Nowości i zmiany, jakie niesie za sobą RODO

RODO wprowadza szereg zmian i nowości o charakterze prawnym i informatycznym, a czas, jaki został przewidziany na przygotowanie się do zmian kończy się w maju 2018 r.

Nowości i zmiany, jakie niesie za sobą RODO to, m.in.:

–  ocena ryzyka przetwarzania danych (ang. Data Protection Impact Assessment),

– rozszerzenie formuły zgody na przetwarzanie danych,

– zmiana statusu Administratora Bezpieczeństwa Informacji na Inspektora Ochrony Danych,

– profilowanie, raportowanie o własnych naruszeniach,

– przetwarzania danych dziecka tylko za zgodą opiekuna.

Zostań Inspektorem Ochrony Danych Osobowych – przyjedź na kurs podstawowy z ochrony danych osobowych.

Chcesz poszerzyć swoją wiedzę, ugruntować i zaktualizować swoje praktyczne umiejętności, potrzebujesz konkretnego wsparcia w rozwiązywaniu problemów z zakresu ochrony danych osobowych? Skorzystaj z warsztatów dla ADO i ABI.

Nowe przepisy będą wyzwaniem nie tylko dla prawników, ale też i sektora IT. Po zmianach przetwarzanie danych osobowych nie będzie możliwe bez przeprowadzenia analiz przetwarzania i ochrony danych osobowych. Najważniejsza to oczywiście analiza (ocena) ryzyka i prywatności danych, a odpowiedzialność za jej przygotowanie spoczywać będzie na administratorze danych (czyli na zarządach firm).

RODO przerzuca całą odpowiedzialność za wdrożenie procedur chroniących dane osobowe na przedsiębiorców. To po ich stronie będzie też kwestia dobru odpowiednich środków zabezpieczeń i kosztów ich wdrożenia, które powinny być adekwatne do zakresu i celu przetwarzania danych osobowych, przy czym i te decyzje trzeba będzie także udokumentować. Dodatkowo, z uwagi na to, że cyberzagrożenia pojawiają się i zmieniają bardzo dynamicznie, proces ten ma być cyklicznie (regularnie) monitorowany. Wdrażany wzorcowo powinien też pozwalać niezwłocznie reagować na zagrożenia i potencjalne wycieki danych.

Administrator danych będzie też musiał monitorować incydenty związane z bezpieczeństwem danych osobowych, a wycieki zgłaszać organowi nadzorczemu w terminie 72 godzin od stwierdzenia naruszeń. W przypadku, gdy wyciek będzie mógł skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator będzie miał obowiązek poinformowania o zagrożeniu także osoby, których to dotyczy, a przy wycieku znacznej ilość danych – także poprzez media.

Naruszenie przepisów będzie oznaczać dla przedsiębiorców określone sankcje – zarówno cywilnoprawne, jak i administracyjnoprawne (sięgające nawet do 20 MLN EUR lub w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).

Jakie czekają nas zmiany?

1. Zabezpieczono bardziej interesy obywateli. Już na etapie pozyskiwania naszych danych administrator danych osobowych (ADO) będzie zobowiązany do podania informacji o prawie do ich przenoszenia, okresie przechowywania, zamiarze ich przekazania do państw trzecich, etc. Powinniśmy również otrzymać kontakt do inspektora ochrony danych (IOD)
2. Nie będzie już konieczna rejestracja zbiorów danych osobowych przez GIODO. Pojawia się za to obowiązek prowadzenia rejestru czynności przetwarzania wewnątrz organizacji.
3. Osoby lub organizacje które przetwarzały dane w imieniu ADO również będą zobowiązane do prowadzenia wspomnianego rejestru. Będą też w niektórych okolicznościach obowiązane powołać Inspektora Ochrony Danych (IOD). Jest to znacząca zmiana w kontekście podziału obowiązków pracowniczych i rozwiązań kadrowych. Obecnie nie ma obowiązku powoływania administratora bezpieczeństwa informacji (ABI), a unijne rozporządzenie to zmienia. Zmieni się jednocześnie nazewnictwo – ABI od maja 2018 zostaje Inspektorem Ochrony Danych (IOD).
4. Osoby, których dane będą przetwarzane będą miały prawo kontaktować się z nim w sprawach dotyczących przetwarzania danych osobowych. IOD będzie miał też obowiązek współpracy z GIODO.
5. Dane wrażliwe zostały dokładniej określone przez ustawodawcę, dodatkowo ich zestaw powiększył się o dane genetyczne i biometryczne.
6. “Privacy by design” – mówimy o przygotowaniu odpowiednich zabezpieczeń i procedur zanim w ogóle zacznie się zbierać i przetwarzać dane. Chodzi tu zarówno o przeszkolenie i przygotowanie pracowników, którzy będą pracować z danymi ale również rozwiązania technologiczne na odpowiednim poziomie (oprogramowanie i sprzęt, projektowanie oprogramowania i odpowiednie jego domyślne ustawienia). Nowością jest koncepcja “privacy by design” tj. takie projektowanie rozwiązań, aby już na wczesnym etapie projektowania uwzględniały odpowiednią ochronę danych.
7. Rozporządzenie nakazuje “donosić” na samego siebie, gdy dane osobowe wyciekną. W momencie, w którym sami przyznajemy się do popełnionego błędu możemy liczyć na łagodniejsze  potraktowanie przez GIODO. Co więcej, w niektórych wypadkach trzeba będzie też poinformować o incydencie osoby, których dane wyciekły (np. klientów).
8. System kar został znacząco rozbudowany i górna ich granica to 20 000 000 euro lub 4 % całkowitego rocznego  światowego obrotu z poprzedniego roku. Wydaje się to być naprawdę solidną motywacją do zabezpieczenia danych osobowych.
9. Grupy kapitałowe będą mogły jednocześnie administrować te same dane. Konieczne będzie jednak wskazanie kto i za co odpowiada w konkretnym podmiocie.
10. Rodzice będą mogli “więcej” decydować o obecności ich dzieci w sieci, a szczególnie w mediach społecznościowych.

Grafika pochodzi z http://adaptiverodo.pl/

Informacja o szkoleniach na temat danych osobowych: https://www.ksoin.pl/szkolenia/ochrona-danych-osobowych/