RODO czyli największa zmiana w ochronie danych osobowych od 20 lat
General Data Protection Regulation (GDPR) czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) to unijny, wiążący akt prawny, który zacznie obowiązywać od 25 maja 2018 roku, a więc za 90 dni, i którego wytyczne wywrócą do góry nogami część procedur, jakie firmy działające w UE stosowały od wielu lat.
Im bliżej wejścia w życie przedmiotowego rozporządzenia, tym większa dezorientacja wśród przedsiębiorców, którzy za sprawą zamieszczanych w sieci artykułów na temat RODO czują się coraz bardziej zagubieni. Nowe przepisy wprowadzą szereg obowiązków, nowe rodzaje odpowiedzialności, ale również określone sankcje finansowe. To ostatni dzwonek na to, aby zacząć się do tych zmian przygotowywać. W niniejszym artykule przedstawiamy najważniejsze z nich.
Zaczynając rozważania nad tematem RODO, należałoby w pierwszej kolejności zastanowić się kogo dane przepisy będą dotyczyć. Otóż, RODO dotyczyć będzie każdego, kto przetwarza dane osobowe obywateli Unii Europejskiej w celach innych niż czysto osobiste lub domowe, a więc w gruncie rzeczy WSZYSTKICH – od jednoosobowej działalności, przez przedsiębiorstwa o różnej osobowości prawnej, jednostki ochrony zdrowia, dostawców usług internetowych, po organizacje non profit i urzędy. Do RODO muszą stosować się również osoby, które wprawdzie nie prowadzą działalności gospodarczej, ale przetwarzanie danych odbywa się w związku z jakąś ich zorganizowaną aktywnością, np. blogerzy wysyłający newslettery.
Zapoznając się z treścią artykułów, które obiegły sieć, nie trudno o przerażenie, zwłaszcza w zakresie odnoszącym się do wysokości kar, jakie przewidują przepisy rozporządzenia w chwili stwierdzenia naruszenia. Rozporządzenie w zależności od naruszenia przewiduje dwa progi kar:
1) w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
lub
2) w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Należy wskazać, iż owszem, rozporządzenie przewiduje milionowe kary o których czytamy. Jednak, sam zapis nie świadczy o fakcie, iż taka kara zostanie nałożona za każdorazowe naruszenie przepisu o ochronie danych osobowych. Ponadto, należy mieć na uwadze zapis informujący, iż kara musi być proporcjonalna oraz kryteria, jakimi organ nadzorczy ma się kierować, ustalając wysokość kary.
Rozsądnym rozwiązaniem, które zostanie wprowadzone nowymi przepisami i które należy uznać za jedną z istotniejszych nowości dotyczących ochrony danych osobowych jest zniesienie obowiązku rejestracji zbiorów danych osobowych. Koniec więc ze zgłaszaniem zbiorów do GIODO.
Co więcej, dokumenty takie jak polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi, których posiadanie w obecnie obowiązujących przepisach było obowiązkiem każdego administratora danych osobowych, po wejściu w życie nowego rozporządzenia nie będzie już bezwzględnie obowiązkowe. O tym, czy ww. dokumenty są potrzebne, będzie mógł samodzielnie zdecydować administrator danych osobowych biorąc pod uwagę skalę, cele, zakres i kontekst przetwarzania danych osobowych.
Kolejną zmianą, którą należy zaliczyć na korzyść, jest zmiana dotycząca formy podpisania umowy powierzenia danych osobowych. Obecnie, powierzenie danych wymaga zawarcia umowy na piśmie, z własnoręcznymi podpisami obu stron, pocztą tradycyjną. Od 25 maja 2018r. umowę powierzenia przetwarzania danych osobowych będzie można zawrzeć elektronicznie, co znacznie ułatwi korzystanie z usług podmiotów trzecich, które chcąc nie chcąc przechowują dane osobowe, których jesteś administratorem.
Rozporządzenie Ogólne o Ochronie Danych Osobowych przewiduje również obowiązki administratora skierowane do zewnątrz, a więc tzw. obowiązki informacyjne, których zakres w brzmieniu nowego rozporządzenia zostanie rozszerzony. Obowiązki informacyjne będą polegać na przekazania użytkownikowi określonych informacji związanych z przetwarzaniem jego danych osobowych. Kompletny zakres informacji został wskazany art. 13 RODO.
Kolejnym obowiązkiem spoczywającym na administratorze danych osobowych, będzie obowiązek zawiadamiania organu nadzorczego i samego użytkownika o tym, że w firmie doszło do jakiegoś incydentu ochrony danych osobowych (przykładowo: włamania do systemu, w którym przechowywane są dane), co z pewnością doprowadzi do konieczności wypracowania należytej procedury monitorowania, ewidencjonowania i zgłaszania naruszeń.
Im bliżej do wejścia w życie RODO tym w sieci więcej podmiotów zachęcających do skorzystania z profesjonalnej pomocy w zakresie wdrożenia w nowe przepisy dotyczące ochrony danych osobowych.
Kancelaria Prawna Turek & Wróbel również jest do Państwa dyspozycji oraz zachęca do kontaktu, w przypadkach jakichkolwiek wątpliwości dotyczących niniejszego rozporządzenia.