawienia w spokoju”). Jednakże nie istniał jednolity system co do implementacji dyrektywy. Każde państwo członkowskie, zatem, trochę inaczej wprowadziło owe przepisy, co w konsekwencji doprowadziło do niespójności prawa i ponoszenia wysokich kosztów administracyjnych.

Dla przykładu, według starych przepisów, jeśli by istniało dane przedsiębiorstwo, operujące w kilku krajach UE, każdorazowo miałoby styczność z innymi przepisami, co wymagałoby zatrudnienia prawników czy konsultantów, żeby mieć pewność, że podejmowane działania są w pełni legalne.

Zakładając ponadto, że przetwarzane dane byłyby zgłaszane do centralnej jednostki, firmy – matki, dodatkowo trzeba byłoby jeszcze sprawdzić, czy w ramach tego kraju jest to zgodne z prawem. Co oczywiste, naturalnym stałoby się liczenie z całkiem sporymi kosztami, co dla małych czy średnich przedsiębiorstw mogłoby być zabójcze.

Równie istotnym czynnikiem jest szereg zmian i rozkwitu technologii, jakie przyniosły ostatnie lata. Gwałtowny rozwój portali społecznościowych, usług mobilnych czy tych opartych na geolokalizacji był czymś, czego nie miało się nawet szansy przewidzieć. W związku z tym, istnieje spora potrzeba dostosowania prawa, tak aby było ono skuteczne i efektywne w obecnych czasach.

RODO przyniesie szereg zmian, które mają na celu uproszczenie bądź poświęcenie większej uwagi konkretnym czynnikom.

Co dostanie przeciętny użytkownik?

Ogólne wzmocnienie i poszerzenie swoich praw w kwestii dotyczących go danych. Rozporządzenie zapewni posiadanie większej kontroli nad nimi (co w czasach, gdzie wartość przetwarzanych danych w Europie sięgnie niedługo 1 triliona euro, wydaje się szczególnie istotne). Ponadto, uzyskamy łatwiejszy do nich dostęp, a co więcej, możliwe będzie otrzymanie pliku (w powszechnie używanym formacie) z dotyczącymi nas danymi od konkretnego administratora.

Zaś w przypadku naruszenia danych i prawdopodobnego zaistnienia wysokiego ryzyka naruszenia naszych praw lub wolności, będziemy musieli być o tej sytuacji powiadomieni (chyba że wymagałoby to niewspółmiernie dużego wysiłku). Co więcej, otrzymamy też prawo przenoszenia swoich danych, choćby pomiędzy usługodawcami internetowymi.

Próbując naprawić błędy młodości, uwiecznione w Internecie, z pomocą przychodzi „prawo do bycia zapomnianym”. Tyczy się to zwłaszcza pomówień, fałszywych informacji rozpowszechnianych na nasz temat, a nawet zdjęć. Ważne do zapamiętania jest to, iż odnosi się to i do czasów, gdy byliśmy niepełnoletnimi użytkownikami sieci. Pomimo bycia już osobami dorosłymi, otrzymuje się prawo do zażądania usunięcia tych danych. Jeśli nie zaburzają one wolności wypowiedzi czy wywiązania się z prawnego obowiązku, to administrator zobowiązany jest do ich usunięcia.

Warto nadmienić, że i prawa dzieci będą podlegać większej ochronie. Niedozwolone stanie się przetwarzanie danych dzieci poniżej 16 roku życia bez zgody ich prawnych opiekunów. Państwa członkowskie mogą jednak obniżyć tę granicę, aż do lat 13.

Odpowiednie organy ochrony danych w państwach członkowskich będą mogły nakładać kary pieniężne, sięgające 20 milionów euro lub 4% całkowitego światowego rocznego obrotu.

Jakie korzyści dla przedsiębiorstw?

Zaczynając od ujednolicenia przepisów w całej Unii, nie będzie już ważne, gdzie prowadzimy swój biznes. Koszty ponoszone dotychczas na dostosowanie się do lokalnych zasad, poświęci się na np. marketing czy badania, co naturalnie przyczyni się do szybszego rozwoju. Według unijnych szacunków, nowe prawo może zaoszczędzić nawet do 2.3 biliona euro.

