Powrót do wszystkich artykułówOd 25 maja 2018 roku przepisy regulujące zasady ochrony danych osobowych ulegną diametralnej zmianie. Na przedsiębiorców nałożone zostaną nowe obowiązki, których niewypełnienie może okazać się dla nich bardzo kosztowne. Astronomiczne, sięgające nawet 20 milionów euro lub 4% rocznego, światowego obrotu przedsiębiorstwa kary będą mogły być nakładane za każde uchybienie, a nie dopiero za niewykonanie wydanej przez organ nadzorczy decyzji. Co warto wiedzieć przed wejściem nowych przepisów w życie?
Czym jest RODO?
RODO, czyli ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), jest aktem prawa unijnego, który od dnia 25 maja 2018 roku obowiązywać będzie również w Polsce. Jako rozporządzenie akt ten nie wymaga implementacji do polskiego porządku prawnego. Krajowe przepisy dotyczące ochrony danych osobowych na chwilę obecną znajdują się na etapie projektu.
Chcesz wiedzieć więcej na temat RODO?
Pobierz darmową publikację dot. rozporządzenia RODO
Co zmieni się od 25 maja 2018 roku?
Inspektor Ochrony Danych
Wraz z wejściem w życie rozporządzenia, z polskiego porządku prawnego zniknie dotychczasowy Administrator Bezpieczeństwa Informacji. Wprowadzona zostanie natomiast funkcja Inspektora Ochrony Danych (IOD) odpowiedzialnego za bezpieczeństwo danych osobowych w organizacji oraz za składanie raportów z naruszeń do urzędu kontroli. Powołanie IOD obligatoryjne będzie w przypadku gdy:
- przetwarzania dokonuje organ lub podmiot publiczny;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
IOD ma być wyznaczany na podstawie kwalifikacji zawodowych, w szczególności wiedzy na temat prawa i praktyk w dziedzinie ochrony danych. Inspektor powinien także dysponować dogłębną wiedzą o organizacji. Konieczna będzie również znajomość technologii oraz stosowanych przez organizację rozwiązań informatycznych. Poziom kwalifikacji IOD będzie musiał być dostosowany do skali przetwarzania danych, z uwzględnieniem przenoszenia danych poza granice Unii. Do obowiązków IOD należeć będzie między innymi zgłaszanie wszelkich naruszeń bezpieczeństwa danych osobowych w ciągu 72 godzin od naruszenia, bezpośrednio do organu nadzorczego
oraz prowadzenie rejestru naruszeń, w którym dokumentowane będzie każde naruszenie ochrony danych osobowych wraz ze wskazaniem okoliczności tego naruszenia, jego skutków oraz działań podjętych w celu rozwiązania problemu wskazanego naruszenia.
Zmiany w zakresie stosowanych procedur oraz nowe klauzule
RODO wprowadza również konieczność wdrożenia procedur, które zapewnić mają bezpieczeństwo przetwarzania danych osobowych, w tym również metod regularnego testowania i oceny ich skuteczności. Co istotne rozporządzenie nie wskazuje jakie konkretnie procedury powinny zostać wdrożone zaznaczając jedynie, że obowiązek zachowania staranności w zakresie zabezpieczenia procesu przetwarzania danych osobowych obciąża administratora danych.
Rozporządzenie nakłada dodatkowo na administratora danych obowiązki informacyjne, które aktualizują się już na etapie pozyskiwania danych osobowych. Administrator obowiązany będzie do podania informacji o podstawie prawnej przetwarzania, danych kontaktowych do IOD, okresie, w jakim dane osobowe będą przetwarzane, prawie do ich przeniesienia, prawie do wniesienia skargi do organu nadzorczego czy prawie do cofnięcia zgody na przetwarzanie danych w dowolnym momencie. Wspomniane wyżej obowiązki wiążą się z koniecznością przygotowania dodatkowych, nowych klauzul informacyjnych.
Rejestr czynności przetwarzania
Na gruncie nowych przepisów znika obowiązek rejestracji zbiorów danych osobowych. Administratorzy danych obowiązani jednak będą do tworzenia wewnętrznego rejestru czynności przetwarzania danych, w którym gromadzone będą informacje o powodach przetwarzania danych, rodzajach podmiotów oraz kategoriach przetwarzanych danych osobowych czy osobach, które ponoszą odpowiedzialność za konkretne procesy przetwarzania danych.
Nowe uprawnienia dla osób fizycznych
Osoby, których dane są przetwarzane w celach marketingowych, na gruncie nowych przepisów nabędą szereg nowych uprawnień, między innymi prawo do bycia zapomnianym, tj. do trwałego usunięcia ich danych osobowych z systemów administratora (w formie cyfrowej, papierowej i kopii zapasowej), prawo do żądania przeniesienia danych do innego podmiotu czy prawo do otrzymania kopii danych.
Zapisz się na szkolenie.
Przygotuj się do wprowadzenia RODO w Twojej firmie.
Jakie są konsekwencje nieprzestrzegania nowych przepisów?
Za brak przestrzegania oraz wdrożenia nowych regulacji, RODO wprowadza wysokie kary finansowe. Na przedsiębiorców nałożone mogą być kary sięgające nawet do 20.000.000 euro lub do 4% wartości rocznego, światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa. Co istotne, kary finansowe będą mogły zostać nałożone za każde uchybienie, a nie dopiero za niewykonanie decyzji organu nadzorczego. Pamiętać również należy, iż za naruszenie regulacji rozporządzenia odpowiedzialność bezpośrednią ponosi osoba zarządzająca danym podmiotem. Odpowiedzialności tej nie można cedować na innych pracowników czy podmioty zewnętrzne.
