RODO wprowadza szereg zmian i nowości o charakterze prawnym i informatycznym, a czas, jaki został przewidziany na przygotowanie się do zmian kończy się 24 maja 2018 r.
Nowości i zmiany, jakie niesie za sobą RODO to, m.in.: ocena ryzyka przetwarzania danych (ang. Data Protection Impact Assessment), rozszerzenie formuły zgody na przetwarzanie danych, zmiana statusu Administratora Bezpieczeństwa Informacji na Inspektora Ochrony Danych, profilowanie, raportowanie o własnych naruszeniach, czy przetwarzania danych dziecka tylko za zgodą opiekuna.
Nowe przepisy będą wyzwaniem nie tylko dla prawników, ale też i sektora IT. Po zmianach przetwarzanie danych osobowych nie będzie możliwe bez przeprowadzenia analiz przetwarzania i ochrony danych osobowych. Najważniejsza to oczywiście analiza (ocena) ryzyka i prywatności danych, a odpowiedzialność za jej przygotowanie spoczywać będzie na administratorze danych (czyli na zarządach firm).
RODO przerzuca całą odpowiedzialność za wdrożenie procedur chroniących dane osobowe na przedsiębiorców. To po ich stronie będzie też kwestia dobru odpowiednich środków zabezpieczeń i kosztów ich wdrożenia, które powinny być adekwatne do zakresu i celu przetwarzania danych osobowych, przy czym i te decyzje trzeba będzie także udokumentować. Dodatkowo, z uwagi na to, że cyberzagrożenia pojawiają się i zmieniają bardzo dynamicznie, proces ten ma być cyklicznie (regularnie) monitorowany. Wdrażany wzorcowo powinien też pozwalać niezwłocznie reagować na zagrożenia i potencjalne wycieki danych.
Administrator danych będzie też musiał monitorować incydenty związane z bezpieczeństwem danych osobowych, a wycieki zgłaszać organowi nadzorczemu w terminie 72 godzin od stwierdzenia naruszeń. W przypadku, gdy wyciek będzie mógł skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator będzie miał obowiązek poinformowania o zagrożeniu także osoby, których to dotyczy, a przy wycieku znacznej ilość danych – także poprzez media.
Naruszenie przepisów będzie oznaczać dla przedsiębiorców określone sankcje – zarówno cywilnoprawne, jak i administracyjnoprawne (sięgające nawet do 20 MLN EUR lub w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).
Sprawdź: INFORLEX SUPERPREMIUM
Trzeba też pamiętać, że pewne szczególne kwestie wynikające z wejścia w życie RODO wymaga uregulowania na poziomie ustawodawstwa krajowego. Warto więc na bieżąco śledzić również zmiany w polskim ustawodawstwie.
Jarosław Kamiński, adwokat i Senior Associate w warszawskim biurze Rödl & Partner