Nowe przepisy będą dotyczyć wszystkich firm na terenie Unii Europejskiej, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Co więcej, RODO dotyczy również firm z poza obszaru UE, a które oferują swoje produkty i usługi klientom z Unii Europejskiej.
RODO zwiększa prawa osób fizycznych w zakresie przetwarzania ich danych oraz wymusza zmianę podejścia przedsiębiorstw do organizacji i zapewnienia ochrony danych osobowych.
Dostosowanie się do wytycznych RODO będzie konieczne dla firm, które zatrudniają powyżej 250 pracowników. W przypadku mniejszych firm rozporządzenie obejmuje tylko te podmioty, które podczas przetwarzania danych osobowych mogą naruszyć prawa lub wolność osób oraz te, które przetwarzają dane wrażliwe.
osób fizycznych, które przetwarzają dane osobowe niezwiązane z dzialalnością zawodową, na przykład przechowują korespondencję prowadzoną z grupą znajomych
organów związanych z bezpieczeństwem narodowym
instytucji unijnych i dyplomatycznych
organów zapobiegających przestępczości.
Dodatkowym fachowym wsparciem dla administratorów danych i podmiotów przetwarzających mają być inspektorzy ochrony danych. Ich zadaniem, tak jak administratorów bezpieczeństwa informacji (ABI) będzie zapewnienie właściwej ochrony danych osobowych.
Nowe przepisy istotnie wzmacniają rolę i pozycję inspektorów ochrony danych. Wyznaczenie inspektora ochrony danych, stanie się w wielu przypadkach obowiązkiem, a nie jak dotąd, uprawnieniami administratora danych. Dodatkowo funkcję ABI może pełnić tylko osoba fizyczna powołana przez administratora danych. Natomiast funkcję IODO może pełnić także jednostka organizacyjna powołana zarówno przez administratora, jak i procesora.
informowania administratorów oraz pracowników o obowiązkach jakie spoczywają na nich na mocy przepisów oraz Rozporządzenia
monitorowania przestrzegania założeń Rozporządzenia i innych przepisów UE
szkolenia personelu uczestniczącego w operacjach przetwarzania
udzielania wskazówek administratorowi podczas wdrażania odpowiednich technik mających na celu skuteczne zabezpieczenie danych osobowych
przeprowadzania systematycznych audytów w firmie
bycie osobą kontaktową dla osób, których dane przetwarza administrator jak i dla organu nadzorczego czyli GIODO i będzie zobowiązany z nim współpracować.
Każdy przedsiębiorca powinien zastanowić się i rozstrzygnąć, czy ma obowiązek powołać w swojej firmie funkcję Inspektora Danych Osobowych (IDO).
w podmiotach publicznych (z wyjątkiem sądów), w tym prywatnych realizujących zadania publiczne;
w podmiotach przetwarzających dane w sposób, który wymaga monitorowania osób, których dane dotyczą;
w podmiotach przetwarzających dane wrażliwe.
Obowiązkiem administratora danych osobowych będzie dostosowanie systemów informatycznych, aby dane można było całkowicie usunąć lub przenieść do innego przedsiębiorstwa. Administrator danych będzie także zobowiązany udzielać informacji dotyczących danych osobowych osobie, której to dotyczy. Gdy osoba złoży zapytanie koordynator ma obowiązek udzielenia odpowiedzi na to pytanie w terminie miesiąca.
RODO wprowadza obowiązek zgłaszania naruszeń. W ciągu 72 godzin od wykrycia naruszenia trzeba zgłosić się do właściwego organu nadzoru (Urząd Ochrony Danych Osobowych). Do organu nadzoru należy zgłaszać takie naruszenia, które z dużym prawdopodobieństwem powodują naruszenie praw i wolności osób, których dane dotyczą. Można również zgłaszać tą informacji do konkretnej osoby, której prawa i wolności zostały zagrożone naruszeniem.
Nieprzestrzeganie zaleceń RODO wiąże się z poważnymi sankcjami. Z bezpośredniej odpowiedzialności nie zwalnia nawet zlecenie przetwarzania danych podwykonawcy - w takim przypadku zleceniodawca i podwykonawca odpowiedzą solidarnie.
Oprócz tego umowa z podwykonawcami będzie musiała spełniać nowe, bardziej restrykcyjne warunki określone w rozporządzeniu. Ponadto w firmach zatrudniających powyżej 250 pracowników każda czynność związana z przetwarzaniem danych osobowych (udostępnienie, usunięcie itp.) będzie musiała zostać zarejestrowana.
Warto zatem odpowiednio przygotować się do wprowadzenia RODO w swojej firmie.
Przewidziane sankcje w przypadku złamania postanowień RODO są, delikatnie mówiąc, niemałe.
Są to kolejno:
10 mln euro bądź 2% rocznego globalnego obrotu przedsiębiorstwa
20 mln euro bądź 4% rocznego globalnego obrotu przedsiębiorstwa
kara administracyjna w wysokości 100 tysięcy złotych za naruszenia z winy administracji publicznej.
Kary będą proporcjonalne do wagi naruszenia.
DPIA (Data Privacy Impact Assessment) - jest to ocena wagi skutków planowanych operacji z udziałem danych osobowych. Jej celem jest określenie poziomu ryzyka oraz zagrożeń związanych z wyciekiem danych.
Pozwala to zminimalizować to ryzyko i ewentualne konsekwencje. Ocena procesów przetwarzania danych jest zadaniem administratora danych osobowych. Jest on również odpowiedzialny za trafność tej oceny i działania minimalizujące ryzyko.
Zanim Twoja firma będzie mogła zacząć przetwarzanie danych osobowych, będziesz musiał wykazać, iż posiadasz ku temu podstawy prawne. Wymagana będzie też bezpośrednia zgoda osoby, której dane będą przetwarzane.
Dotyczy to także umów o pracę. Formularze umów mają być zmodyfikowane tak, by były jasne i przejrzyste, a ich treść zgodna ze szczegółowymi wytycznymi RODO.