Komentarz ma na celu przedstawienie i wyjaśnienie założeń Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych oraz najistotniejszych problemów związanych z ochroną danych osobowych.

Ponieważ większość autorów komentarza to praktykujący prawnicy, komentarz obejmuje nie tylko ściśle naukową analizę przepisów, lecz także zawiera praktyczne wskazówki ułatwiające rozpoczęcie stosowania przepisów nowego rozporządzenia. Autorzy umieścili również wiele odwołań do praktyki stosowania prawa na gruncie ustawy o ochronie danych osobowych, co ułatwi przejście na nowy stan prawny.

Ogólne rozporządzenie o ochronie danych osobowych określa m.in.:

• zasady dotyczące przetwarzania danych osobowych i zgodność ich przetwarzania z prawem;
• nową rolę inspektora ochrony danych, do którego zakresu zadań należy w szczególności: informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia, monitorowanie przestrzegania przepisów tego rozporządzenia, udzielanie na żądanie zaleceń co do oceny skutków ochrony danych, monitorowanie wykonania ochrony danych oraz współpraca z organem nadzorczym;
• kary pieniężne za nieprzestrzeganie przepisów rozporządzenia, które w każdym indywidualnym przypadku powinny być skuteczne, proporcjonalne i odstraszające; kary te będą mogły być stosowane z urzędu bez uprzedniego wezwania do usunięcia uchybień;
• obowiązek prowadzenia przez inspektora ochrony danych osobowych rejestru czynności przetwarzania, w którym są odnotowywane informacje dotyczące przetwarzania danych; rejestr operacji przetwarzania danych jest udostępniany na żądanie organu nadzorczego;
• obowiązek uwzględnienia ochrony danych w fazie projektowania oraz wprowadzenia mechanizmów domyślnej ochrony danych bez konieczności podejmowania działań przez osoby, których dotyczą; powoduje to konieczność wdrożenia przez administratorów właściwych rozwiązań technicznych i organizacyjnych gwarantujących odpowiedni poziom bezpieczeństwa danych;
• szerokie uprawnienia dla osób, których dane dotyczą, m.in. prawo do bycia zapomnianym (tj. prawo osoby, której dane dotyczą, do żądania od administratora niezwłocznego usunięcia jej danych w przypadkach określonych w rozporządzeniu, np. po cofnięciu przez nią zgody na dalsze przetwarzanie jej danych lub w sytuacjach przetwarzania danych niezgodnie z prawem), prawo do sprostowania bądź ograniczenia przetwarzania, jak również prawo do przenoszenia danych do innego administratora, czy też przejrzyste udzielanie informacji osobie, której dane dotyczą;
• warunki wyrażenia zgody przez dziecko na przetwarzanie danych osobowych; zgoda dziecka poniżej 16. roku życia na przetwarzanie danych osobowych w związku z korzystaniem przez nie z usług internetowych czy mediów społecznościowych wymaga zgody rodzica lub opiekuna prawnego;
• uregulowanie zasad profilowania − informowanie osób, których dane dotyczą o fakcie profilowania oraz o konsekwencjach takiego profilowania;
• obowiązki administratora danych osobowych, takie jak: rozszerzenie obowiązku informacyjnego, obowiązek zgłaszania naruszeń ochrony danych osobowych, obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych itd. Rozporządzenie ustanawia również mechanizmy mające na celu różnicowanie ryzyka związanego z przetwarzaniem danych osobowych przez poszczególnych administratorów danych osobowych. Jednym z takich mechanizmów jest podejście oparte na ryzyku i sprowadza się do uzależnienia zakresu obowiązków nałożonych na administratora danych osobowych od specyfiki przetwarzania danych w organizacji tego administratora oraz od ryzyka, jakie może wiązać się z ewentualnym naruszeniem bezpieczeństwa danych. Koncepcja ta z jednej strony ma być ułatwieniem dla małych i średnich administratorów danych osobowych, a z drugiej jest obowiązkiem dla tych właśnie administratorów przeprowadzenia wstępnej analizy ryzyka.

Adresaci:

Komentarz zainteresuje przede wszystkim praktyków prawa: adwokatów, notariuszy, radców prawnych, prokuratorów, sędziów, a także osoby zobowiązane do stosowania przepisów o ochronie danych osobowych, m.in.: urzędników, inspektorów ochrony danych, specjalistów ds. ochrony danych osobowych (w tym specjalistów ds. ochrony danych osobowych dzieci), specjalistów ds. bezpieczeństwa teleinformatycznego, osoby zajmujące się udostępnianiem informacji publicznej, osoby zapewniające ponowne wykorzystywanie informacji sektora publicznego. Cenne wskazówki znajdą również osoby zajmujące się działalnością marketingową, kadrową i księgową, informatycy, jak również pracownicy sektora nowych technologii.