Pełna lista nowych regulacji i istotnych zmian, które wprowadza Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) od maju 2018 roku.

 

 

 

 

 

• Kary finansowe

Nowe regulacje wprowadzają system kar administracyjnych za nieprzestrzeganie RODO nawet do 20.000.000 EUR, a w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku.

• Obowiązek monitorowania i raportowania wycieków danych.

Konieczne będzie raportowanie do organów nadzorczych o wyciekach danych w ciągu 72 godzin po stwierdzeniu naruszenia. W niektórych wypadkach trzeba będzie także poinformować o takim incydencie osoby, których dane wyciekły (np. konsumentów, kontrahentów, etc.).

• Wymóg regularnego testowania bezpieczeństwa

Nie wystarczy wdrożyć odpowiednie środki bezpieczeństwa – trzeba będzie także regularnie sprawdzać ich skuteczność. O tym, jak często to robić i jakimi metodami, powinien decydować administrator danych. Powinien on brać pod uwagę w szczególności liczbę operacji na danych osobowych, w tym danych wrażliwych. Dodatkowo, konieczne będzie monitorowanie incydentów. Może to być jedno z poważniejszych wyzwań stojących przed administratorami danych, a zwłaszcza przed ich działami IT.

• Opracowanie i wdrożenie adekwatnych procedur i środków bezpieczeństwa

Zgodnie z RODO odpowiedzialność za dobór procedur i środków bezpieczeństwa adekwatnych do ryzyka dla przetwarzanych danych osobowych spoczywa na administratorze danych. Z jednej strony oznacza to brak narzuconych rozwiązań, lecz z drugiej stanowi poważne wyzwanie.

• Konieczność przeprowadzenia analizy ryzyka

Przeprowadzenie analizy ryzyka jest obowiązkowe tylko w kilku przypadkach. Niemniej jednak, analiza ryzyka i prywatności przetwarzanych danych osobowych, mając na uwadze istotne kary administracyjne, z pewnością powinna zostać wykonana przez każdego administratora danych. To najlepsza praktyka rynkowa, gwarantująca wykazanie przed organem nadzorczym zachowania odpowiedniej troski o bezpieczeństwo danych. Taką analizę ryzyka może wykonać Centrum Szkoleniowe Graficom, które wykonuje szkolenia i audyty na terenie całego kraju.

• Zwiększenie świadomości pracowników o ochronie danych osobowych

Żaden mechanizm nie będzie w pełni dobrze funkcjonować, jeśli nie zadziałają poprawnie wszystkie jego pojedyncze elementy. Tak samo jest w przypadku bezpieczeństwa danych osobowych – administrator może nie zauważyć incydentu, jeśli nie zauważy go jeden z jego pracowników. W myśl zasady „jeden za wszystkich – wszyscy za jednego”, tylko odpowiednie podniesienie poziomu świadomości zagrożeń i umiejętności reagowania wśród wszystkich pracowników, będzie gwarantowało finalne bezpieczeństwo całej organizacji.

• Profilowanie

Zautomatyzowane przetwarzanie danych osobowych, w szczególności do analizy lub prognozy aspektów dotyczących osobistych preferencji użytkownika, jego zainteresowań, zachowania, lokalizacji lub przemieszczania się, zostało uregulowane w RODO. W przypadku stosowania profilowania, konieczne jest wprowadzenie odpowiednich zmian w wewnętrznych politykach firmy.

• Przetwarzanie danych dziecka za zgodą opiekunów

Administratorzy danych będą musieli zadbać o należyte zbieranie zgód dzieci, wykazując, że miały one zgodę swojego opiekuna (np. rodzica) na świadczenie określonych produktów lub usług, w szczególności za pomocą mediów społecznościowych.

• Zwiększenie uprawnień – wprowadzenie prawa do zapomnienia

RODO zwiększa uprawnienia. Wprowadza prawo do bycia zapomnianym, czyli umożliwia osobom, których dane są przetwarzane w celach marketingowych, do trwałego usunięcia tych danych z systemów administratora. Co więcej, pojawi się także prawo do przenoszenia danych (np. pomiędzy operatorami telekomunikacyjnymi).

• Zniknięcie obowiązku stosowania 8-znakowych haseł zmienianych co 30 dni

Wraz z początkiem obowiązywania RODO, konieczność stosowania 8-znakowych haseł zmienianych co 30 dni, zniknie. Administratorzy będą sami oceniać skuteczność swoich zabezpieczeń i będą mogli zdecydować, że w niektórych systemach złożoność czy częstotliwość zmiany hasła nie musi być krytyczna dla bezpieczeństwa danych osobowych.

• Rozszerzona formuła zgód

Na etapie pozyskiwania danych osobowych, administrator danych będzie zobowiązany, m.in. do podania informacji o prawie do ich przenoszenia, okresie przechowywania, zamiarze ich przekazania do państw trzecich, etc. Konieczne będzie zatem opracowanie nowych klauzul.

• Inspektor Ochrony Danych (nowy ABI)

Dotychczasowy ABI zostanie zastąpiony Inspektorem Ochrony Danych. Obecnie powołanie ABI jest dobrowolne. Od 25.05.2018 r. powołanie IOD będzie w określonych sytuacjach obowiązkowe. Co więcej, osoby, których dane będą przetwarzane, będą miały prawo kontaktować się z IOD w danej organizacji w sprawach dotyczących przetwarzania danych osobowych. Wiele firm i instytucji może skorzystać z Outsorsingu Centrum Szkoleniowego Graficom i wyznaczyć wspólnego Inspektora Ochrony Danych.

• Rejestr czynności przetwarzania

W przeciwieństwie do obecnych regulacji, na gruncie RODO brak będzie konieczności rejestracji zbiorów danych w GIODO. W określonych sytuacjach, administratorzy danych (IOD) będą musieli jednak prowadzić wewnętrzny rejestr czynności przetwarzania danych.