Po polsku nazywamy je RODO, czyli rozporządzenie o ochronie danych osobowych, a po angielsku General Data Protection Regulation – GDPR. Oba skróty funkcjonują równolegle.

Od 25 maja 2018 r. na terenie całej Unii Europejskiej, a więc także i w Polsce, zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Wprowadzane przepisy odnosić się będą nie tylko do firm unijnych, ale również do takich, których siedziba jest poza Unią Europejską. Będzie to miało miejsce w sytuacji, gdy oferowane będą przez nie obywatelom UE dobra lub usługi, a także, gdy monitorowane będą przez te podmioty zachowania mieszkańców Wspólnoty (oznacza to, że będą musiały się do nich stosować takie znane korporacje amerykańskie, jak Google czy Facebook).

Nowe regulacje wskazują na to, że podmiot będący w posiadaniu danych prywatnych musi domyślnie je chronić, bez konieczności podejmowania działań w tym zakresie przez osobę, do której te informacje się odnoszą. Odpowiednie starania muszą być podejmowane już na etapie kreowania produktów i usług dla klientów. Kolejny wymóg to wdrożenie rejestru czynności związanych z przetwarzaniem danych. Zniesiony zostanie obowiązek zgłaszania rejestru danych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Do tej instytucji będą jednak musiały być zgłaszane przez przedsiębiorców naruszenia danych osobowych. W poważniejszych przypadkach powstanie również obowiązek informowania tych, których taka sytuacja dotyczy.

Kiedy zbieramy i korzystamy z danych osobowych, musimy przede wszystkim analizować ryzyko, jakie może to spowodować dla prywatności osób, których te dane dotyczą. I to z tego względu na każdym administratorze spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność z wymogami rozporządzenia. Od 25 maja 2018 r. każdy administrator będzie musiał samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdraża.
RODO zobowiązuje do zwiększenia zakresu informacji, jakie należy przekazać osobom, których dane są pozyskiwane, a to powoduje konieczność wprowadzenia zmian w stosowanych klauzulach informacyjnych.

Nowe regulacje nałożą na administratorów więcej niż dotychczas obowiązków informacyjnych. W procesie rekrutacji trzeba będzie m.in. poinformować kandydata o celach przetwarzania danych osobowych, okresie, przez który będą one przechowywane, odbiorcach danych, czy o prawie wniesienia skargi do organu nadzorczego oraz danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony.

Dotychczasowa funkcja Administratora Bezpieczeństwa Danych (ABI) zostanie zniesiona – w jej miejsce powstanie obligatoryjna instytucja Inspektora Ochrony Danych (IOD).

Nieprzestrzeganie nowych zapisów będzie się wiązać z bardzo dotkliwymi sankcjami. Przetwarzanie danych w sposób niezgodny z prawem będzie zagrożone karą do 20 mln euro. W przypadku samych przedsiębiorców sankcje będą wynosić do 4% wartości światowych obrotów z poprzedniego roku obrotowego. Skargi do krajowych instytucji zajmujących się ochroną danych osobowych będą darmowe. Firmy uzyskają również możliwość potwierdzenia wysokiej jakości ochrony danych osobowych poprzez możliwość pozyskania odpowiednich certyfikatów oraz znaków jakościowych.

Autor: Marcin Kosicki, 07.02.2018

Wszelkie prawa zastrzeżone. Bez pisemnej zgody Wykonawcy publikacja nie może być powielana ani częściowo, ani w całości. Nie może też być reprodukowania, przechowywania i przetwarzania z zastosowaniem jakichkolwiek środków elektronicznych, mechanicznych, fotokopiarskich, nagrywających i innych.

Informacje zawarte w publikacji oparte są na doświadczeniu  i poglądach dorobku zawodowego i naukowego Marcina Kosickiego. Autor nie ponosi odpowiedzialności za jakiekolwiek wykorzystanie informacji zawartej w publikacji.