czyli polski skrót od rozporządzenia o ochronie danych, a dokładnie od Rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w
sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Do tej pory europejski system ochrony danych
osobowych oparty był na dyrektywie (Dyrektywa Parlamentu Europejskiego i Rady
95/46/WE z dnia 24 października 1995 r.), co oznaczało w praktyce, że każdy
kraj członkowski ustalał indywidualnie swoje przepisy ochrony danych kierując
się wytycznymi zawartymi w tej dyrektywie. Obecnie uchwalone rozporządzenie tym
różni się od dyrektywy, że jest stosowane wprost, tzn. bez konieczności
wdrażania go w krajowy system prawny. W praktyce zapewni to takie same przepisy
ochrony danych osobowych na całym obszarze UE oraz możliwość bezpośredniego
powoływania się na nie przed krajowymi organami. Głównym powodem zmian jest
próba nadążania za rewolucją technologiczną i dostosowanie przepisów do czasów
współczesnych (dyrektywa była uchwalona w latach 90-tych, co jest epoką w
świecie cyfrowym).
Kiedy wejdą zmiany?
z art. 99 RODO, nowe przepisy zaczną obowiązywać od dnia 25 maja 2018 r. Jest
więc jeszcze sporo czasu na przystosowanie się do nadchodzących zmian. Podstawą
jest jednak wiedza co dokładnie się zmieni?
Jakie zmiany?
przedstawiam zmiany istotne tylko z punktu widzenia NGO (znacznie więcej jest
tych dotyczących tylko przedsiębiorców). Dla wszystkich nie mających czasu na wnikliwą analizę zapraszam do infografiki na końcu.
- Nie będzie już obowiązku ogólnego zawiadamiania
GIODO o przetwarzaniu danych osobowych, zamiast którego wprowadzone
zostaną procedury ochrony przy konkretnych działaniach na zbiorach danych.
Podstawą dla tego będzie analiza ryzyka naruszenia prywatności osób,
których dane dotyczą. - Najpoważniejsza praktyczna zmiana będzie
dotyczyła dokumentów wewnętrznych, na podstawie których chronione są dane
osobowe (dotychczas: polityka bezpieczeństwa informacji i instrukcja
zarządzania systemem informatycznym). Rozporządzenie pozostawia kwestię
wewnętrznych przepisów do samodzielnego rozstrzygnięcia przez podmiot
gromadzący dane. W praktyce oznacza to, że nie będzie już bezwzględnego
wymogu wdrażania powyższych dokumentów, a konkretne wewnętrzne przepisy
będą zależeć od analizy ryzyka. Administrator danych będzie musiał więc podjąć
decyzję jakie rozwiązania wprowadzić, aby dane przez niego chronione były
bezpieczne. Może się okazać, że wystarczające będą obowiązujące już
dokumenty, po ewentualnych poprawkach. - Rozszerzone zostaną obowiązki względem osób,
których dane są gromadzone, o informowanie o okresie, przez który dane
osobowe będą przetwarzane (tzw. retencja danych) oraz o danych
kontaktowych inspektora ochrony danych, jeśli został ustanowiony. - Nowym uprawnieniem osób, których dane są
gromadzone, będzie prawo do przenoszenia danych pozwalające na żądanie
przekazania zgromadzonych danych w strukturze w której są przetwarzane lub
ich bezpośrednie przekazanie innemu administratorowi. - Zmieniają się przesłanki obowiązkowego powołania Administrator
Bezpieczeństwa Informacji, który zyskał nową nazwę: Inspektor Ochrony
Danych. Jednak wciąż w zwyczajnej organizacji jego powołanie nie będzie
konieczne. - Nowym dokumentem będzie rejestr czynności
przetwarzania, który stanie się obowiązkowy dla podmiotów zatrudniających więcej
niż 250 pracowników oraz tych, którzy przetwarzają tzw. dane wrażliwe. - Wprowadzony zostanie obowiązek zgłaszania
naruszeń ochrony danych do Generalnego Inspektora Ochrony Danych
Osobowych. Jednak tylko wówczas, gdy skutkiem naruszenia będzie mogła być
kradzież lub fałszowanie tożsamości, ryzyko straty finansowej, naruszenia
dobrego imienia albo tajemnic prawnie chronionych. Dodatkowo
rozporządzenie wprowadza termin 72 godzin na zgłoszenie.
śledzić wprowadzane zmiany, gdyż część z nich zostanie na pewno doprecyzowana
na szczeblu krajowym (rozporządzenia ministerstwa Ministra Spraw Wewnętrznych i
Administracji), a pojawiające się w praktyce wątpliwości mogą być częściowo rozstrzygane
przez GIODO w postaci wyjaśnień i artykułów na stronie inspektora. Przed samym
rozpoczęciem obowiązywania przepisów, na pewno wrócę do tematu – nie tylko by
przypomnieć o zmianach raz jeszcze, ale także by sprawdzić je w praktyce.