W dniu 25 maja 2018 r. zacznie obowiązywać unijne Ogólne rozporządzenie o ochronie danych  – RODO

Rozporządzenie to znacząco zmieni dotychczasowe podejście do ochrony danych, zaś administratorzy danych w większym niż dotąd stopniu staną się podmiotami odpowiedzialnymi za to, by dane osobowe były przetwarzane zgodnie z prawem.

WAŻNE

Administratorem i podmiotem przetwarzającym dane osobowe może być każdy, nawet przedsiębiorca prowadzący jednoosobową działalność, który zapisuje sobie w wybrany przez siebie sposób dane osobowe m.in. swoich klientów, pracowników i kontrahentów.

Oznacza to, iż muszą oni dokonać szczegółowej weryfikacji stosowanych dotychczas rozwiązań z zakresu ochrony danych osobowych i w wielu przypadkach je zmodyfikować. Jednocześnie muszą być przygotowani na właściwą realizację zwiększonych praw osób, których dane dotyczą.

Niestosowanie się do nowych zasad przetwarzania danych osobowych może m.in. skutkować odpowiedzialnością finansową – administracyjnymi karami pieniężnymi nawet do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu albo odpowiedzialnością cywilną, gdyż osoby, których dane dotyczą, będą miały prawo dochodzić odszkodowania od administratora danych lub podmiotu przetwarzającego

za szkodę majątkową lub niemajątkową spowodowaną naruszeniem przepisów rozporządzenia.

Najważniejsze zmiany

1. Bezpośrednia odpowiedzialność przetwarzającego dane

Przetwarzanie danych pochodzących z innych firm w trakcie świadczenia usług na ich rzecz będą ponosić bezpośrednią odpowiedzialność za wszelkie naruszenia zasad.

2. Zgłaszanie naruszeń

Firma zobowiązana jest do prowadzenia rejestru naruszeń oraz do samodzielnego zgłaszania ich do właściwego organu nadzoru. Zgłoszenie naruszenia może skutkować przeprowadzeniem szczegółowej kontroli.

3. Nowe i rozszerzone prawa obywateli

Prawo do bycia zapomnianym, żądanie przeniesienia danych, prawo dostępu i wglądu.

Zakaz stosowania zgody domniemanej.

4. Ograniczenia profilowania

Obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych oraz obowiązek informowania o profilowaniu.

5. Wyznaczenie Inspektora Ochrony Danych Osobowych

W zależności od tego czy firma powoła IODO (ABI) będzie mieć różny zakres obowiązków w zakresie ochrony danych osobowych.

6. Obowiązkowe rejestry

Dodatkowe wymogi co do inwentaryzowania danych, zgłaszania zbiorów jak również prowadzeniem określonej dokumentacji.

7. Zgody

Nowe i rozszerzone zasady uzyskiwania i weryfikowania zgód na przetwarzanie danych osobowych.

8. Rozbudowanie obowiązku informacyjnego.

Szczegółowy wykaz informacji, który musi zostać umieszczony zarówno na stronie internetowej jak i w innych kanałach komunikacji.

9. Ocena ryzyka w zakresie ochrony danych osobowych

Przeprowadzenie analizy ryzyka oraz implementacja planu sprawdzeń.

10. Transfer danych poza Unię Europejską

Konieczność dostosowania odpowiedniego poziomu zabezpieczeń w zakresie przesyłania danych osobowych.