RODO, czyli Unijne Rozporządzenie Ochrony Danych Osobowych – w oryginale General Data Protection Act wchodzi w życie 25 maja 2018 roku. Zastąpi ono obecnie obowiązującą ustawę o ochronie danych osobowych. RODO będzie obowiązywało we wszystkich 28 krajach Unii Europejskiej ujednolicając w ten sposób obowiązujące w nich, zróżnicowane przepisy o ochronie danych. W maju zakończy się tym okres dwuletniego wdrożenia nowych przepisów, podczas którego firmy miały okazję przygotować się do nadchodzących zmian. Nowe rozporządzenie ma na celu zwiększenie poziomu ochrony danych osobowych oraz dostosowanie zakresu ochrony danych osobowych do współczesnych realiów. Od dnia wejścia w życie wszyscy przedsiębiorcy działające na terenie Unii Europejskiej będą mieli obowiązek przestrzegania nowych wytycznych dotyczących przepływu i przetwarzania danych osobowych osób fizycznych.
Kiedy mam podpisać umowę RODO?
Dowiedz się czy musisz podpisywać z nami umowę o przetwarzaniu danych osobowych (PPDO). Przygotowaliśmy RODO-checker dzięki któremu sprawdzisz to w minutę.
Co zmienia nowa ustawa?
Nowy akt jest w dużym stopniu zbieżny z obowiązującą obecnie ustawą o ochronie danych osobowych. Niektóre zasady obowiązujące pod rządami starej ustawy zostaną jednak zmienione, a inne – całkowicie zniesione. Zmiany dotyczą przede wszystkim konieczności dopasowania przepisów do zmieniających się potrzeb w zakresie ochrony i przetwarzania danych. Do najbardziej istotnych zmian, jakie w związku z tym wprowadza RODO należą:
1. Zastąpienie Administratora Bezpieczeństwa Informacji (ABI) przez IOD, czyli Inspektora Ochrony Danych Osobowych. ABI nie był urzędem obligatoryjnym, jednak mimo to był przez wiele firm powoływany. Po wejściu RODO w życie przedsiębiorcy nie będą mieli już wyboru – IOD będzie musiał zostać powołany. Dotyczy to nie tylko firm, ale także wszystkich instytucjach publicznych, które w swojej działalności gromadzą i przetwarzają dane. Rozporządzenie nie narzuca firmom konieczności zatrudnienia nowej osoby z zewnątrz – Inspektorem Ochrony Danych w firmie może być np. jeden z pracowników, posiadający ekspercką wiedzę. Do głównych zadań IOD będzie należało monitorowanie przestrzeganie procedur w firmie i wymierzanie sankcji w związku z naruszeniami.
2. Rozszerzenie praw osób fizycznych, będące odpowiedzią na ich niezadowolenie z zakresu przysługującej dotychczas ochrony. Oznacza to, dla użytkowników – zwiększenie ochrony i dostępu do informacji, a dla firm – nałożenie nowych obowiązków. Wśród najważniejszych zmian dotyczących praw osób fizycznych możemy wymienić:
- Pojawienie się wprost tzw. prawa do bycia zapomnianym. Polega to na tym, że każda osoba po podaniu istotnego powodu może zażądać usunięcia swoich danych z baz przedsiębiorstw czy instytucji. Obecnie takie działanie możliwe jest dopiero po otrzymaniu wyroku sądowego, ale od 25 maja takie prawo przysługiwać będzie każdej osobie.
- Powstanie uprawnienia do przeniesienia danych, które ma oszczędzić czas dając możliwość bezpośredniego przekazania danych osobowych innemu administratorowi.
- Profilowanie, czyli zabieg dzięki któremu na podstawie zgromadzonych danych osobowych wyciągamy wnioski na temat innych cech ich właściciela. W praktyce mamy z nim do czynienia wszędzie, np. szukając produktów do pielęgnacji włosów wyświetlają nam się oferty salonów fryzjerskich. Dotychczas był to sposób na prowadzenie działań marketingowych za pomocą analityki danych. Po wejściu w życie RODO użytkownik w takich sytuacjach będzie mógł zgłosić swój sprzeciw.
