Od dziś RODO: jak zmieniają się przepisy dotyczące ochrony danych osobowych?


Fot. owal.edu.pl
Od dziś, 25 maja we wszystkich krajach Unii Europejskiej zaczynają obowiązywać nowe przepisy dotyczące ochrony danych osobowych (RODO). Dzięki temu ujednolicone zostaną zasad ochrony danych osobowych w całej UE. Prezentujemy najważniejsze zmiany, jakie wprowadza RODO z zakresie zarządzania danymi.

Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO) obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Jest to największa zmiana w podejściu do ochrony danych osobowych od 20 lat. RODO wprowadza dużo nowości, o których warto wiedzieć.

Od teraz organizacje przetwarzające dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania kary finansowej. Co więcej, będą wymagane bardziej restrykcyjne niż dotychczas obowiązki w zakresie tworzenia umów o przetwarzaniu, natomiast odszkodowania i ograniczenia odpowiedzialności najprawdopodobniej będą podlegać renegocjacji.

Zgoda, która zostanie udzielona firmie lub organizacji musi być dobrowolna, świadoma i konretna (udzielona na konkretne użycie danych). Obywatel udzielający takiej zgody powinien zostać poinformowany o możliwości wycofania się z niej, a wycofanie to powinno być łatwe i uszanowane przez administratora danych.

Dzięki RODO obywatele otrzymają „prawo do bycia zapomnianym”, czyli do usunięcia na ich prośbę danych osobowych (dotyczy to także kont w serwisach społecznościowych), uprawnienie do żądania przeniesienia danych, a także wzmocnione prawo dostępu i wglądu w swoje dane. Takie osoby otrzymają także rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych.

Ograniczone zostanie także profilowanie – odtąd trzeba będzie uzyskać zgodę obywatela na profilowanie jeszcze przed rozpoczęciem zbierania danych, poinformować go o procesie profilowania i uszanować brak zgody na profilowanie, jeśli sie jej nie otrzyma.

Obowiązkiem niektórych firm zarówno kontrolujących, jak i przetwarzających dane będzie wyznaczenie Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych. 

Kontrolujący i przetwarzający dane będą musieli przygotowywać rejestry dotyczące przetwarzanych danych, w którym uwzględnione zostaną również informacje na temat powodów przetwarzania danych, ich adresatów, międzynarodowych transferów, naruszeń czy incydentów. Będą oni zobowiązani także do przechowywania potwierdzonych zgód na przetwarzanie danych oraz wszelkiej związanej z nimi dokumentacji.

RODO wprowadza rozbudowane zasady udzielania informacji na temat przetwarzania danych osobom, których te dane dotyczą. Informacja ma zawierać: tożsamość administratora/kontrolera danych, cele każdej operacji przetwarzania, typy pozyskiwanych i używanych danych, możliwość wycofania zgody, informację o ewentualnie podejmowanych automatycznie decyzjach oraz ewentualnym przesyłaniu danych do krajów trzecich.

Niedostosowanie się do zakazu przesyłania danych, bez zachowania odpowiedniego poziomu zabezpieczeń, będzie zagrożone możliwością nałożenia bardzo wysokich kar finansowych. 

Zgody uzyskane przed majem 2018 zachowają ważność, jeśli spełniają wymogi RODO. 

Na podstawie: gov.pl/cyfryzacja/, pwc.pl, pl.wikipedia.org