Prawo dla przedsiębiorców
Kogo nie obowiązuje rozporządzenie GDPR (RODO)?
Unijne rozporządzenie GDPR (RODO) wyróżnia grupy podmiotów, których zakres GDPR (RODO) nie dotyczy. Do grupy tej należą m. in. osoby fizyczne, które w działalności czysto osobistej lub domowej (bez związku z działalnością zawodową lub handlową) przetwarzają dane osobowe, działalność nieobjęta zakresem prawa UE (np. związana z bezpieczeństwem narodowym) oraz działalność związana z przetwarzaniem danych przez instytucje unijne i dyplomatyczne. Rozporządzeniu GDPR (RODO) nie podlegają również organy państwowe zapobiegające przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub egzekucji kar.
Prawa podmiotu danych
Dostosowanie systemów informatycznych do wymogów rozporządzenia GDPR (RODO) to priorytet dla przedsiębiorców, którzy m. in. będą zobligowani do całkowitego i trwałego usunięcia danych osobowych "na żądanie" osoby, której te dane dotyczą. Administratorzy danych osobowych będą również mieli obowiązek udzielenia wszelkich informacji o danych osobowych osoby, której dane są przetwarzane, w terminie jednego miesiąca.
Inspektor Ochrony Danych (IODO)
Rozporządzenie GDPR (RODO) wprowadza nową odpowiedzialność za bezpieczeństwo danych osobowych i raportowanie naruszeń do organu nadzorczego. Dotychczasowe zadania realizowane przez Administratora Bezpieczeństwa Informacji (ABI) zostaną objęte przez Inspektora Ochrony Danych Osobowych, przy czym funkcję IODO będzie mogła pełnić również jednostka organizacyjna powołana zarówno przez administratora danych, jak i procesora.
Zgłaszanie naruszeń
Obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w ciągu 72 godzin od wykrycia naruszenia mogącego skutkować zagrożeniem praw i swobód osób, do właściwego urzędu (GIODO lub nowo powstałego Urzędu Ochrony Danych Osobowych), będzie spoczywał na IODO. Dobrą praktyką będzie również powiadomienie konkretnej osoby, której prawa i wolności zostały zagrożone.
Odpowiedzialność za przetwarzanie danych
Powołanie IODO lub skorzystanie z usług firm outsource'ingowej nie zwalnia przedsiębiorców z przestrzegania postanowień rozporządzenia GDPR (RODO). Dodatkowo, sporządzanie umów o powierzeniu przetwarzania danych będzie podlegało bardziej restrykcyjnym wymogom - rozporządzenie GDPR (RODO) szczegółowo wskazuje jaka powinna być zawartość umowy o powierzeniu za zgodą administratora danych osobowych. Każdy z przedsiębiorców musi zatem liczyć się z nowymi zasadami i obowiązkami, a przez to dobrze przygotować się do wdrożenia GDPR (RODO).
Kary finansowe
Za naruszenie rozporządzenia GDPR (RODO) przedsiębiorca zostanie poddany karze proporcjonalnej do skali naruszenia przepisów - rozporządzenie definiuje maksymalny wymiar kar, tj. 10 mln euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa, 20 mln euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa lub 100 tys. zł kary administracyjnej za naruszenia spowodowane przez administrację publiczną.
Weryfikacja postaw przetwarzania
Zanim nastąpi przetwarzanie danych osobowych przedsiębiorca powinien ustalić podstawy prawne uprawniające do przetwarzania danych osobowych oraz dostosować formularze zgód na przetwarzanie takich danych zgodnie z zasadą transparentności i dobrowolności. Warto podkreślić, że użyte w formularzach sformułowania powinny w sposób jasny i zrozumiały dla obywatela.
Data Privacy Impact Assessment (DPIA)
Dotychczasowy obowiązek dokonywania zgłoszeń zbiorów danych do GIODO zastąpi ocena skutków planowanych operacji przetwarzania dla ochrony danych. Głównym celem DPIA będzie ustalenie prawdopodobieństwa oraz wagi ryzyka dla praw i swobód osób, które może wiązań się planowanymi czynnościami przetwarzania, a także wdrożenie środków minimalizujących ryzyko naruszenia, przy czym ocena procesów przetwarzania danych osobowych pod kątem ryzyka i trafności oceny, a także podjęcie środków minimalizujących ryzyko będzie spoczywało na administratorze danych osobowych.
Transfer danych poza Europejski Obszar Gospodarczy
W przypadku przekazywania danych osobowych do podmiotów znajdujących się poza Europejskim Obszarem Gospodarczym, zadaniem administratora danych osobowych będzie ustalenie podstaw do przekazywania danych, a następnie dostosowanie procesu przetwarzania danych do wymogów rozporządzenia GDPR (RODO).
Rejestr przetwarzania danych osobowych
Unijne rozporządzenie GDPR (RODO) znosi obowiązek rejestracji zbiorów danych, ale wprowadza obowiązek prowadzenie wewnętrznych rejestrów przetwarzania danych osobowych. W zależności od specyfiki branży administratorzy danych osobowych będą zobligowani do utrzymania rejestrów zawierających m. in. powody przetwarzania danych, kategoria danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności linii produktowej, przechowywanie zgód na przetwarzanie danych, etc.