Załączam wyciąg z komunikatu (pogrubienia moje)
Najważniejsze zmiany wprowadzane przez reformę obejmują:
Jeden zestaw przepisów dotyczących ochrony danych osobowych obowiązujący w całej UE. Niepotrzebne wymogi administracyjne, takie jak obowiązek zawiadomienia ciążący na przedsiębiorstwach, zostaną zlikwidowane. Przyniesie to przedsiębiorstwom oszczędności rzędu ok. 2,3 mld EUR rocznie.
Zamiast obecnego obowiązku zgłoszenia przez wszystkie przedsiębiorstwa wszelkich działań w zakresie ochrony danych organom nadzorującym ochronę danych – który to wymóg spowodował niepotrzebną biurokrację i kosztuje przedsiębiorstwa 130 mln EUR rocznie, rozporządzenie przewiduje większą odpowiedzialność i rozliczalność podmiotów przetwarzających dane osobowe.
Przykładowo przedsiębiorstwa i organizacje muszą powiadamiać krajowy organ nadzorczy o poważnych naruszeniach ochrony danych tak szybko, jak tylko jest to możliwe (jeżeli jest to wykonalne – w ciągu 24 godzin).
Organizacje będą się kontaktować tylko z jednym krajowym organem nadzorującym ochronę danych w tym państwie członkowskim UE, w którym posiadają główną siedzibę. Podobnie osoby fizyczne będą mogły kontaktować się z organem nadzorującym ochronę danych w swoim państwie, nawet jeżeli ich dane są przetwarzane przez przedsiębiorstwo mające siedzibę poza UE. W przypadku gdy do przetwarzania danych konieczna jest zgoda, zostało wyjaśnione, że będzie ona musiała zostać wydana wyraźnie, a nie być domniemana.
Osoby fizyczne uzyskają łatwiejszy dostęp do własnych danych i będą mogły łatwiej przekazywać swoje dane osobowe od jednego usługodawcy do drugiego (prawo do przenoszenia danych). Poprawi to konkurencję między usługodawcami.
„Prawo do bycia zapomnianym” pomoże ludziom lepiej zarządzać ryzykiem związanym z ochroną danych w internecie: osoby fizyczne będą miały możliwość usunięcia swoich danych jeżeli nie będzie istnieć uzasadniona podstawa do ich zachowania.
Unijne przepisy muszą obowiązywać w przypadku gdy dane osobowe są przetwarzane zagranicą przez przedsiębiorstwa prowadzące działalność na rynku UE i oferujące swoje usługi obywatelom UE.
Niezależne krajowe organy nadzorujące ochronę danych zostaną wzmocnione, aby mogły lepiej egzekwować unijne przepisy na terytorium kraju. Zostaną one upoważnione do nakładania kar na przedsiębiorstwa naruszające unijne przepisy o ochronie danych. Kary te mogą sięgnąć 1 mln EUR lub 2% łącznych rocznych obrotów przedsiębiorstwa.
W nowej dyrektywie ogólne zasady ochrony danych zostaną zastosowane w odniesieniu do współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych. Przepisy dyrektywy będą miały zastosowanie do przekazywania danych zarówno w kraju, jak i do transferów transgranicznych.
Zwrócę jeszcze uwagę na Sekcję 3 opowiadającą o ABI (teraz Data Protection Officer):
- ma być powołany ("shall" czyli polskie "powinno" de facto oznacza w normatywnym języku przymus)
- ma być fachowcem znającym m.in kwestie prawne ochrony danych osobowych
- może być współdzielony pomiędzy organizacjami
- ma być niezależny
Jak widać - ogólne kierunki zmian zapowiadają się ciekawie (trzeba teraz przyjrzeć się szczegółom). To czego mi brakuje to informacji o powiązaniu zarządzania danymi osobowymi z ISMS, a może nawet wymogu utworzenia przynajmniej zrębów pozwalających na zarządzanie tym zagadnieniem w organizacji. Smuci też to, że na zmniejszenie biurokracji trzeba będzie jeszcze poczekać ok. 2 lat
Na zakończenie parę nowych/starych definicji
'data subject' means an identified natural person or a natural person who can be.
identified, directly or indirectly, by means reasonably likely to be used by the
controller or by any other natural or legal person, in particular by reference to an
identification number, location data, online identifiers or to one or more factors
specific to the physical, physiological, genetic, mental, economic, cultural or social
identity of that person;
'personal data' means any information relating to a data subject;
'processing' means any operation or set of operations which is performed upon
personal data or sets of personal data, whether or not by automated means, such as
collection, recording, organization, structuring, storage, adaptation or alteration,
retrieval, consultation, use, disclosure by transmission, dissemination or otherwise
making available, alignment or combination, restriction, erasure or destruction;