Nowe regulacje i istotne zmiany – RODO
01 lut 2017
Podmioty z sektora publicznego i prywatnego prowadzące działalność w Unii Europejskiej (UE) będą zobowiązane stosować przepisy RODO. Nadto nowe przepisy ww. rozporządzenia będą obejmować swym zasięgiem również podmioty spoza UE o ile będą one przetwarzać dane osób, przebywających w Unii.
Poniżej przedstawiamy najważniejsze zmiany wynikające z wejścia w życie RODO:
Rejestr czynności przetwarzania danych osobowych
- W odróżnieniu od aktualnie obowiązujących przepisów, zgodnie z RODO nie będzie obowiązku rejestracji zbiorów danych w GIODO (Generalny Inspektor Ochrony Danych Osobowych). Jedynie w szczególnych przypadkach, Administratorzy Danych (Inspektorzy Ochrony Danych – IOD) będą zobowiązani prowadzić wewnętrzny rejestr czynności przetwarzania danych osobowych.
Inspektor Ochrony Danych – IOD (poprzednio Administrator Bezpieczeństwa Informacji - ABI)
- Aktualnie funkcjonujący Administrator Bezpieczeństwa Informacji (ABI) zostanie zastąpiony Inspektorem Ochrony Danych (IOD). Od dnia 25 maja 2018 roku, powołanie Inspektora Ochrony Danych w ściśle określonych przypadkach będzie konieczne. Nadto, osoby, których dane będą przetwarzane, uzyskają uprawnienie w postaci możliwości kontaktowania się z Inspektorem Ochrony Danych w tym zakresie.
Brak obowiązku stosowania 8 (ośmio) znakowych haseł zmienianych co 30 dni
- Z dniem 25 maja 2018 roku zniknie obowiązek stosowania 8 (ośmio) znakowych haseł zmienianych co 30 dni. Oznacza to, że do Administratora będzie należała ocena skuteczności jego zabezpieczeń.
Zwiększenie świadomości pracowników o ochronie danych osobowych
Wymóg monitorowania i raportowania wycieków danych
- Zgodnie z RODO obowiązkowe będzie raportowanie do organów nadzorczych o wyciekach danych w ciągu 72 godzin od powzięcia informacji o naruszeniu. Niektóre sytuacje będą zobowiązywały do informowania o zaistniałym incydencie osoby, których dane wyciekły. Dotyczy to m.in. kontrahentów, a zwłaszcza konsumentów.
Obowiązek regularnego testowania bezpieczeństwa
- Samo wdrożenie środków bezpieczeństwa nie będzie wystarczające. RODO wprowadza obowiązek regularnego sprawdzania skuteczności zabezpieczeń. Do Administratora Danych będzie należało, jak często to robić i jakimi środkami. Nadto, obowiązkowe będzie monitorowanie incydentów
Przeprowadzenie analizy ryzyka
- Przeprowadzenie analizy ryzyka i prywatności przetwarzanych danych osobowych jest obowiązkowe jedynie w określonych sytuacjach. Mając na uwadze wysokie kary administracyjne, taka analiza powinna być przeprowadzona przez Administratora Danych. To stanowi gwarancję wykazania przed organem nadzorczym zachowania odpowiedniej troski o bezpieczeństwo przetwarzanych danych. Jednym słowem stopień bezpieczeńśtwa ma odpowiadać stwierdzonemu ryzyku.
Wzrost uprawnień – wprowadzenie prawa do zapomnienia
- Rozporządzenie Parlamentu Europejskiego zwiększa uprawnienia, w tym wprowadza uprawnienie do bycia zapomnianym. Inaczej mówiąc, osoby, których dane są przetwarzane w celach marketingowych, uzyskują prawo żądania trwałego usunięcia ich danych z systemów Administratora. Dodatkowo RODO wprowadza prawo do przenoszenia danych. Przykładem tego może być przenoszenie danych pomiędzy firmami telekomunikacyjnymi.
Opracowanie i wdrożenie odpowiednich procedur i środków bezpieczeństwa
- W myśl RODO, Administrator Danych będzie odpowiedzialny za wybór odpowiednich procedur i środków bezpieczeństwa adekwatnych do ryzyka dla przetwarzanych danych osobowych. Oznacza to brak narzuconych rozwiązań w tym zakresie.
Przetwarzanie danych dziecka za zgodą opiekunów
Profilowanie
- RODO reguluje zasady zautomatyzowanego przetwarzania danych osobowych, potrzebne zwłaszcza do analizy lub prognozy aspektów dotyczących osobistych preferencji użytkownika, jego zainteresowań, zachowania, lokalizacji, czy też przemieszczania się. Stosowanie profilowania wymusza dokonanie odpowiednich zmian w wewnętrznych politykach firm.
Rozszerzona formuła zgód
- Na etapie pozyskiwania danych osobowych, obowiązkiem Administratora Danych będzie podanie m.in. informacji o prawie do ich przenoszenia, okresie przechowywania, zamiarze ich przekazania do państw trzecich.
Kary finansowe
- Konsekwencją nieprzestrzegania RODO może być nałożenie kary administracyjnej nawet do 20.000.000 euro, a w przypadku przedsiębiorstwa – do 4% całkowitego światowego obrotu za dany rok. Z kolei kary do 10.000.000 euro lub 2% całkowitego światowego obrotu za dany rok mogą grozić za naruszenie obowiązków Administratora. Oczywiście wysokość kary będzie uzależniona od wielu składników i konkretnego przypadku.