Szanowni Państwo,
od 25 maja 2018r. w ochronie danych osobowych nic nie będzie już takie samo. Osoby fizyczne zyskają m.in. prawo do zapomnienia, a firmy i urzędy będą musiały spełnić szereg restrykcyjnych wymogów. Za ich niespełnienie można zapłacić karę w wysokości nawet do 20 mln euro.
Rozporządzenie o Ochronie Danych Osobowych (RODO), to nowe unijne prawo, które w zupełnie inny niż dotychczas sposób definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach i urzędach. Trzeba je wdrożyć do 25 maja przyszłego roku. Nadchodzące zmiany będą dotyczyły zarówno firm, jak i administracji. Co ważne, RODO będą musiały wdrożyć wszystkie organy administracji publicznej, a do tej pory takiego obowiązku nie było. Teraz zarówno te duże firmy czy urzędy, jak i te małe kilku czy kilkunastu osobowe przedsiębiorstwa, sklepy internetowe, szkoły, ośrodki pomocy społecznej czy domy kultury, muszą przetwarzać dane osobowe zgodnie z prawem. Poniżej pozwolę sobie pokrótce zaprezentować Państwu 10 najważniejszych zmian wynikających z RODO:
- Kary finansowe – RODO wprowadza dotkliwe kary finansowe za brak wdrożenia i przestrzegania nowych przepisów dotyczących ochrony danych osobowych. Firmy mogą zostać ukarane karą pieniężną od 10 do 20 mln euro lub od 2 do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa. Dla administracji publicznej wysokość kary przewidziano na poziomie 100 tys. zł.
- Bezpośrednia odpowiedzialność przetwarzającego dane – za naruszenie przepisów o ochronie danych osobowych odpowiadał będzie szef firmy, jednostki, szkoły i urzędu. Odpowiedzialność jest bezpośrednia i powołanie inspektora danych osobowych nie zwalnia z tej odpowiedzialności. Szef organizacji odpowiadał będzie zarówno przed urzędem kontroli jak i przed sądem cywilnym czy karnym i nie może odpowiedzialności tej cedować na innych pracowników;
- Nowa funkcja Inspektora Danych Osobowych (IDO) – to nowa osoba w organizacji, odpowiedzialna zarówno za bezpieczeństwo danych ale i raportowanie naruszeń do urzędu kontroli. Dotychczasowy Administrator Danych Osobowych przestaje istnieć. Powołanie IDO jest obligatoryjne dla podmiotów, które prowadzą swoją działalność i przetwarzają takie rodzaje danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych, np. dzieci.
- Zgłoszenie naruszeń w ciągu 72 dni – to właśnie IDO będzie miał obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do organu nadzorczego i to niezależnie od powiadomienia przełożonych.
- Rejestr naruszeń – nowy obowiązek inspektorów ochrony danych prowadzenia rejestru naruszeń. IDO musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia danych osobowych, jego skutki oraz podjęte działania zaradcze.
- Analiza ryzyka – przeprowadzenie analizy ryzyka będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka” takich jak np. przetwarzanie danych dotyczących zdrowia, danych dzieci, etc.
- Nowe procedury i klauzule – administrator danych na etapie pozyskiwania danych osobowych, będzie zobowiązany m.in. do podania nowych informacji, np. o podstawie prawnej przetwarzania, danych kontaktowych do IDO, okresie przechowywania danych, prawie do ich przenoszenia, prawie wniesienia skargi do organu nadzorczego, etc. Trzeba będzie opracować nowe klauzule informacyjne.
- Obowiązek inwentaryzacji danych osobowych (rejestr czynności przetwarzania) – administratorzy danych osobowych będą musieli prowadzić wewnętrzny rejestr czynności przetwarzania danych, zawierający m.in. informacje takie jak: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania, etc.
- Prawo do zapomnienia i prawo wglądu w historię przetwarzania danych – RODO przyznaje obywatelom – osobom fizycznym których dane są przetwarzane, szereg nowych uprawnień, które muszą być respektowane przez organizacje. Takie uprawnienia to m.in. prawo do bycia zapomnianym czyli trwałe usunięcie danych osobowych przetwarzanych przez daną instytucję; żądanie przeniesienia danych np. do innego podmiotu przy zmianie umowy; rozszerzono prawo dostępu i wglądu obywatela w jego dane m.in. prawo do otrzymania kopii danych; roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych;
- Przetwarzanie danych osobowych dzieci – administrator danych powinien zapewnić możliwość wyrażenia zgody przez opiekuna prawnego dziecka na wykorzystanie jego danych oraz mieć świadomość, że zgoda wyrażona przez dziecko może być nieważna, zwłaszcza jeżeli dotyczy celów marketingowych czy też aktywności dzieci w mediach społecznościowych.
Przedstawione zmiany to te najistotniejsze, które mają nas obowiązywać już od 18 maja następnego roku. Bardzo chętnie zapoznamy Państwa z pozostałymi nowymi regulacjami, które mają być wprowadzone, jak również uszczegółowimy w zakresie Państwa potrzeb te wymienione w niniejszej notatce. Zapraszamy w tym celu do Kancelarii Doradców Prawnych e lex z siedzibą we Włocławku, przy ul. Wojska Polskiego 18/3. Mam nadzieję, że również i Państwo jesteście zdania, że przedmiotową wiedzę warto posiąść, albowiem kary za nieprzestrzeganie nowych postanowień są niebagatelne.