W ostatnich dniach coraz częściej słyszymy w mediach o nowym rozporządzeniu RODO. Czy wiesz czym ono jest? Co nowego wnosi? Jak wpłynie na Twój biznes? Jak pokazało zeszłoroczne badanie Della – ponad 80% przedstawicieli ankietowanych firm nie wie czym jest RODO, lub posiada jedynie ogólnikową wiedzę o nowym rozporządzeniu. RODO  to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Nowe rozporządzenie wejdzie w życie 25 maja 2018 roku. Celem RODO jest ujednolicenie przepisów dotyczących ochrony danych osobowych na terenie Unii Europejskiej. W Polsce istnieją już oczywiście regulacje prawne w zakresie ochrony danych osobowych. Co nowego zatem wprowadza RODO?

1. Przetwarzający dane osobowe ponosi bezpośrednią odpowiedzialność za przetwarzane dane

Zgodnie z nowymi wytycznymi firmy będą ponosić bezpośrednią odpowiedzialność za przetwarzane dane pochodzące z innych firm w trakcie świadczenia usług na ich rzecz. Złamanie nowych przepisów RODO będzie skutkowało ryzykiem otrzymania kary finansowej. Pojawią się również bardziej restrykcyjne wytyczne dotyczące zasad tworzenia umów między firmami. Odszkodowania i ograniczenia odpowiedzialności będą podlegać renegocjacji.

2. Zgody na przetwarzanie danych osobowych

Zaostrzono wymogi dotyczące zgody na przetwarzanie danych osobowych. Od maja tego roku osoba, której dotyczą dane, musi oficjalnie wyrazić zgodę na przetwarzanie jej danych osobowych, a administrator musi być w stanie wykazać, że posiada wymagane oświadczenie potwierdzające taką decyzję. Wyrażona zgoda musi być jawna, świadoma, dobrowolna i potwierdzona, a oświadczenie musi być sformułowane w prostej i łatwo zrozumiałej formie. Dodatkowo osoba której zgoda dotyczy może w każdej chwili wycofać się ze swej decyzji i anulować zadeklarowaną zgodę.

3. Prawo do bycia “zapomnianym”

Po wejściu w życie nowego prawa konsument będzie miał większą kontrolę nad swoimi danymi. To od niego będzie zależeć jak długo chce aby jego dane były w użyciu przez firmy. Po cofnięciu zgody na ich udostępnianie, administrator ma obowiązek poinformować innych administratorów, którym upublicznił dane klienta o usunięciu ich i zaprzestania ich przetwarzania. Dodatkowo osoby, których dotyczą dane, będą miały rozszerzone prawo sprzeciwu wobec tego jak przetwarzane są ich dane. Dla przykładu mają prawo do sprzeciwu wobec marketingu bezpośredniego.

4. Prawo jednostki do ograniczeń profilowania

Rozporządzenie RODO wprowadzi większe ograniczenia w zakresie profilowania. W tym obowiązek uzyskania zgody na profilowanie, surowy obowiązek informowania o profilowaniu, a także akceptacje odmowy zgody na profilowanie.

5. Ochrona danych osobowych a umowy między firmami

Już od maja tego roku każda umowa zawarta między firmami będzie musieć posiadać zapis dotyczący ochrony danych osobowych. Do tej pory nie był to wymóg. Umowy mogły, ale nie musiały zawierać zapisu dotyczącego poufności.

6. Wyznaczenie Inspektora Ochrony Danych Osobowych

Nowe przepisy zakładają wyznaczenie Inspektora Ochrony Danych Osobowych w celu kontroli procesu przetwarzania danych. Osoba ta musi być ekspertem w zakresie ochrony danych osobowych i posiadać odpowiednią wiedzę i doświadczenie. Wyznaczenie takiej osoby będzie dotyczyć zarówno firm kontrolujących, jak i przetwarzających dane, ale nie we wszystkich przypadkach. Dokładne wytyczne których firm będzie to dotyczyć zawarte są w rozporządzeniu. W uproszczeniu, będą to między innymi duże podmioty, zatrudniające ponad 250 osób, które przetwarzają dane osobowe na dużą skalę (np. banki czy firmy marketingowe).

7 . Zgłaszanie naruszeń rozporządzenia

Kolejne wytyczne RODO nakładają obowiązek zgłaszania wszelkich naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Incydenty tego typu należy zgłosić do właściwego organu nadzoru w ciągu 72 godzin od ich wykrycia. W niektórych przypadkach konieczna będzie też natychmiastowa informacja konkretnej osoby o wystąpieniu ryzyka naruszenia jej praw i swobód.

8. Inwentaryzacja i dokumentacja danych osobowych

Nowe regulacje RODO wpłyną  również na sposób “przechowywania” danych. Nowe rozporządzenia nakazują prowadzenie dokładnych rejestrów przetwarzanych danych, uwzględniając powody przetwarzania danych, kategorie danych osobowych oraz kategorie podmiotów, adresatów danych, a także rejestry międzynarodowych transferów danych, oraz rejestry naruszeń.

9. Analiza przed podjęciem działań “wysokiego ryzyka”

Rozporządzenie wprowadzi również obowiązek dokonania oceny wpływu  ochrony danych przed podjęciem działań profilowania na dużą skalę lub wykorzystania danych szczególnych kategorii, jak na przykład dane dotyczące zdrowia.

10. Transfer danych poza Unię Europejską

Przesyłanie danych osobowych poza Unię Europejską bez zachowania zasad i wytycznych RODO skutkować może otrzymania bardzo wysokich kar finansowych.

Co istotne, wszystkie zmiany muszą zostać wdrożone dokładnie do 25 maja 2018 r. Rozporządzenie RODO nie zakłada okresu przejściowego. Jest to o tyle kłopotliwe, że znaczna liczba przedsiębiorców nie ma pojęcia o nowym rozporządzeniu, lub posiada bardzo ograniczoną wiedzę na jego temat. Dlatego wprowadzenie tak wielu zmian może być ogromnym wyzwaniem dla firm. Nowe przepisy zakładają wysokie kary za niedostosowanie się do nowych regulacji dlatego też zachęcamy wszystkich przedsiębiorców do szerszego zapoznania się z tematem RODO. Osoby zainteresowane tym tematem odsyłamy do kontaktu z kancelarią lub lektury poniższych publikacji, które szerzej ujmują temat:

  1. Anna Dmochowska, Marcin Zadrożny: Unijna reforma ochrony danych osobowych. Analiza zmian. Wydawnictwo C.H. Beck 2016
  2. Grzegorz Sibiga, Katarzyna Syska: Ogólne rozporządzenie o ochronie danych. Podręczny zbiór przepisów o ochronie danych osobowych, zestawień, schematów oraz wzorów rejestru czynności przetwarzania. Wydawnictwo C.H. Beck 2017