RODO: Zmiany dla administratorów danych

25 kwietnia 2018
/

Od 25 maja 2018 roku zaczyna obowiązywać ogólne rozporządzenie o ochronie danych osób fizycznych, które ma wprowadzić szereg poważnych zmian w instytucję ochrony danych osobowych. Zasady - przetwarzania, wykorzystania oraz przechowywania danych osobowych zostaną zmienione.  Naruszenie tych zasad będzie natomiast grozić wysokimi karami finansowymi.

Przed rozpoczęciem obowiązywania RODO, należałoby zwrócić uwagę administratorom oraz podmiotom przetwarzającym dane osobowe na modyfikacje, z którymi będziemy mieć niebawem do czynienia.

Oto 5 podstawowych zmian:

Wysokie sankcje finansowe

Przepis art. 83 RODO ustanawia ogólne warunki nakładania administracyjnych kar pieniężnych. Najwyższy wymiar takiej kary, stosowanej np. w przypadku naruszenia podstawowych zasad przetwarzania lub naruszenia praw osób, których dane dotyczą, sięga 20 000 000 euro, a w przypadku przedsiębiorstwa – 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Wydaje się, że taka wysokość kar finansowych powinna wymusić przestrzeganie norm prawnych wynikających z rozporządzenia.

Odpowiedzialność podmiotów przetwarzających dane

Jak stanowi przepis art. 82 RODO, każdy administrator lub podmiot przetwarzający dane osobowe będzie odpowiadał za szkodę majątkową, bądź też niemajątkową spowodowaną naruszeniem ogólnego rozporządzenia o ochronie danych. Inaczej stanie się wówczas, gdy nastąpi udowodnienie sytuacji, że w żaden sposób nie ponoszą oni winy za zdarzenie, które doprowadziło do powstania szkody. Tenże  przepis wprowadza odpowiedzialność solidarną administratorów danych oraz podmiotów przetwarzających, którzy uczestniczą w niezgodnym z prawem przetwarzaniu.

Brak obowiązku rejestracji zbiorów danych osobowych przez GIODO

Przepis art. 40 obowiązującej ustawy o ochronie danych osobowych nakłada na administratora danych obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi. RODO nie przewiduje takiej powinności w stosunku do administratora, natomiast obciąża go koniecznością prowadzenia rejestru czynności przetwarzania wewnątrz organizacji. Wspomniany rejestr powinien zawierać informacje dotyczące w szczególności: danych administratora i współadministratorów, celów przetwarzania danych, opisu kategorii osób, których dane dotyczą, kategorii danych, kategorii odbiorców itd..

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

Możliwe, że na pierwszy rzut oka wydaje się to dziwne, jednak ratio legis tej normy polega na zabezpieczeniu i złagodzeniu naruszeń naruszenia ochrony danych. Przepis art. 33 rozporządzenia nakłada na administratora obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu w terminie 72 godzin. Administrator może zwolnić się od tego obowiązku, jeżeli: jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Tak nieostre sformułowanie nakłada na administratora ciężar podjęcia decyzji uznaniowej. To z kolei może wiązać się w przyszłości z poważnymi konsekwencjami.

Pojawia się również obowiązek informowana osoby, której dane dotyczą. Mowa o sytuacji naruszenia ochrony danych osobowych, która może spowodować wysokie ryzyko ograniczenia jej praw lub wolności.

Inspektor Ochrony Danych Osobowych

Ogólne rozporządzenie o ochronie danych wprowadza nową instytucję - Inspektora Ochrony Danych Osobowych. Wbrew pozorom, instytucja ta nie jest tożsama z Administratorem Bezpieczeństwa Informacji (ABI). Warto zapoznać się z zakresem zadań, który reguluje ustawa o ochronie danych osobowych, ponieważ zostaną wprowadzone pewne modyfikacje. Część zadań IODO ulegnie zmianie. Jego podstawową funkcją będzie jednak nadal wsparcie administratora i podmiotów przetwarzających dane.

W związku ze szczególną doniosłością przepisów oraz zbliżającym się terminem początku obowiązywania RODO, zachęcamy do śledzenia zmian i aktualności związanych z RODO na naszym portalu internetowym.