Gruntowne zmiany dotyczące ochrony danych osobowych, już od maja 2018 r.

W dniu 26 maja 2016 r., weszło w życie unijne rozporządzenie – Ogólne rozporządzenie o ochronie danych tzw. RODO, natomiast od dnia 25 maja 2018 r., zacznie ono bezwzględnie obowiązywać. Zastąpi ono przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych.

Zadaniem RODO jest zabezpieczenie interesów obywateli. Już na etapie pozyskiwania danych administrator danych osobowych (ADO) będzie zobowiązany do podania informacji o prawie do ich przenoszenia, okresie przechowywania, zamiarze ich przekazania do państw trzecich, itp.

RODO likwiduje obowiązek rejestracji zbiorów danych osobowych. Pojawia się za to obowiązek prowadzenia rejestru czynności przetwarzania wewnątrz organizacji.

Procesorzy, czyli osoby lub organizacje które przetwarzały dane w imieniu ADO również będą zobowiązane do prowadzenia ww. rejestru. Będą też w niektórych okolicznościach obowiązane powołać Inspektora Ochrony Danych (IOD).

RODO dokonuje zmiany statusu i roli ABI (Administrator Bezpieczeństwa Informacji). Jest to znacząca zmiana w kontekście podziału obowiązków pracowniczych i rozwiązań kadrowych. Obecnie nie ma obowiązku powoływania administratora bezpieczeństwa informacji (ABI), a unijne rozporządzenie to zmienia. Zmieni się jednocześnie nazewnictwo – ABI od maja 2018 r. zostaje Inspektorem Ochrony Danych (IOD). Osoby, których dane będą przetwarzane będą miały prawo kontaktować się z nim w sprawach dotyczących przetwarzania danych osobowych. IOD będzie miał też obowiązek współpracy z Urzędem Ochrony Danych Osobowych.

Dane wrażliwe zostały dokładniej określone przez ustawodawcę, dodatkowo ich zestaw powiększył się o dane genetyczne i biometryczne.

Zwiększono uprawnienia osób, których dane są przetwarzane. Chodzi tu o prawo do usunięcia danych (zwane wcześniej prawem do bycia zapomnianym) i prawo przenoszenia danych, popularne ostatnimi czasami w związku z działalnością takich firm jak Google czy Facebook.

Nowe rozporządzenie nakazuje “donosić” na samego siebie, gdy dane osobowe wyciekną. W momencie, w którym sami przyznajemy się do popełnionego błędu możemy liczyć na łagodniejsze potraktowanie przez UODO (Urząd Ochrony Danych Osobowych). Co więcej, w niektórych wypadkach trzeba będzie też poinformować o incydencie osoby, których dane wyciekły (np. klientów).

System kar został znacząco rozbudowany i górna ich granica to 20.000.000,00 EURO lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku.

W szczególności zalecane jest, aby przed 25 maja 2018 r. dokonać:

  • weryfikacji przesłanek i podstaw przetwarzania danych osobowych,
  • weryfikacji konieczności i zasadności powołania Inspektora Ochrony Danych Osobowych,
  • analizy i weryfikacji dokumentacji kadrowej i zasad procesu rekrutacji,
  • ustalenia kategorii i zbiorów przetwarzania danych osobowych,
  • audytu przetwarzania danych pod kątem RODO i rekomendacji do wdrożenia w przyszłości,
  • przeprowadzenia szkoleń dla pracowników w zakresie nowych zasad przetwarzania danych na gruncie RODO,
  • weryfikacji stron internetowych pod kątem przetwarzania danych i rekomendacji zmian na gruncie RODO,
  • weryfikacji umów powierzenia przetwarzania danych osobowych oraz propozycji nowych postanowień pod kątem RODO,
  • weryfikacja stosowanych klauzul informacyjnych oraz propozycji nowych klauzul na gruncie RODO,
  • weryfikacja stosowanych klauzul zgody na przetwarzanie danych oraz propozycji nowych klauzul na gruncie RODO,
  • opracowanie wstępnej dokumentacji związanej z ochroną danych na gruncie RODO oraz systematycznej (cyklicznej, np. raz na kwartał) weryfikacji pod kątem nowych wytycznych i wskazówek organów nadzorczych.

Opisane powyżej kwestie to niektóre z ważniejszych zmian dotyczących ochrony danych osobowych.