Zmiany wprowadzone przez RODO - prawnik z kancelarii prawnej Konrada Krasuskiego wyjaśnia znaczenie zmian wprowadzonych przez RODO. RODO zmienia wiele istotnych kwestii związanych z ochroną danych osobowych. Zmiany te nie są rewolucyjne, jednak należy im się przyjrzeć i dostosować prowadzenie swojej działalności do jego przepisów.
Kary finansowe
Z punktu widzenia przedsiębiorców najważniejsze jest to, że RODO wprowadza bardzo dotkliwe kary finansowe za brak wdrożenia i przestrzegania nowych przepisów dotyczących ochrony danych osobowych. Przedsiębiorcy mogą zostać ukarani karą finansową od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa. Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie bezpośrednio szef firmy. Odpowiada on zarówno przed urzędem kontroli, jak i przed sądami powszechnymi. Nie może przenieść tej odpowiedzialności na innych pracowników.
Inspektor danych osobowych
Zadania dotychczasowego administratora danych osobowych przejmuje w znacznej mierze nowy podmiot - Inspektor Ochrony Danych. Jak wyjasnia nasz radca prawny osoba ta będzie odpowiedzialna za bezpieczeństwo danych w danej organizacji. RODO określa w jakich sytuacjach powołanie IOD jest wymagane.
Analiza ryzyka wg RODO
Nasz prawnik wskazuje, że wyrażone w rozporządzeniu podejście oparte na ryzyku (ang. risk based approach) określa sposób, w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbierane i wykorzystywane są dane osobowe, konieczne jest analizowanie ryzyka, jakie może to spowodować dla prywatności osób, których te dane dotyczą. Zatem podmioty przetwarzające dane osobowe będą zmuszone dokonać analizy ryzyka, która wiąże się z tym procesem. Wyniki takiej analizy, administrator danych powinien uwzględnić przy dostosowaniu prowadzonej przez siebie działalności do przepisów RODO.
Nowa dokumentacja wg RODO
Na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych istniał obowiązek rejestracji zbiorów danych osobowych do GIODO. Administratorzy danych tworzyli także polityki bezpieczeństwa i instrukcję zarządzania system informatycznym. Na tym zwykle kończyła się ochrona danych osobowych w danej organizacji. Jednym z najważniejszych obowiązków, które RODO nakłada na podmioty przetwarzające dane osobowe, jest prowadzenie rejestru naruszeń. Inspektor Ochrony Danych jest zobligowany do rejestrowania wszelkich naruszeń ochrony danych osobowych, w tym także okoliczności naruszenia ochrony danych osobowych, jak też jego skutki oraz podjęte działania zaradcze. RODO wymaga również prowadzenia wewnętrznego rejestru czynności przetwarzania danych, zawierającego m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania i wiele innych. Dodatkowo niezbędne będzie zawarcie umów z procesorami, czyli podmiotami przetwarzającemu dane osobowe na zlecenie innych podmiotów.
Dostosowanie działalności do przepisów RODO
RODO wymaga podjęcia wielu działań, mających na celu dostosowanie do nowych przepisów - wyjasnia radca prawny. Przykładem mogą być m.in. oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych lub klauzule informacyjne. Nowe klauzule informacyjne powinny obejmować znacznie więcej informacji – np. podstawę prawną przetwarzania, dane kontaktowe do IOD, okres przechowywania danych, prawa przysługujące osobie, której dane dotyczą. Zasada rozliczalności To na podmiocie przetwarzającym dane osobowe ciąży obowiązek wykazania, że przetwarza dane osobowe zgodnie z prawem (zasada rozliczalności). W tym celu niezbędne będzie stworzenie odpowiednich procedur postępowania - polityk prywatności i bezpieczeństwa, a także regularnego ich testowania i aktualizowania. Przystosowanie działania podmiotów przetwarzających dane osobowe jest procesem bardzo trudnym i czasochłonnym. Jest to szczególnie kłopotliwe z tego powodu, że przepisy RODO nie przewidują gotowych rozwiązań, a to na tym podmiocie ciąży obowiązek wykazania, że przetwarza dane osobowe w sposób prawidłowy. W razie niemożności wykazania tych okoliczności, może on zostać ukarany bardzo dotkliwą karą pieniężną.
Nowe uprawnienie osób, których dane dotyczą
RODO przyznaje osobom, których przetwarzanie danych osobowych dotyczy, nowe uprawnienie jakim jest prawo do przenoszenia danych. Warto dodać, że prawo do bycia zapomnianym to po prostu znane już na gruncie ustawy o ochronie danych osobowych prawo do usunięcia danych.
Inne zmiany
Poza wyżej wskazanymi zmianami, RODO wprowadza kilka nowości, która zostaną omówione w późniejszym czasie, takie jak privacy by design, privacy by default czy ograniczenie profilowania.
Zastanawiasz sie, czy przetwarzasz dane osobowe zgodnie z przepisami RODO? Zgłoś napisz do kancelarii prawnej Konrada Krasuskiego. Nasz prawnik doradzi Ci jak prawidłowo przetwarzać dane osobowe.