Szczegoly

25 maja br. zacznie obowiązywać unijne Ogólne rozporządzenie o ochronie danych (RODO), które w Polsce zastąpi dotychczasową ustawę o ochronie danych osobowych z 1997 r. Regulacje prawne w nim zawarte dotyczą wszystkich przedsiębiorstw, które gromadzą i przetwarzają dane osób fizycznych na terytorium Unii Europejskiej. Wszystko po to, aby ujednolicić zasady ochrony danych osobowych obywateli UE.

Nowe przepisy zostały przyjęte w formie unijnego rozporządzenia, co oznacza bezpośrednie ich stosowanie przez wszystkie podmioty, przetwarzające dane osobowe w UE, również te spoza Unii Europejskiej, które oferują swoje towary i usługi osobom przebywającym w UE. Rozporządzenie obejmuje również osoby fizyczne prowadzące działalność gospodarczą w stosunku do danych osobowych kontrahentów i zatrudnionych pracowników.

Wśród wielu innowacji, które wprowadza RODO warto wspomnieć o kluczowych zmianach:

1. Bezpośrednia odpowiedzialność przetwarzającego dane.
   Wszelkie podmioty przetwarzające dane osobowe, również te, które świadczą usługi na rzecz administratorów danych osobowych (np. firmy outsourcingowe dostarczające rozwiązania w tzw. chmurze) będę ponosić bezpośrednią odpowiedzialność za naruszenie przepisów RODO oraz ponosić ryzyko otrzymania kar finansowych. Co więcej, RODO implikuje również bardziej restrykcyjne niż dotychczas obowiązki w zakresie sporządzania umów o przetwarzaniu danych osobowych.
2. Zgłaszanie naruszeń.
   RODO nakłada na administratorów danych obowiązek zgłoszenia w ciągu 72 godz. do UODO lub innego właściwego dla danego kraju organu nadzoru, każdego naruszenia danych osobowych, które skutkuje zagrożeniem pozbawienia praw i swobód osób poszkodowanych. W niektórych przypadkach może również wystąpić obowiązek bezzwłocznego zawiadomienia konkretnej osoby o zaistniałym zagrożeniu.
3. Nowe i rozszerzone prawa obywateli.
   Rozporządzenie wprowadza m. in. prawo do bycia zapomnianym (respektowane z wyłączeniem przypadków, uniemożliwiających usunięcie danych z innych okoliczności prawnych), uprawnienie do żądania przeniesienia danych oraz wzmocnione prawo dostępu i wglądu w dane obywatela. Ponadto osoby, których dane dotyczą, będą posiadały rozszerzone prawo do sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazu marketingu bezpośredniego.
4. Ograniczenia profilowania.
   RODO ograniczy możliwość profilowania konsumentów bez ich wcześniejszej zgody. Administratorzy danych zostaną zobligowani do pozyskania zgody na profilowanie przed rozpoczęciem zbierania danych, bezwzględnego poinformowania o profilowaniu i konieczności akceptacji braku na nią zgody.
5. Powołanie Inspektora Ochrony Danych Osobowych.
   RODO pociąga za sobą konieczność powołania Inspektora Ochrony Danych Osobowych wśród przedsiębiorców przetwarzających dane, który musi dysponować ekspercką wiedzą w zakresie ochrony danych osobowych.
6. Obowiązkowa inwentaryzacja danych i wymagania związane z dokumentacją.
   Rozporządzenie obliguje administratorów danych i podmioty przetwarzające dane w ich imieniu do archiwizacji i utrzymania rejestrów przetwarzania danych, z uwzględnieniem m. in.: powodów przetwarzania, kategorii danych, transferów, naruszeń i incydentów oraz zasad ochrony prywatności i potwierdzeń zgód na przetwarzanie danych.
7. Zgody.
   Regulacje RODO wprowadzają nowe i uzupełnione zasady pozyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych.
8. Rozbudowanie obowiązku informacyjnego.
   Przepisy RODO podkreślają konieczność spełnienia obowiązku informacyjnego w komunikacji sposobu przetwarzania danych osobowych w stosunku do osób, które dane te dotyczą.
9. Ocena wpływu ochrony danych.
   RODO nakłada obowiązek analizy wpływu ochrony danych przed podjęciem działań "wysokiego ryzyka", np. w przypadku profilowania na dużą skalę lub wykorzystania danych szczególnych kategorii (np. danych o stanie zdrowia pacjentów w służbie zdrowia).
10. Transfer danych poza Unię Europejską.
    Niedostatecznie zachowanie odpowiedniego poziomu zabezpieczeń podczas transferu danych poza Unię Europejską będzie zagrożone nałożeniem bardzo wysokich kar finansowych.