Europejskie rozporządzenie o ochronie danych osobowych

Celem ogólnego rozporządzenia UE o ochronie danych (RODO UE) jest harmonizacja prawa dotyczącego ochrony danych na jednolitym rynku europejskim oraz przywrócenie poszczególnym osobom kontroli nad ich danymi osobowymi. Rozporządzenie przyczyni się nie tylko do usprawnienia międzynarodowej działalności, ale również wesprze budowanie zaufania osób fizycznych w zakresie ochrony ich danych. Oficjalnie rozporządzenie wchodzi w życie od dnia 25 maja 2018 r.

Rozporządzenie ma zastosowanie do wszystkich państw członkowskich UE, a także wszystkich organizacji prowadzących działalność na rynku UE lub posiadających informacje dotyczące podmiotów UE, których dane dotyczą.

Obecnie, jeżeli Państwa przedsiębiorstwo działa w UE lub jeżeli dysponują Państwo danymi osobowymi podmiotów UE, zachowanie zgodności z przedmiotowym rozporządzeniem nadal będzie niezbędne, niezależnie od planów związanych z Brexit’em.

Nowe przepisy wiążą się z pewnymi szczególnymi zmianami dla przedsiębiorstw, z których najistotniejszymi są finansowe skutki braku zgodności.

Wprowadzenie znaczących grzywien

Poziom pierwszy – do 10 mln EUR lub do 2% rocznego obrotu światowego jednostki dominującej, w zależności od tego, która z tych kwot jest wyższa.

Poziom drugi – do 20 mln EUR lub do 4% rocznego obrotu światowego jednostki dominującej, w zależności od tego, która z tych kwot jest wyższa.

Prawo do usunięcia danych

Jeżeli osoba fizyczna nie chce, aby jej dane były nadal przetwarzane i nie istnieją uzasadnione podstawy do zatrzymania ich, dane należy usunąć. Ciężar odpowiedzialności za wykazanie konieczności przechowywania danych spoczywa na administratorach danych, a nie na osobach, których dane dotyczą.

Obowiązkowe powiadomienie o naruszeniu danych

Organizacje będą teraz zobowiązane do powiadomienia Inspektora Ochrony Danych o naruszeniu danych w ciągu 72 godzin od momentu otrzymania wiadomości o naruszeniu.

Możliwość przenoszenia danych

W ramach przepisów zaproponowano prawo osób, których dane dotyczą, do przenoszenia swoich danych osobowych w powszechnie stosowanym formacie elektronicznym od jednego administratora do innego, bez przeszkód ze strony pierwotnego administratora.

Uwzględnienie ochrony prywatności już w fazie projektowania

Jest to jedna z podstawowych koncepcji nowych przepisów, której celem jest zmiana ogólnego nastawienia organizacji oraz planów dotyczących ochrony danych. Artykuł 23 stanowi, że ochrona danych osobowych powinna być uwzględniona w opracowywaniu procesów biznesowych, więc prywatność powinna być brana pod uwagę od samego początku realizacji projektu.

Powołanie Inspektora Ochrony Danych

Określone działanie, takie jak monitorowanie jednostek na szeroką skalę lub przetwarzanie danych szczególnej kategorii, zobowiązują organizację do powołania Inspektora Ochrony Danych. Nawet jeżeli nie jest to konieczne, powołanie Inspektora Ochrony Danych posiadającego wiedzę na temat bezpieczeństwa informacji oraz znajomość przepisów dotyczących ochrony danych jest dobrą praktyką.