Pełna lista nowych regulacji i istotnych zmian, które wprowadza Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) od maju 2018 roku.
-
Kary finansowe
Nowe regulacje wprowadzają system kar administracyjnych za nieprzestrzeganie RODO nawet do 20.000.000 EUR, a w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku.
-
Obowiązek monitorowania i raportowania wycieków danych.
Konieczne będzie raportowanie do organów nadzorczych o wyciekach danych w ciągu 72 godzin po stwierdzeniu naruszenia. W niektórych wypadkach trzeba będzie także poinformować o takim incydencie osoby, których dane wyciekły (np. konsumentów, kontrahentów, etc.).
-
Wymóg regularnego testowania bezpieczeństwa
Nie wystarczy wdrożyć odpowiednie środki bezpieczeństwa – trzeba będzie także regularnie sprawdzać ich skuteczność. O tym, jak często to robić i jakimi metodami, powinien decydować administrator danych. Powinien on brać pod uwagę w szczególności liczbę operacji na danych osobowych, w tym danych wrażliwych. Dodatkowo, konieczne będzie monitorowanie incydentów. Może to być jedno z poważniejszych wyzwań stojących przed administratorami danych, a zwłaszcza przed ich działami IT.
-
Opracowanie i wdrożenie adekwatnych procedur i środków bezpieczeństwa
Zgodnie z RODO odpowiedzialność za dobór procedur i środków bezpieczeństwa adekwatnych do ryzyka dla przetwarzanych danych osobowych spoczywa na administratorze danych. Z jednej strony oznacza to brak narzuconych rozwiązań, lecz z drugiej stanowi poważne wyzwanie.
-
Konieczność przeprowadzenia analizy ryzyka
Przeprowadzenie analizy ryzyka jest obowiązkowe tylko w kilku przypadkach. Niemniej jednak, analiza ryzyka i prywatności przetwarzanych danych osobowych, mając na uwadze istotne kary administracyjne, z pewnością powinna zostać wykonana przez każdego administratora danych. To najlepsza praktyka rynkowa, gwarantująca wykazanie przed organem nadzorczym zachowania odpowiedniej troski o bezpieczeństwo danych. Taką analizę ryzyka może wykonać Centrum Szkoleniowe Graficom, które wykonuje szkolenia i audyty na terenie całego kraju.
-
Zwiększenie świadomości pracowników o ochronie danych osobowych
Żaden mechanizm nie będzie w pełni dobrze funkcjonować, jeśli nie zadziałają poprawnie wszystkie jego pojedyncze elementy. Tak samo jest w przypadku bezpieczeństwa danych osobowych – administrator może nie zauważyć incydentu, jeśli nie zauważy go jeden z jego pracowników. W myśl zasady „jeden za wszystkich – wszyscy za jednego”, tylko odpowiednie podniesienie poziomu świadomości zagrożeń i umiejętności reagowania wśród wszystkich pracowników, będzie gwarantowało finalne bezpieczeństwo całej organizacji.
-
Profilowanie
Zautomatyzowane przetwarzanie danych osobowych, w szczególności do analizy lub prognozy aspektów dotyczących osobistych preferencji użytkownika, jego zainteresowań, zachowania, lokalizacji lub przemieszczania się, zostało uregulowane w RODO. W przypadku stosowania profilowania, konieczne jest wprowadzenie odpowiednich zmian w wewnętrznych politykach firmy.
-
Przetwarzanie danych dziecka za zgodą opiekunów
Administratorzy danych będą musieli zadbać o należyte zbieranie zgód dzieci, wykazując, że miały one zgodę swojego opiekuna (np. rodzica) na świadczenie określonych produktów lub usług, w szczególności za pomocą mediów społecznościowych.
-
Zwiększenie uprawnień – wprowadzenie prawa do zapomnienia
RODO zwiększa uprawnienia. Wprowadza prawo do bycia zapomnianym, czyli umożliwia osobom, których dane są przetwarzane w celach marketingowych, do trwałego usunięcia tych danych z systemów administratora. Co więcej, pojawi się także prawo do przenoszenia danych (np. pomiędzy operatorami telekomunikacyjnymi).
-
Zniknięcie obowiązku stosowania 8-znakowych haseł zmienianych co 30 dni
Wraz z początkiem obowiązywania RODO, konieczność stosowania 8-znakowych haseł zmienianych co 30 dni, zniknie. Administratorzy będą sami oceniać skuteczność swoich zabezpieczeń i będą mogli zdecydować, że w niektórych systemach złożoność czy częstotliwość zmiany hasła nie musi być krytyczna dla bezpieczeństwa danych osobowych.
-
Rozszerzona formuła zgód
Na etapie pozyskiwania danych osobowych, administrator danych będzie zobowiązany, m.in. do podania informacji o prawie do ich przenoszenia, okresie przechowywania, zamiarze ich przekazania do państw trzecich, etc. Konieczne będzie zatem opracowanie nowych klauzul.
-
Inspektor Ochrony Danych (nowy ABI)
Dotychczasowy ABI zostanie zastąpiony Inspektorem Ochrony Danych. Obecnie powołanie ABI jest dobrowolne. Od 25.05.2018 r. powołanie IOD będzie w określonych sytuacjach obowiązkowe. Co więcej, osoby, których dane będą przetwarzane, będą miały prawo kontaktować się z IOD w danej organizacji w sprawach dotyczących przetwarzania danych osobowych. Wiele firm i instytucji może skorzystać z Outsorsingu Centrum Szkoleniowego Graficom i wyznaczyć wspólnego Inspektora Ochrony Danych.
-
Rejestr czynności przetwarzania
W przeciwieństwie do obecnych regulacji, na gruncie RODO brak będzie konieczności rejestracji zbiorów danych w GIODO. W określonych sytuacjach, administratorzy danych (IOD) będą musieli jednak prowadzić wewnętrzny rejestr czynności przetwarzania danych.