Top 10 zmian, które wprowadza Rozporządzenie RODO

Marek Wiński

RODO, RODO, RODO – to hasło pojawia już wszędzie, w biurach, urzędach, sądach, na ulicach, a nawet w pubach. Jakie są największe zmiany czekające przedsiębiorców w 2018 roku? Tak! Oczywiście RODO. Jednocześnie po miesiącach wdrożeń, szkoleń, konferencji jesteśmy w stanie wytypować 10 najważniejszych zmian, jakie najczęściej są wymieniane w rozmowach dotyczących RODO.

 

Oto zatem RODO w pigułce, czyli 10 najważniejszych zmian, jakie czekają przedsiębiorców w 2018 roku w zakresie przetwarzania danych osobowych.

 

Jednolite, bezpośrednio obowiązujące prawo o ochronie danych osobowych we wszystkich krajach UE

Jednym z problemów dotychczasowego systemu ochrony danych, opartego na Dyrektywie UE 95/46, było rozdrobnienie krajowych systemów prawnych w Unii Europejskiej. Każdy kraj członkowski wdrażał dyrektywę „po swojemu” i stosował swoje przepisy prawa krajowego. Dzięki lukom prawnym przedsiębiorcy uciekali do bardziej liberalnych systemów prawnych. Rozporządzenie RODO rozwiązuje ten problem, gdyż stosuje się je bezpośrednio w państwach członkowskich UE.

 
Kary finansowe do 20 mln EUR lub 4% obrotów oraz odpowiedzialność karna do 2 lat więzienia dla administratora danych

Przepisy nowego rozporządzenia wprowadzają dotkliwe kary finansowe za naruszenie przepisów o ochronie danych osobowych. Rozporządzenie przewiduje grzywnę maksymalnie do 20 mln EUR, a w przypadku przedsiębiorstwa do 4% całkowitego światowego obrotu z poprzedniego roku, za naruszenie istotnych przepisów ochrony danych osobowych przewidzianych w Rozporządzeniu RODO. W przypadkach mniejszej wagi limity kar będą dwukrotnie mniejsze (10 mln EUR lub do 2% światowego obrotu).

 
Bezpośrednia odpowiedzialność podmiotów przetwarzających dane (dawniej: tzw. procesorów)

Dotychczas odpowiedzialność podmiotu przetwarzającego (procesora) w stosunku do osób, których dane dotyczą, była ograniczona. Rozporządzenie RODO wychodzi z założenia, że podmiot przetwarzający dane osobowe ma obowiązki i ponosi odpowiedzialność tak, jak administrator danych osobowych. W tym względzie nie ma tutaj żadnego rozróżnienia.

 
Inspektor Ochrony Danych (IOD/DPO)

RODO likwiduje funkcję Administratora Bezpieczeństwa Informacji (popularny ABI) i w to miejsce wprowadza nową funkcję Inspektora Ochrony Danych (IOD, ang. Data Protection Officer - DPO). W szczególności powołanie Inspektora Ochrony Danych będzie konieczne w przypadku, gdy administrator zajmuje się monitorowaniem osób lub przetwarza dane szczególne (wrażliwe).

 
72 godziny na zgłoszenie incydentu naruszenia danych osobowych oraz rejestr naruszeń

Jest to nowość w systemie ochrony danych osobowych. Z badań wynika, że większość firm nie prowadziła rejestru incydentów, a przeciętny czas zgłoszenia naruszenia do organu nadzoru wynosił w UE ponad 2 miesiące. Według RODO w przypadku naruszenia ochrony danych osobowych administrator nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ma obowiązek zgłosić naruszenie organowi nadzoru. Administrator ma również obowiązek udokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych, skutki naruszenia oraz podjęte działania zaradcze.

 
Analiza ryzyka (DPIA, ang. Data Protection Impact Assessment)

Zgodnie z RODO w większości przedsiębiorstw konieczne będzie prowadzenie analizy ryzyka przetwarzania danych (zarówno na etapie inwentaryzacji oraz audytu zerowego, jak również przy projektowaniu nowych usług związanych z przetwarzaniem danych – tzw. privacy by design). Do tego typu analizy konieczne jest ustalenie aktywów danych osobowych, zagrożeń oraz istniejących zabezpieczeń, a następnie określenie niezbędnych zmian lub nowych zabezpieczeń.

 
Nowe procedury powierzenia przetwarzania danych i klauzule informacyjne

RODO kładzie istotny nacisk na bezpieczeństwo powierzenia przetwarzania danych oraz prawo do informacji osób, których dane są przetwarzane. RODO wprowadza istotnie rozszerzone warunki umowy o powierzenie przetwarzania danych, w szczególności wskazując na równoległą i niezależną odpowiedzialność podmiotu przetwarzającego dane. Istotnemu rozszerzeniu ulegają klauzule informacyjne, które mogą być zmorą dla sklepów i serwisów internetowych, którym zależy na skróceniu informacji pod formularzami zakupu do minimum.

 

Obowiązek inwentaryzacji danych osobowych (rejestr czynności)

Inwentaryzacja danych osobowych (rejestr czynności) to nowy obowiązek ewidencji zbiorów danych oraz czynności dokonywanych na tych zbiorach, zastępujący przede wszystkim obowiązek zgłaszania zbiorów danych do rejestru GIODO.

 
Prawo do bycia zapomnianym i prawo do wglądu w historię przetwarzania danych

Prawo do bycia zapomnianym jest rezultatem orzecznictwa Europejskiego Trybunału Sprawiedliwości (por. sprawa Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mario Costeja González (sygn. C-131/12). Prawo do bycia zapomnianym wywoła daleko idące skutki dla przedsiębiorców przetwarzających dane osobowe, w szczególności w zakresie ich obowiązków dotyczących architektury IT oraz systemów archiwizacji danych (backup).

 
Przetwarzanie danych osobowych dzieci

RODO kładzie istotny nacisk na zagwarantowanie przestrzegania praw dzieci przy przetwarzaniu danych osobowych i wprowadza w tym względzie szereg nowych obowiązków. W szczególności w przypadku, gdy dane osobowe zostały zebrane w nawiązaniu do oferowania bezpośrednio dzieciom usług społeczeństwa informatycznego (np. e-handel, portale społecznościowe), przetwarzanie tych danych jest dopuszczalne wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem. Dzieckiem według Rozporządzenia RODO jest osoba poniżej 16 lat (polski ustawodawca może obniżyć tę granicę do 13 lat).

Dział: Ochrona danych osobowych

Skomentuj

Upewnij się, że pola oznaczone wymagane gwiazdką (*) zostały wypełnione. Kod HTML nie jest dozwolony.

Skontaktuj się z Kancelarią Prawa Gospodarczego Wiński

Kontakt

Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
T. (+48) 71 79 400 90
F. (+48) 71 79 400 91
T. (+48) 22 122 88 42

godziny

Pn - Pt: 900- 1700
Sb - Nd: nieczynne

Wpisz swoje imię
Nr telefonu
Wpisz swój adres email adres email niewaściwy
Wpisz swoją wiadomość

Administratorem Twoich danych osobowych jest Kancelaria Radcy Prawnego Marek Wiński z siedzibą przy ul. Partyzantów 101/4, 51-679 Wrocław. Podanie danych jest dobrowolne, ale konieczne do obsługi zapytania ofertowego. Masz prawo do wglądu, poprawiania i żądania usunięcia danych. Więcej: Polityka prywatności

Biuro Wrocław

ul. Leszczyńskiego 4 lok. 80
50-078 Wrocław

filia warszawa

ul. Mokotowska 1
00-640 Warszawa