RODO
25 maja 2018 r. zacznie obowiązywać w Polsce Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Z uwagi na rozległy zakres wdrażanych przepisów, czas jaki pozostał na dostosowanie się do nowych regulacji, należy uznać za bardzo krótki.

Co zmieni RODO?

Unijne rozporządzenie wprowadza m.in. bezpośrednią odpowiedzialność podmiotu przetwarzającego dane, np. dostawcy usług w chmurze lub firmy hostingowej, konieczność zgłaszania przez administratora danych naruszeń praw i swobód osób, których dane są przetwarzane, „prawo do bycia zapomnianym” oraz szerszy wgląd w dane przez obywateli, którzy nie chcą, aby ich dane były przetwarzane. Zmiany dotyczą także ograniczenia profilowania, na które obywatel musi wydać zgodę, ustanowienia Inspektora Ochrony Danych Osobowych, nowych zasad uzyskiwania zgód na przetwarzanie danych czy wymogu zachowania wysokiego poziomu zabezpieczenia przy ich transferze poza UE.

Kogo będzie dotyczyć RODO?

RODO ma dotyczyć wszystkich podmiotów (bez względu na skalę), które w związku z prowadzoną działalnością przetwarzają dane osobowe, w tym, co ważne, jednostki administracji publicznej. Warto też dodać, że RODO ma na celu ujednolicenie na terenie całej UE przepisów określających zasady ochrony i przetwarzania danych osobowych, co w rezultacie ma m.in. ułatwić firmom prowadzenie działalności na wielu rynkach. Potencjalne korzyści to jedna strona medalu. W przepisach bowiem przewidziano bardzo dotkliwe kary pieniężne za niedostosowanie się do RODO – w zależności od artykułu, do którego nie dostosuje się podmiot, mają one wynosić do 10 mln euro lub 2% rocznego (światowego) obrotu przedsiębiorstwa oraz do 20 mln euro lub 4% rocznego obrotu.

Co nowego wprowadza RODO?

Należy podkreślić, że RODO nie uchyla obecnie obowiązującej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2015 r. poz. 2135, ze zm.). Rozporządzenie z pewnością uchyli niektóre zapisy tej ustawy lub spowoduje ich zmianę, natomiast sama ustawa będzie funkcjonować jako uzupełnienie regulacji RODO.
Poniżej, w wielkim skrócie wymieniamy najważniejsze, wybrane zmiany związane z RODO, o których powinien wiedzieć każdy podmiot przetwarzający dane osobowe:
1. Inspektor Danych Osobowych (IDO) – firmy przetwarzające dane osobowe, a w szczególności dane wrażliwe, i takie, których naruszenie może stanowić zagrożenie dla wolności osób fizycznych, będą zobowiązane powołać w organizacji funkcję Inspektora Danych Osobowych. Obowiązkiem IDO będzie nadzór nad polityką bezpieczeństwa danych w firmie oraz każdorazowe zgłaszanie do urzędu nadzorczego przypadków naruszeń danych.
2. Osobista odpowiedzialność przetwarzającego dane za każde naruszenie przepisów spocznie na kierownictwie podmiotu (dotyczy to zarówno przedsiębiorstw, jak i jednostek administracji). Co istotne, RODO wprowadza odpowiedzialność bezpośrednią dyrektora podmiotu, bez względu na to, czy i w jaki sposób w organizacji funkcjonuje IDO.
3. Konieczność rewizji danych osobowych, modelu ich przetwarzania i klauzul. W praktyce dostosowanie funkcjonujących w firmie procesów biznesowych do RODO oznacza przeprowadzenie audytu w zakresie sposobu przetwarzania danych, ich ochrony i udostępniania – po to, by skutecznie wdrożyć politykę i procedury bezpieczeństwa oraz by działać zgodnie z Rozporządzeniem. Ani RODO, ani nowelizowana ustawa o ochronie danych osobowych nie wprowadzają jednak precyzyjnych wytycznych, w jaki sposób organizacje mają zapewnić bezpieczeństwo danych. Odpowiedzialność za ten obszar w pełni spoczywa na kierownictwie podmiotów.
4. Obligatoryjny rejestr naruszeń i powiadamianie organów do 72 godzin – w ramach RODO podmioty przetwarzające dane będą zobowiązane prowadzić dokumentację wszystkich przypadków naruszeń ochrony danych osobowych z uwzględnieniem okoliczności, w jakich do nich doszło, skutków i działań zaradczych podjętych w wykazanych przypadkach. Dodatkowo, IDO będą zobowiązani informować stosowny organ nadzorczy o każdym przypadku naruszenia ochrony danych w terminie nie późniejszym niż 72 godziny od zdarzenia.
5. Prawo do bycia zapomnianym i inne prawa obywateli – RODO w znacznym stopniu poszerza uprawnienia obywateli, których dane są przetwarzane. Pierwszym z nich jest prawo do bycia zapomnianym, które polega na trwałym usunięciu danych osobowych wnoszącego ze wszystkich nośników. Dotyczy to danych pod wszelką postacią – cyfrowych i papierowych oraz wszystkich nośników wykorzystywanych w organizacji (w tym przenośnych pamięci, notatek itp.). Drugim uprawnieniem jest poszerzone prawo wglądu do przetwarzanych danych, w tym prawo do uzyskania kopii danych. Trzecim prawem jest możliwość żądania przeniesienia przetwarzanych danych do innego podmiotu. Czwartym – możliwość dochodzenia przed sądem odszkodowań za szkody spowodowane niewłaściwym przetwarzaniem danych.