RODO – najważniejsze zmiany w 2018 r.

W nawiązaniu do naszego artykułu z 12 maja 2017 r. o istotnych zmianach w zakresie ochrony danych osobowych, które zaczną obowiązywać od 25 maja 2018 r., w niniejszym artykule przedstawiamy najważniejsze zmiany, które wprowadzają przepisy europejskiego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”).

imagesPodstawowe zmiany, jakie wprowadza RODO to:

  1. Opracowanie i wdrożenie adekwatnych procedur i środków bezpieczeństwa – Zgodnie z RODO odpowiedzialność za dobór procedur i środków bezpieczeństwa adekwatnych do ryzyka dla przetwarzanych danych osobowych spoczywa na administratorze danych.
  2. Obowiązek monitorowania i raportowania wycieków danych – Konieczne będzie opracowanie i wdrożenie odpowiednich procedur w zakresie monitorowania naruszenia bezpieczeństwa i raportowanie do organów nadzorczych o wyciekach danych w ciągu 72 godzin po stwierdzeniu naruszenia. W niektórych wypadkach trzeba będzie także poinformować o takim incydencie osoby, których dane wyciekły (np. konsumentów, kontrahentów, etc.).
  3. Wymóg regularnego testowania bezpieczeństwa – Nie wystarczy wdrożyć odpowiednie środki bezpieczeństwa – trzeba będzie także regularnie sprawdzać ich skuteczność. O tym, jak często to robić i jakimi metodami, powinien decydować administrator danych. Powinien on brać pod uwagę w szczególności liczbę operacji na danych osobowych, w tym danych wrażliwych. Dodatkowo, konieczne będzie monitorowanie incydentów. Może to być jedno z poważniejszych wyzwań stojących przed administratorami danych, a zwłaszcza przed ich działami IT.
  4. Konieczność przeprowadzenia analizy ryzyka – Przeprowadzenie analizy ryzyka jest obowiązkowe tylko w kilku przypadkach. Niemniej jednak, analiza ryzyka i prywatności przetwarzanych danych osobowych, mając na uwadze istotne kary administracyjne, z pewnością powinna zostać wykonana przez każdego administratora danych. To najlepsza praktyka rynkowa, gwarantująca wykazanie przed organem nadzorczym zachowania odpowiedniej troski o bezpieczeństwo danych.
  5. Rozszerzona formuła zgód – Na etapie pozyskiwania danych osobowych, administrator danych będzie zobowiązany, m.in. do podania informacji o prawie do ich przenoszenia, okresie przechowywania, zamiarze ich przekazania do państw trzecich, etc. Konieczne będzie zatem opracowanie nowych klauzul.
  6. Rozszerzona formuła klauzuli informacyjnej  Administrator danych będzie miał obowiązek dodatkowego informowania o obowiązku lub dobrowolności udostępniania danych, podstawie prawnej przetwarzania danych, czasie przetwarzania, o odbiorcach danych, prawie złożenia skargi do organu nadrzędnego
  7. Zwiększenie uprawnień osoby, której dane dotyczą – wprowadzenie prawa do zapomnienia  RODO wprowadza prawo do bycia zapomnianym, czyli umożliwia osobom, których dane są przetwarzane w celach marketingowych, do trwałego usunięcia tych danych z systemów administratora. Co więcej, pojawi się także prawo do przenoszenia danych (np. pomiędzy operatorami telekomunikacyjnymi).
  8. Zniknięcie obowiązku stosowania 8-znakowych haseł zmienianych co 30 dni – Wraz z początkiem obowiązywania RODO, konieczność stosowania 8-znakowych haseł zmienianych co 30 dni, zniknie. Administratorzy będą sami oceniać skuteczność swoich zabezpieczeń i będą mogli zdecydować, że w niektórych systemach złożoność czy częstotliwość zmiany hasła nie musi być krytyczna dla bezpieczeństwa danych osobowych.

Rozporządzenie wprowadza wysokie kary pieniężne za naruszenie obowiązków administratora danych w zakresie bezpieczeństwa danych osobowych, które przetwarza.:

Za naruszenie istotnych przepisów ochrony danych osobowych przewidzianych w Rozporządzeniu podmiot przetwarzający dane osobowe może zostać ukarany grzywną w wysokości do 20 mln EUR, a w przypadku przedsiębiorstwa do 4% całkowitego światowego obrotu z poprzedniego roku.

W sprawach mniejszej wagi, sankcje są mniejsze o połowę  tj. do 10 mln EUR lub do 2% światowego obrotu.

Kancelaria Radców Prawnych Stopczyk & Wspólnicy Sp. k.

Kancelaria zastrzega, że niniejszy artykuł zawiera jedynie ogólny zarys poruszonych w nim zagadnień. Artykuł nie stanowi porady prawnej, opinii prawnej, ani też analizy konkretnego stanu faktycznego. W razie jakichkolwiek pytań lub wątpliwości z Państwa strony, serdecznie zachęcamy do kontaktu z naszą Kancelarią.

Dodaj komentarz

Twój adres e-mail nie będzie publikowany. Zaznaczone pola są obowiązkowe *

*