RODO – 10 najważniejszych zmian

Facebook

Twitter

Linkedin

Ogólne rozporządzenie o ochronie danych osobowych  to duże wyzwanie dla firm i instytucji

Wchodzące w życie w maju 2018 roku regulacje obejmą tematykę ochrony danych osobowych, procedur ich przetwarzania oraz praw obywateli do zarządzania nimi. Powszechnie mówi się o prawnej rewolucji, na którą przygotować muszą się polscy przedsiębiorcy.

Poniżej prezentujemy 10 najważniejszych zmian spowodowanych wprowadzeniem RODO:

1. Prawo do bycia zapomnianym

Prawo obywatela w zakresie kontroli nad jego danymi osobowymi zostaje wzmocnione, poprzez oddanie do jego dyspozycji nowych regulacji pozwalajÄ…cych wymusić usuniÄ™cie (zapomnienie) informacji o nim z archiwów/systemów danego podmiotu. O ile podobny mechanizm funkcjonuje już dziÅ› – jego zastosowanie w praktyce nie zawsze przynosiÅ‚o pożądany efekt lub powoduje jakÄ…kolwiek reakcjÄ™ ze strony administratora danych.

Dodatkowo obywatel będzie mógł zażądać od operatora przeniesienia swoich danych osobowych lub uzyskania bezpośredniej możliwości wglądu, jak i modyfikacji gromadzonych danych. Konsumentów natomiast niewątpliwie ucieszy możliwość wyrażenia całkowitego sprzeciwu wykorzystywania ich danych do celów marketingowych i działań z zakresu sprzedaży bezpośredniej.

2. Zgodna na przetwarzanie danych

Akceptacja przez obywatela warunków i wyrażenie zgody na przetwarzanie jego danych ma mieć formę odrębną (nie stanowić części innych umów/regulaminów) oraz być sformułowana w sposób prosty, czytelny i zrozumiały.

Zgoda będzie wyrażana dla konkretnego podmiotu, co oznacza ukrócenie procederu wymiany i handlu bazami danych pomiędzy firmami bez jakiejkolwiek kontroli obywatela nad tym kto i w jakim celu gromadzi o nim informacje. Przetwarzanie danych bez spełnienia tego warunku będzie się wiązać z odpowiedzialnością karną.

3. Zgoda na profilowanie

Profilowanie jest procesem polegajÄ…cym na automatycznym analizowaniu zachowaÅ„ użytkownika, jego cech fizycznych i zdrowotnych itp. w celu optymalnego dopasowania do niego konkretnych rozwiÄ…zaÅ„ i produktów. Najpowszechniejszym przejawem profilowania sÄ… reklamy internetowe, które gromadzÄ…c dane o odwiedzanych przez użytkownika witrynach tworzÄ… profil jego zainteresowaÅ„ i proponujÄ… w rezultacie konkretne, rzeczywiste produkty i usÅ‚ugi – co zwiÄ™ksza skuteczność sprzedaży.

Po wejÅ›ciu w życie RODO użytkownik bÄ™dzie musiaÅ‚ wyrazić zgodÄ™ przed rozpoczÄ™ciem przez operatora procesu gromadzenia i analizy danych, co może uderzyć w sektor rynku zajmujÄ…cy siÄ™ analitykÄ… tzw. “Big Data”.

4. Inspektor Ochrony Danych Osobowych

Część podmiotów będzie musiała powołać do życia nowe stanowisko w postaci IODO.

Do jego zadań będzie należeć monitoring oraz kontrola sposobu i procesu przetwarzania danych w swoim podmiocie, jak również i dbanie o ich bezpieczeństwo. Inspektor będzie bezpośrednio odpowiedzialny za wykryte naruszenia w ramach procesu kontroli, jak również zobowiązany do szkolenia personelu oraz stałej pracy nad poprawą bezpieczeństwa zarządzanych przez niego informacji.

Wśród grupy zobowiązanych do jego powołania zalicza się:

• podmioty publiczne (z wyjÄ…tkiem sÄ…dów),
• główna dziaÅ‚alność podmiotu polega na monitorowaniu osób na dużą skalÄ™,
• główna dziaÅ‚alność podmiotu polega na przetwarzaniu danych osobowych na dżą skalÄ™.

