RODO, czyli co?




RODO,
czyli polski skrót od rozporządzenia o ochronie danych, a dokładnie od Rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w
sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 
 

Do tej pory europejski system ochrony danych
osobowych oparty był na dyrektywie (Dyrektywa Parlamentu Europejskiego i Rady
95/46/WE z dnia 24 października 1995 r.), co oznaczało w praktyce, że każdy
kraj członkowski ustalał indywidualnie swoje przepisy ochrony danych kierując
się wytycznymi zawartymi w tej dyrektywie. Obecnie uchwalone rozporządzenie tym
różni się od dyrektywy, że jest stosowane wprost, tzn. bez konieczności
wdrażania go w krajowy system prawny. W praktyce zapewni to takie same przepisy
ochrony danych osobowych na całym obszarze UE oraz możliwość bezpośredniego
powoływania się na nie przed krajowymi organami. Głównym powodem zmian jest
próba nadążania za rewolucją technologiczną i dostosowanie przepisów do czasów
współczesnych (dyrektywa była uchwalona w latach 90-tych, co jest epoką w
świecie cyfrowym).



Kiedy wejdą zmiany? 

 
Zgodnie
z art. 99 RODO, nowe przepisy zaczną obowiązywać od dnia 25 maja 2018 r. Jest
więc jeszcze sporo czasu na przystosowanie się do nadchodzących zmian. Podstawą
jest jednak wiedza co dokładnie się zmieni?
 

Jakie zmiany?

 
Poniżej
przedstawiam zmiany istotne tylko z punktu widzenia NGO (znacznie więcej jest
tych dotyczących tylko przedsiębiorców). Dla wszystkich nie mających czasu na wnikliwą analizę zapraszam do infografiki na końcu.
 
  1. Nie będzie już obowiązku ogólnego zawiadamiania
    GIODO o przetwarzaniu danych osobowych, zamiast którego wprowadzone
    zostaną procedury ochrony przy konkretnych działaniach na zbiorach danych.
    Podstawą dla tego będzie analiza ryzyka naruszenia prywatności osób,
    których dane dotyczą.
  2. Najpoważniejsza praktyczna zmiana będzie
    dotyczyła dokumentów wewnętrznych, na podstawie których chronione są dane
    osobowe (dotychczas: polityka bezpieczeństwa informacji i instrukcja
    zarządzania systemem informatycznym). Rozporządzenie pozostawia kwestię
    wewnętrznych przepisów do samodzielnego rozstrzygnięcia przez podmiot
    gromadzący dane. W praktyce oznacza to, że nie będzie już bezwzględnego
    wymogu wdrażania powyższych dokumentów, a konkretne wewnętrzne przepisy
    będą zależeć od analizy ryzyka. Administrator danych będzie musiał więc podjąć
    decyzję jakie rozwiązania wprowadzić, aby dane przez niego chronione były
    bezpieczne. Może się okazać, że wystarczające będą obowiązujące już
    dokumenty, po ewentualnych poprawkach.
  3. Rozszerzone zostaną obowiązki względem osób,
    których dane są gromadzone, o informowanie o okresie, przez który dane
    osobowe będą przetwarzane (tzw. retencja danych) oraz o danych
    kontaktowych inspektora ochrony danych, jeśli został ustanowiony.
  4. Nowym uprawnieniem osób, których dane są
    gromadzone, będzie prawo do przenoszenia danych pozwalające na żądanie
    przekazania zgromadzonych danych w strukturze w której są przetwarzane lub
    ich bezpośrednie przekazanie innemu administratorowi.
  5. Zmieniają się przesłanki obowiązkowego powołania Administrator
    Bezpieczeństwa Informacji, który zyskał nową nazwę: Inspektor Ochrony
    Danych. Jednak wciąż w zwyczajnej organizacji jego powołanie nie będzie
    konieczne.
  6. Nowym dokumentem będzie rejestr czynności
    przetwarzania, który stanie się obowiązkowy dla podmiotów zatrudniających więcej
    niż 250 pracowników oraz tych, którzy przetwarzają tzw. dane wrażliwe.
  7. Wprowadzony zostanie obowiązek zgłaszania
    naruszeń ochrony danych do Generalnego Inspektora Ochrony Danych
    Osobowych. Jednak tylko wówczas, gdy skutkiem naruszenia będzie mogła być
    kradzież lub fałszowanie tożsamości, ryzyko straty finansowej, naruszenia
    dobrego imienia albo tajemnic prawnie chronionych. Dodatkowo
    rozporządzenie wprowadza termin 72 godzin na zgłoszenie.
Warto
śledzić wprowadzane zmiany, gdyż część
 z nich zostanie na pewno doprecyzowana
na szczeblu krajowym (rozporządzenia ministerstwa Ministra Spraw Wewnętrznych i
Administracji), a pojawiające się w praktyce wątpliwości mogą być częściowo rozstrzygane
przez GIODO w postaci wyjaśnień i artykułów na stronie inspektora. Przed samym
rozpoczęciem obowiązywania przepisów, na pewno wrócę do tematu – nie tylko by
przypomnieć o zmianach raz jeszcze, ale także by sprawdzić je w praktyce.
 

Infografika ze zmianami:

 
 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Powiązane posty