Ochrona danych osobowych – zmiany od maja 2018 r. (cz.II)
Kontynuując poprzedni artykuł przedstawiamy najistotniejsze zmiany w zakresie ochrony danych osobowych, które wprowadza rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO), które będzie obowiązywać od dnia 25 maja 2018 roku.
Inspektor Ochrony Danych (IOD) jest zobowiązany do zgłaszania, bezpośrednio organowi nadzoru, wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia. Jeśli nie wyznaczono IOD, wówczas obowiązek ten będzie ciążył na administratorze. Co istotne, w niektórych przypadkach, dodatkowo konieczne będzie zawiadomienie także osób, do których należą dane objęte naruszeniem bezpieczeństwa.
Ponadto RODO wprowadza obowiązek prowadzenia rejestru naruszeń danych osobowych. Zgodnie z przepisami, rejestr winien dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
Nowością, po wejściu w życie RODO, jest brak wymogu rejestracji zbiorów danych osobowych. Jednak administratorzy danych muszą prowadzić wewnętrzny rejestr czynności przetwarzania danych, zawierający m.in. informacje takie jak: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania, itd.
Ponadto RODO wprowadza kary finansowe za brak wdrożenia i przestrzegania nowych przepisów dot. ochrony danych osobowych. Firmy mogą zostać ukarane karą pieniężną od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa. Kary będą nakładane proporcjonalnie w zależności od skali naruszenia przepisów.
W ostatniej kolejności, wskazać należy na nowe uprawnienia przyznane przez RODO osobom fizycznym. Należą do nich: „prawo do bycia zapomnianym”, czyli prawo do żądania trwałego usunięcia danych osobowych przetwarzanych przez administratora, prawo do żądania przeniesienia danych (np. do innego podmiotu przy zmianie umowy) oraz rozszerzone prawo dostępu i wglądu do danych osobowych. Dodatkowo RODO wprowadza prawo do żądania odszkodowania za szkody poniesione w związku z niewłaściwym przetwarzaniem danych osobowych.