3. RODO wprowadziło dla przedsiębiorców dwa nowe obowiązki: informacyjny i notyfikacyjny. Pierwszy zostanie po prostu rozszerzony, w stosunku do uregulowania w obecnej ustawie. Przedsiębiorca będzie musiał podać podstawę prawną na bazie której przetwarzane są dane osobowe. Najbardziej widocznym skutkiem tej zmiany będzie jeszcze większa liczba klauzul na stronach internetowych – firmy będą musiały informować o używanych zabezpieczeniach, posiadanych certyfikatach oraz zamiarze przekazania danych do państwa trzeciego. Jeśli chodzi o obowiązek notyfikacyjny polegać będzie na konieczności prowadzenia tzw. rejestru naruszeń, w którym zebrane mają być wszelkie przypadki naruszenia przez firmę bezpieczeństwa posiadanych danych. Co więcej to firma będzie sama musiała poinformować GIODO ( po 25 maja PUODO) o tych naruszeniach i to w 72 godziny. Jeżeli ryzyko naruszenia praw danej osoby, której dane wyciekły jest duże konieczne będzie zawiadomienie również jej.
4. Oprócz rejestru naruszeń w firmie konieczne będzie prowadzenie również rejestru przetwarzania. Wiąże się to z potrzebą inwentaryzacji danych – zgromadzenia w jednym miejscu informacji o celach przetwarzania, środkach ochrony danych i tym, kto jest ich administratorem. To dokument wewnętrzny firmy, który nie musi być przekazywany do GIODO – należy go jednak okazać przy okazji kontroli.
5. Privacy by design i privacy by default, czyli zupełnie nowe procedury bezpieczeństwa wprowadzane przez RODO. Pierwsza polega na zapewnieniu ochrony danych już podczas projektowania konkretnego produktu i usługi, którą przedsiębiorca chce wypuścić na rynek. Privacy by default polega zaś na ograniczeniu gromadzenia danych osobowych przez firmę jedynie do takich, które są jej potrzebne w konkretnej sytuacji. W związku z tym istnieje konieczność informowania o celach, dla których zbierane są dane. Wynika z tego, że informacji takich nie można wykorzystać do innych niż zapowiedziane działań – takich, na które nie wyrażono zgody. Dane muszą być też zawsze aktualne i poprawne.
Kary finansowe
PUODO, czyli następca GIODO zajmie się pod rządami nowego rozporządzenia nakładaniem kar finansowych na przedsiębiorców, którzy nie dostosowali się do przepisów. Jaka będzie ich wysokość? W zależności od rodzaju naruszeń –10 mln euro lub 2% rocznego obrotu firmy, a w przypadku rażących naruszeń nawet do 20 mln euro lub 4% rocznego obrotu.
Koniec z GIODO i zgłaszaniem do niego zbiorów
Ten obowiązek, ku uldze wielu przedsiębiorców, zniknie. I to nie dlatego, że zniknie sama instytucja, na której miejsce pojawi się PUEDO lub PUODO, czyli Prezes Urzędu Ochrony Danych Osobowych, które będzie dysponowało podobnym zakresem uprawnień. Wśród najważniejszych można wymienić kompetencje do przeprowadzania trzech rodzajów kontroli: planowej, doraźnej i przeprowadzanej w związku z postępowaniem administracyjnym.
Kogo dotyczy RODO?
Najprostsza odpowiedź brzmi – wszystkich. Skutki zmiany przepisów odczuje całe społeczeństwo – zarówno obywatele (osoby fizyczne) jak i przedsiębiorcy. Można wyróżnić dwie grupy, których dotyczy RODO:
- obywatele, ze względu na to, że każdy jest właścicielem swoich danych osobowych, które są ciągle przetwarzane przez różnego rodzaju instytucje i firmy,
- jednostki zajmujące się przetwarzaniem danych osobowych – instytucje i firmy.