ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH – CO NAS CZEKA PO 25 MAJA 2018 r.


ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH – CO NAS CZEKA PO 25 MAJA 2018 r.

"RODO”, zwane także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Zastąpi ono przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych bez konieczności implementacji do krajowego porządku prawnego.

Rozporządzenie weszło w życie 17 maja 2016 r. Zacznie ono obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Rozporządzenie wiązać będzie wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą.
Bardzo istotną dla przedsiębiorców kwestią jest też określenie maksymalnego poziomu kar za naruszenia przepisów, które to kary mogą sięgnąć nawet 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie.
Najważniejsze zmiany, które wprowadza rozporządzenie RODO
1.       Prawa obywatela do sprzeciwu i bycia zapomnianym 
a.             „prawo do bycia zapomnianym” (skierowane do obywateli, którzy chcą, by ich dane osobowe zostały usunięte);
b.            uprawnienie do żądania przeniesienia danych;
c.             oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane. 
Osoby, których dane dotyczą, będą także miały dalej idące prawo sprzeciwienia się przetwarzaniu ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych, co ma niebagatelne znaczenie dla firm bazujących na analityce danych czy działalności instytucji typu call center.
2.       Bezpośrednia odpowiedzialność przetwarzającego dane  
Podmiot przetwarzający dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz (w tym call center, firmy dostarczające rozwiązania w chmurze czy firmy hostingowe), będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania kary finansowej. Bardziej restrykcyjne niż dotychczas będą obowiązki w zakresie umów o przetwarzaniu danych, a odszkodowania i ograniczenia odpowiedzialności najprawdopodobniej będą podlegać renegocjacji.
3.       Zgłaszanie naruszeń 
Administrator danych będzie miał obowiązek zgłaszania do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Termin na zgłoszenie to 72 godziny od wykrycia.  Może także wystąpić konieczność zawiadomienia konkretnej osoby, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód. Termin - bez zbędnej zwłoki.
4.       Wyznaczenie Inspektora Ochrony Danych Osobowych
Niektóre firmy zarówno kontrolujące, jak i przetwarzające dane, będą zobowiązane do wyznaczenia Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych. 
5.          Inwentaryzacja danych i obowiązki związane z dokumentacją
Kontrolujący i przetwarzający dane będą zobowiązani od przygotowania i utrzymania wszechstronnych rejestrów dotyczących przetwarzanych danych, uwzględniających m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych.
6.       Zgody na przetwarzanie danych osobowych
Rozporządzenie RODO wprowadza nowe zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych. 
7.            Obowiązki informacyjne 
RODO wskazują liczne informacje, które muszą być uwzględnione w komunikacji dotyczącej przetwarzania danych osobowych kierowanej do osób, których dane mają być przetwarzane.
8.       Transfer danych poza Unię Europejską 
Niedostosowanie się do zakazu przesyłania danych, bez zachowania odpowiedniego poziomu zabezpieczeń, będzie zagrożone możliwością nałożenia bardzo wysokich kar finansowych.