Wiąże się to i ze zmianami. Administratora bezpieczeństwa informacji zastąpi Inspektor ochrony danych (IOD), z pewnymi wyjątkami. Małe i średnie przedsiębiorstwa będą zwolnione z obowiązku powołania IOD-a, chyba że regularnie przetwarzałyby tego rodzaju dane, występowałoby ryzyko naruszenia ludzkiej wolności czy praw, mogących prowadzić do uszczerbku fizycznego bądź szkód majątkowych albo chociażby przy przetwarzaniu danych wrażliwych („szczególnych kategorii danych osobowych”). Innym wyjątkiem jest są jeszcze dane dotyczące wyroków skazujących i naruszeń prawa. IOD nie musi być też pełnoetatowym pracownikiem ale choćby konsultantem, co dodatkowo przyczyni się do obniżenia kosztów.

Kolejnym powodem, dla którego zdecydowano się na wydanie nowego rozporządzenia, jest fakt iż całkowicie inne przepisy i wyjątki, obowiązujące w krajach UE, pośrednio przełożyły się na niższe społeczne zaufanie co do usług, firm i instytucji, przetwarzających dane. Wskutek tego, ich rozwój także został spowolniony.

Dzięki powstaniu Europejskiej Rady Ochrony Danych liczba organów nadzorczych z 28 zmniejszy się tylko do 1. Z pewnością ułatwi to prowadzenie działalności gospodarczej. Należy też nadmienić o zmianie zasad dla przedsiębiorstw spoza UE. Dotychczas firmy, powstałe na terenie Unii musiały liczyć się z surowszymi standardami niż te spoza niej. Rozporządzenie ustanawia, że teraz te przedsiębiorstwa również będą musiały się dostosować do standardów unijnych, o ile chcą oferować sprzedaż i prowadzić działalność na jej terenie.

W związku z możliwością przenoszenia danych, użytkownicy będą bez przeszkód przesyłać swoje dane pomiędzy poszczególnymi usługodawcami internetowymi. Nie będzie to, jak dawniej, wymagało powtórnego przechodzenia etapu rejestracji. Zatem małe przedsiębiorstwa, oferujące efektywne zabezpieczenia prywatności, staną na równi z dotychczasowymi gigantami a dalszym tego skutkiem stanie się bardziej konkurencyjny rynek.

Co jeszcze nam to przyniesie?

Wysnuć już teraz można wniosek prosty, a mianowicie oszczędności.

Ale to nie wszystko; zmieni się również podejście do prywatności. Właściwym standardem stanie się wbudowywanie zabezpieczeń od początku tworzenia konkretnych produktów czy usług. Poza tym, nawet bez jakichkolwiek działań ze strony użytkownika, mają być zapewnione środki ochrony danych, tj. minimalizacja, pseudonimizacja czy szyfrowanie.

Jeśli chodzi zaś o inne środki techniczne czy organizacyjne, rozporządzenie tylko podpowiada pewne środki. Nie ma określonych standardów bezpieczeństwa; tu administratorzy i podmioty przetwarzające otrzymują prawo decyzji, jakich środków gdzie i kiedy należy użyć.

Warto jeszcze tylko wspomnieć o innej nowości, tj. ocenie skutków dla ochrony danych. Jeśli przetwarzanie wiąże się z poważnym ryzykiem możliwego naruszenia praw lub wolności osób fizycznych, administrator przed jego rozpoczęciem dokonuje analizy i oceny potencjalnych konsekwencji tego działania. Jest wtedy zobowiązany do kontaktu z Inspektorem ochrony danych, jeśli takowy istnieje. Gdy ocena wykaże istotne wysokie ryzyko, w razie nie zastosowania środków odpowiednio je minimalizujących, trzeba skonsultować się z organem nadzorczym. Ten, wedle swoich uprawnień, wydaje zalecenia, opinie bądź ostrzeżenia, upomnienia i zakazy.

Głównym jednak celem tej oceny pozostaje ustalenie odpowiedniego modelu ochrony danych.

Podsumowując, zmiany mają na celu unowocześnienie i dostosowanie prawa do obecnych czasów. Ponadto, poprzez szereg ujednoliceń zapewnić mają bardziej przejrzyste zasady ochrony prywatności, w szczególności poprzez ustanowienie jednego organu nadzorczego. Skorzystają na tym zdecydowanie małe i średnie przedsiębiorstwa, jak i zwykli użytkownicy.