Od 1997 roku obowiązują w Polsce przepisy ustawy o ochronie danych osobowych ( uodo), stanowiącej implementację Dyrektywy 95/46/WE w systemie prawa polskiego. Równocześnie w 1997 w przepisach uchwalonej w 1997 roku Konstytucji RP ustawodawca w art. 51 uregulował zagadnienia związane z ochroną danych osobowych i w art. 47 prawo do ochrony prywatności.
Podmioty prowadzące działalność handlową i usługową są szczególnie ze względu na charakter prowadzonej działalności związane z przetwarzaniem danych osobowych. W dzisiejszej obowiązującej do dnia 24 maja ustawie, naruszenia ochrony prywatności są zagrożone odpowiedzialnością karną przewidzianą w art. 49 – 54 uodo. Każdy administrator danych osobowych ( ADO) przetwarzający dane osobowe bez przewidzianej w ustawie podstawie prawnej ( art. 23 ) lub nie będąc do tego uprawnionym podlega m.in. karze pozbawienia wolności do lat 2. Jeżeli przedmiotem przetwarzania są dane szczególnie wrażliwe ( art.27 ) to odpowiedzialność karna przewidziana w tym przepisie jest określona do lat 3. Również takie działania administratora danych jak naruszenie (choćby nieumyślne) obowiązku zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52 ), udostępnienie lub umożliwienie dostępu osobom nieupoważnionym ( art.51), nie zgłoszenie będąc do tego zobowiązanym zbioru danych do rejestracji ( art. 53), nie dopełnienie obowiązku informacyjnego wobec osoby, której dane dotyczą ( art. 54) są zagrożone odpowiedzialnością karną. W przepisach Rozporządzenia odpowiedzialność karna będzie zastąpiona finansową .
Dzisiejsze, obowiązujące od 25 maja 2018 roku przepisy Rozporządzenia PE i R w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych ( 2016/679 z dnia 27 kwietnia 2016.) wprowadzają zagrożenie odpowiedzialnością finansową, poprzez wprowadzenie administracyjnej kary finansowej za naruszenie przez administratora danych osobowych ( ADO) przepisów rozporządzenia. Nakładana przez organ nadzorczy administracyjna kara finansowa może wynosić do 20 000 000 euro lub do 4% rocznego światowego obroty. Przepisy nowej ustawy o ochronie danych osobowych przewidują odpowiedzialność karną tylko za przetwarzanie danych szczególnie wrażliwych bez podstawy prawnej. Nowe przepisy ochrony danych zawarte w uchwalonym rozporządzeniu mogą być przez niektórych uważane za rewolucyjne. Zapisy nie są rewolucyjne, gdyż większość uregulowań stanowi kontynuację rozwiązań wynikających z obowiązującej w Polsce przez 20 lat, Dyrektywy 95/46/WE. Dzisiejsze przepisy to zmiana filozofii stosowania przepisów, to zmiana sposobu myślenia i interpretacji przepisów dotyczących ochrony danych osobowych. Należy przykładowo wymienić takie nowe przepisy, jak wynikający z art. 35 obowiązek oceny skutków dla ochrony danych i ewentualnie przeprowadzenie z organem nadzorczym uprzednim konsultacji, obowiązkowe przez podmioty zobowiązane wyznaczenie inspektora ochrony danych, obowiązek uwzględnienia ochrony danych osobowych w fazie projektowania czy domyślnej ochrony danych ( art. 25), rejestrowania czynności przetwarzania danych osobowych, zgłaszanie ( w ciągu 72 godzin) naruszenia ochrony danych osobowych organowi nadzorczemu czy osobie, której dane dotyczą, są nie jedynymi ale szczególnie ważnymi obowiązkami administratora danych. Również administrator danych musi zapewnić bezpieczeństwo przetwarzania danych osobowych a także wypełniać szereg obowiązków wynikających z uprawnień osób, których dane dotyczą. Obowiązków tych jest wiele i ze względu na ich wagę i zagrożenie karą finansową wymagają od administratora szczególnej uwagi i dostosowanie działalności technicznej i organizacyjnej do wymogów wypełnienia celów przewidzianych w przepisach rozporządzenia. Administrator może wypełnić lub udokumentować wypełnienie swoich obowiązków przez utworzenie, przewidzianych w rozporządzeniu rozwiązań : jak wypracowanie kodeksu postępowań lub wypracowanie mechanizmów certyfikacji. W każdym przypadku administrator danych osobowych winien dokonywać analizy skutków swoich działań w kontekście możliwości stworzenia zagrożenia naruszenia praw i wolności osoby, której dane dotyczą lub innych przepisów rozporządzenia. Administrator jest zobowiązany również do stosowania w swoich działania zasad dotyczących przetwarzania danych osobowych do których należą : przetwarzanie zgodne z prawem, zbieranie danych w konkretnych, wyraźnych i zgodnych z prawem celach, przetwarzanie prawidłowe i w razie potrzeby uaktualniane, zawsze zgodne z celami, przetwarzanie w sposób zapewniający odpowiedni poziom bezpieczeństwa danych. Administrator w każdym przypadku musi wykazać się przestrzeganiem wskazanych zasad i mieć udokumentowane ich przestrzeganie. Administrator zobowiązany jest do stałej edukacji i szkolenia pracowników z przepisów ochrony danych osobowych i ich wypełniania na swoim stanowisku pracy. Administrator wyznaczając inspektora ochrony danych osobowych, tworzy wspomagającego go w jego działaniach eksperta i specjalistę. Aby w sposób prawidłowy i bezpieczny, gdy ilość przetwarzanych danych wymaga stałego ich monitorowania, administrator powinien dokonać audytu dotyczącego systemu i organizacji działań struktur podmiotu, w celu zapewnienia wysokiego i bezpiecznego poziomu ochrony danych. Rozwój nowych technologii przynosi nowe wyzwania w dziedzinie ochrony danych osobowych. Wzrasta zagrożenie bezpieczeństwa przetwarzanych danych. Dane osobowe są niejednokrotnie atrakcyjnym towarem handlowym ale również przedmiotem, a osoby, których dane dotyczą, podmiotem popełnianych przestępstw.
Andrzej Lewiński – Prezes Zarządu
Fundacji im. J. Wybickiego, radca prawny
Zastępca Gen. Inspektora Ochrony Danych Osobowych
w okresie 2006 – 2016
Przewodniczący Komitetu ds. Ochrony Danych Osobowych KIG
Honorowy Prezes Polskiej Izby Handlu.