Co wprowadza RODO?

 

Poniżej prezentujemy pełną listę nowych regulacji i istotnych zmian, które wprowadzi Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) w maju 2018 roku.

 

   Kary finansowe

Nowe regulacje wprowadzają system kar administracyjnych za nieprzestrzeganie RODO nawet do 20.000.000 EUR, a w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku.

 

   Obowiązek monitorowania i raportowania wycieków danych

Konieczne będzie raportowanie do organów nadzorczych o wyciekach danych w ciągu 72 godzin po stwierdzeniu naruszenia. W niektórych wypadkach trzeba będzie także poinformować o takim incydencie osoby, których dane wyciekły (np. konsumentów, kontrahentów, etc.).

 

   Wymóg regularnego testowania bezpieczeństwa

Nie wystarczy wdrożyć odpowiednie środki bezpieczeństwa – trzeba będzie także regularnie sprawdzać ich skuteczność. O tym, jak często to robić i jakimi metodami, powinien decydować administrator danych. Powinien on brać pod uwagę w szczególności liczbę operacji na danych osobowych, w tym danych wrażliwych. Dodatkowo, konieczne będzie monitorowanie incydentów. Może to być jedno z poważniejszych wyzwań stojących przed administratorami danych, a zwłaszcza przed ich działami IT.

 

   Opracowanie i wdrożenie adekwatnych procedur i środków bezpieczeństwa

Zgodnie z RODO odpowiedzialność za dobór procedur i środków bezpieczeństwa adekwatnych do ryzyka dla przetwarzanych danych osobowych spoczywa na administratorze danych. Z jednej strony oznacza to brak narzuconych rozwiązań, lecz z drugiej stanowi poważne wyzwanie.

 

   Konieczność przeprowadzenia analizy ryzyka

Przeprowadzenie analizy ryzyka jest obowiązkowe tylko w kilku przypadkach. Niemniej jednak, analiza ryzyka i prywatności przetwarzanych danych osobowych, mając na uwadze istotne kary administracyjne, z pewnością powinna zostać wykonana przez każdego administratora danych. To najlepsza praktyka rynkowa, gwarantująca wykazanie przed organem nadzorczym zachowania odpowiedniej troski o bezpieczeństwo danych.

 

   Zwiększenie świadomości pracowników o ochronie danych osobowych

Żaden mechanizm nie będzie w pełni dobrze funkcjonować, jeśli nie zadziałają poprawnie wszystkie jego pojedyncze elementy. Tak samo jest w przypadku bezpieczeństwa danych osobowych – administrator może nie zauważyć incydentu, jeśli nie zauważy go jeden z jego pracowników. W myśl zasady „jeden za wszystkich – wszyscy za jednego”, tylko odpowiednie podniesienie poziomu świadomości zagrożeń i umiejętności reagowania wśród wszystkich pracowników, będzie gwarantowało finalne bezpieczeństwo całej organizacji.

 

   Profilowanie

Zautomatyzowane przetwarzanie danych osobowych, w szczególności do analizy lub prognozy aspektów dotyczących osobistych preferencji użytkownika, jego zainteresowań, zachowania, lokalizacji lub przemieszczania się, zostało uregulowane w RODO. W przypadku stosowania profilowania, konieczne jest wprowadzenie odpowiednich zmian w wewnętrznych politykach firmy.

 

   Przetwarzanie danych dziecka za zgodą opiekunów

Administratorzy danych będą musieli zadbać o należyte zbieranie zgód dzieci, wykazując, że miały one zgodę swojego opiekuna (np. rodzica) na świadczenie określonych produktów lub usług, w szczególności za pomocą mediów społecznościowych.

 

   Zwiększenie uprawnień – wprowadzenie prawa do zapomnienia

RODO zwiększa uprawnienia. Wprowadza prawo do bycia zapomnianym, czyli umożliwia osobom, których dane są przetwarzane w celach marketingowych, do trwałego usunięcia tych danych z systemów administratora. Co więcej, pojawi się także prawo do przenoszenia danych (np. pomiędzy operatorami telekomunikacyjnymi).


   Zniknięcie obowiązku stosowania 8-znakowych haseł zmienianych co 30 dni

Wraz z początkiem obowiązywania RODO, konieczność stosowania 8-znakowych haseł zmienianych co 30 dni, zniknie. Administratorzy będą sami oceniać skuteczność swoich zabezpieczeń i będą mogli zdecydować, że w niektórych systemach złożoność czy częstotliwość zmiany hasła nie musi być krytyczna dla bezpieczeństwa danych osobowych.

 

   Rozszerzona formuła zgód

Na etapie pozyskiwania danych osobowych, administrator danych będzie zobowiązany, m.in. do podania informacji o prawie do ich przenoszenia, okresie przechowywania, zamiarze ich przekazania do państw trzecich, etc. Konieczne będzie zatem opracowanie nowych klauzul.

 

   Inspektor Ochrony Danych (nowy ABI)

Dotychczasowy ABI zostanie zastąpiony Inspektorem Ochrony Danych. Obecnie powołanie ABI jest dobrowolne. Od 25.05.2018 r. powołanie IOD będzie w określonych sytuacjach obowiązkowe. Co więcej, osoby, których dane będą przetwarzane, będą miały prawo kontaktować się z IOD w danej organizacji w sprawach dotyczących przetwarzania danych osobowych.

 

   Rejestr czynności przetwarzania

W przeciwieństwie do obecnych regulacji, na gruncie RODO brak będzie konieczności rejestracji zbiorów danych w GIODO. W określonych sytuacjach, administratorzy danych (IOD) będą musieli jednak prowadzić wewnętrzny rejestr czynności przetwarzania danych.