5. ObowiÄ…zek notyfikacyjny

Czyli 72 godziny na zgÅ‚oszenie naruszeÅ„. JeÅ›li administrator danych w skutek prowadzonych dziaÅ‚aÅ„ wykryje naruszenia prawa lub stwierdzi luki mogÄ…ce skutkować wyciekiem danych – musi on poinformować w ciÄ…gu 72 godzin wÅ‚aÅ›ciwy jemu organ nadzorczy. Zapis ten ma istotne znaczenie w przypadku wÅ‚amaÅ„ do systemów teleinformatycznych i kradzieży olbrzymiej iloÅ›ci, wrażliwych danych klientów – co stanowi realne zagrożenie i naruszenie ich praw.

W pewnych przypadkach administrator danych będzie musiał również poinformować użytkowników indywidualne o zaistniałym zdarzeniu.

6. Dokumentacja

RODO nakłada na operatorów danych osobowych dodatkowe obowiązki dokumentowania sposobu ich przetwarzanie.  Wśród nich muszą znaleźć się informacje o wyrażonych zgodach, powodach i celach gromadzenia, prowadzonych działaniach rozwojowych oraz wszelkich incydentach i naruszeniach w sferze bezpieczeństwa danych osobowych.

W praktyce ma to zapewnić pełną transparentność procesu przetwarzania.

7. Odpowiedzialność

MówiÄ…c o kwestiach bezpieczeÅ„stwa i obowiÄ…zkach prawnych, trudno pominąć temat kar za ich naruszenia. RODO wprowadza bezpoÅ›redniÄ… odpowiedzialność przetwarzajÄ…cego dane – a wiÄ™c podmiotu wykonujÄ…cego realne operacje (nawet na zlecenie osób/firm trzecich). Oznacza to, że dostawcy usÅ‚ug i systemów w chmurze ponosić bÄ™dÄ… dodatkowe ryzyko, choć jednoczeÅ›nie można przewidywać, że część mneijszych podmiotów tym chÄ™tniej skorzysta z ich rozwiÄ…zaÅ„ transferujÄ…c tym samy (choć częściowo) ryzyko operacyjne na takiego operatora.

Za naruszenie prawa przewidziano kary finansowe sięgające od 2% do 4% całkowitego rocznego obrotu za poprzedni rok obrachunkowy.

8. Procedura oceny oddziaływania

Analiza tego typu będzie wykonywana obowiązkowo przed przeprowadzeniem dużych operacji na danych osobowych. W jej skład wejdzie proces audytu oraz konsultacji z organami ochrony danych.

Jej celem jest sprawdzenie, czy w konkretnym – indywidualnym przypadku, przetwarzanie danych odbÄ™dzie siÄ™ w sposób bezpieczny. JeÅ›li analiza ryzyka wykaże luki i zagrożenia – bÄ™dzie stanowić podstawÄ™ do wdrożenia programu naprawczego.Organ paÅ„stwowy odpowiedzialny za ochronÄ™ danych osobowych bÄ™dzie również mógÅ‚ wystosowywać swoje wÅ‚asne zalecenia dla indywidualnych podmiotów i operatorów.

9. Transfer danych osobowych

Regulacja porusza również kwestię transferu danych osobowych poza granicę Unii Europejskiej. Istotą problemu jest zapewnienie wysokiego poziomu ich ochrony przy przeniesieniu danych do kraju, który nie posiada tak restrykcyjnego prawa chroniącego informacje o obywatelu.

Ma to również na celu unikniÄ™cie sytuacji, gdy dane sÄ… przenoszone do swoistych “rajów” pozwalajÄ…cych na ich nieregulowane przetwarzanie. W zależnoÅ›ci od indywidualnego przypadku, operator może być zmuszony do uzyskania zgodny na transfer danych od osoby, której on dotyczy. W skrajnych przypadkach zgodÄ™ na przeprowadzenie operacji transferu bÄ™dzie musiaÅ‚ wydać GIODO.

10. UÅ‚atwienia

RODO to nie tylko nowe obowiązki, lecz również pewne ułatwienia względem gromadzenia danych osobowych. Najistotniejszym elementem jest zniesienie obowiązkowego zgłaszania zbiorów danych osobowych oraz ich aktualizowania.

Od strony technicznej zniknÄ… również odgórne wymagania techniczne wzglÄ™dem zabezpieczeÅ„ – dajÄ…c operatorom peÅ‚nÄ… dowolność w opracowywaniu i wdrażaniu rozwiÄ…zaÅ„ najlepiej dopasowanych do ich profilu dziaÅ‚alnoÅ›ci oraz typu bazy danych.