Osoby prowadzące działalność wiążącą się z przetwarzaniem danych osobowych, aby uniknąć zaskoczenia powinny zapoznać się z nadchodzącymi w przyszłym roku zmianami. Dnia 25 maja 2018 r. wchodzi bowiem w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. W związku z jego bezwzględnie obowiązującą mocą i brakiem konieczności implementacji, z chwilą tą zacznie wiązać na terenie Polski. Wiązać się to będzie z koniecznością odstąpienia od stosowania sprzecznych z nim regulacji krajowych. Najprawdopodobniej jednak potrzeba taka nie zajdzie ponieważ w Ministerstwie Cyfryzacji przygotowano już wstępny projekt całkowicie nowej, uchylającej aktualnie obowiązującą, ustawy o ochronie danych osobowych.

Wśród najważniejszych zmian na czoło wysuwa się likwidacja urzędu Generalnego Inspektora Ochrony Danych Osobowych i powołanie Urzędu Ochrony Danych Osobowych. Będzie on działał na zasadzie i w sposób podobny do bliźniaczych instytucji takich jak UOKiK czy URE. Wśród jego kompetencji znajdzie się uprawnienie do wymierzania wysokich kar administracyjnych. W zależności od niedopełnionego obowiązku, jego wagi i konsekwencji, kary osiągać będą mogły poziom 20 000 euro bądź, w przypadku przedsiębiorstw 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Co więcej na przetwarzający dane osobowe podmiot nałożony zostanie swoisty obowiązek samodenuncjacji. W przypadku naruszenia ochrony danych osobowych (np. przypadkowego udostępnienia ich w Internecie) będzie on musiał powiadomić o tym UODO. Fakt dobrowolnego zgłoszenia korzystnie wpływać będzie na nakładaną karę.

Równie warte uwagi są nowe regulacje dotyczące, bardziej codziennych niż kary, kwestii. Po pierwsze znika rejestr zbiorów danych osobowych, a w jego miejsce pojawia się rejestr czynności przetwarzania danych osobowych. Dużej grupy przedsiębiorców nie będzie on jednak dotyczył, gdyż nie znajdzie zastosowania do podmiotów zatrudniających mniej niż 250 osób (chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych). Również jedynie większych podmiotów (bądź przetwarzających głównie tzw. dane sensytywne) tyczyć się będzie obowiązek powołania inspektora ochrony danych osobowych. Duża grupa nowości ma jednak zakres powszechny. W szczególności pewnym modyfikacjom ulec będą musiały formularze, pouczenia i informacje udzielane w związku z udzielaniem zgody na przetwarzanie danych. Rozporządzenie nakazuje bowiem poszerzyć zakres udzielanych przez administratora informacji.

Zmianą interesującą również dla osób, których dane osobowe są przetwarzane jest kształt nadany tzw. „prawu do bycia zapomnianym”, a więc możliwość żądania usunięcia przez administratora ich danych.

Podkreślić jednak należy, że zmian będzie znacznie więcej, i nieodzownym jest dokładne przeanalizowanie nowej ustawy i rozporządzenia pod kątem specyfiki prowadzonej działalności.

Karolina Seidel