Nowe przepisy przyjęte zostały w formie rozporządzenia, co oznacza bezpośrednie stosowanie przepisów przez wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium Unii Europejskiej. RODO wejdzie w życie bez konieczności implementacji polską ustawą. Wszystko w celu ujednolicenia zasad ochrony danych osobowych w Unii Europejskiej.
Rozporządzenie to największa zmiana w podejściu do ochrony danych osobowych od dwudziestu lat. RODO wprowadza dużo nowości, o których należy pamiętać:
1. Bezpośrednia odpowiedzialność przetwarzającego dane
Organizacje przetwarzające dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz (jak na przykład firmy dostarczające rozwiązania w chmurze czy firmy hostingowe), będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania kary finansowej. Co więcej będą wymagane bardziej restrykcyjne niż dotychczas obowiązki w zakresie tworzenia umów o przetwarzaniu, natomiast odszkodowania i ograniczenia odpowiedzialności najprawdopodobniej będą podlegać renegocjacji.
2. Zgłaszanie naruszeń
Obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw
i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.
3. Nowe i rozszerzone prawa obywateli
Przepisami RODO wprowadzone zostaje:
- „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte),
- uprawnienie do żądania przeniesienia danych
- oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane.
Osoby, których dane dotyczą, będą także miały rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego
z wykorzystaniem danych osobowych, co ma niebagatelne znaczenie dla firm bazujących na analityce danych.
4. Ograniczenia profilowania
Wprowadzone zostały ograniczenia w zakresie profilowania włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych, surowy obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie.
Należy pamiętać, że nie jest to jedynie zmiana unijnych przepisów, które tylko pośrednio wpływają na obowiązek ich zastosowania
5. Wyznaczenie Inspektora Ochrony Danych Osobowych
Obowiązkiem niektórych firm zarówno kontrolujących, jak i przetwarzających dane, będzie wyznaczenie Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych.
6. Obowiązkowa inwentaryzacja danych i wymagania związane z dokumentacją
Kontrolujący i przetwarzający dane będą zobowiązani od przygotowania i utrzymania wszechstronnych rejestrów dotyczących przetwarzanych danych, uwzględniających m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.
7. Zgody
Przepisami RODO zostają wprowadzone nowe lub uzupełnione zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których dane dotyczą.
8. Rozbudowanie obowiązku informacyjnego
Przepisy RODO wskazują liczne informacje, które muszą być uwzględnione w komunikacji sposobu przetwarzania danych osobowych kierowanej do osób, których dane dotyczą.
9. Ocena wpływu ochrony danych
Wykonanie takiej analizy będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak na przykład profilowanie na dużą skalę czy wykorzystanie danych szczególnych kategorii (takich jak dane dotyczące zdrowia).
10. Transfer danych poza Unię Europejską
Niedostosowanie się do zakazu przesyłania danych, bez zachowania odpowiedniego poziomu zabezpieczeń, będzie zagrożone możliwością nałożenia bardzo wysokich kar finansowych.
Najważniejsze: za niestosowanie przepisów RODO kary będą, ale nie do końca wiadomo jakie. Chociaż przepisy rozporządzenia przewidują maksymalny pułap kar do 20 mln € lub do 4% rocznego obrotu, jednak szczegółowe zasady nakładania tych kar, które powinny być określone w polskich przepisach, nie zostały określone .
W razie pytań zapraszamy do kontaktu tel; 668 609 509; agencjabt@gmail.com; audyty wstępne i dokumentacja RODO. Zapraszamy do współpracy!