Termin
- 25 maja 2018 roku - początek obowiązywania RODO
- dotyczy wszystkich przedsiębiorców prowadzących działalność w UE / przetwarzających dane obywateli U
 
Nowe obowiązki
- administrator zobowiązany jest do prowadzenia rejestru czynności przetwarzania (rejestr ma zawierać informacje wskazane w RODO), rejestr zastąpi politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym oraz rejestrowanie baz danych
- obowiązek przeprowadzenia oceny skutków dla ochrony danych (m. in. w przypadku przetwarzania na dużą skalę danych szczególnej kategorii)
- privacy by design (ochrona prywatności ma być uwzględniona w fazie projektowania procesów przetwarzania danych)
- privacy by default (domyślnie przetwarzane mają być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania)
- prawo do bycia zapomnianym
- prawo uzyskania kopii przetwarzanych danych przez osobę, której dane są przetwarzane
- administrator sam będzie zobowiązany do stosowania takich środków technicznych i zabezpieczeń, które będą dostosowane do charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności („rozporządzenie techniczne” przestanie obowiązywać)
- zgłaszanie naruszeń GIODO (w ciągu 72 h) / zawiadomienie osoby, której dane dotyczą o naruszeniu
- administrator ma obowiązek dokumentować wszelkie naruszenia ochrony danych osobowych, ich okoliczności, skutki oraz podjęte działania zaradcze
- konsultacje z organem przed rozpoczęciem przetwarzania w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych w wyniku przetwarzania danych
- kodeksy postępowania i mechanizmy certyfikacji
 
Powierzenie przetwarzania danych
- RODO reguluje treść umowy powierzenia przetwarzania
- wymóg zachowania staranności przez administratora w wyborze podmiotu przetwarzającego dane (gwarantujący właściwe wdrożenie RODO)
- konieczność uzyskania zgody administratora na dalsze powierzenie przetwarzania
- umowy powierzenia przetwarzania muszą podlegać prawu Unii lub państwa członkowskiego
- możliwość zawarcia umowy również w formie elektronicznej
 
Odpowiedzialność prawna administratora
- osobie, której dane są przetwarzane przez administratora będzie przysługiwało prawo do pozwania administratora przed sądem powszechnym o odszkodowanie
- prawo to dotyczy szkód majątkowych i niemajątkowych

Zgoda dziecka
- dla usług e-commerce dziecko, które ukończyło 16 lat może samo udzielić zgody na przetwarzanie danych osobowych (państwa mogą obniżyć wiek do min. 13 lat)
- gdy dziecko nie ukończyło 16 lat konieczna jest zgoda opiekuna
- na administratorze danych spoczywa obowiązek weryfikacji czy opiekun wyraził zgodę
- za niezgodne z prawem przetwarzanie danych osobowych dziecka poniżej 16 lat kara do 10 mln EUR lub 2% globalnego rocznego obrotu z poprzedniego roku za naruszenie praw podmiotów danych
 
Przetwarzanie szczególnych kategorii danych osobowych
- wprowadzenie nowego pojęcia szczególnych kategorii danych osobowych zamiast danych wrażliwych
- zniesienie wymogu zgody na piśmie
- ocena skutków przetwarzania dla ochrony danych
- dodanie do tej kategorii danych biometrycznych, np. owal twarzy, rozkład oczu
- obowiązkowe powołanie Inspektor Ochrony Danych, przy przetwarzaniu na dużą skalę
 
Inspektor Ochrony Danych
- nowa funkcja w miejsce ABI
- powołanie obowiązkowe dla administratorów przetwarzających określone kategorie danych m. in. na dużą skalę dane szczególnej kategorii (dane wrażliwe)
- w ramach obowiązku informacyjnego administrator zobowiązany jest do podania danych kontaktowych Inspektora Ochrony Danych (punkt kontaktowy)
- bezpośrednio podlega jedynie najwyższemu kierownictwu w strukturach administratora
- określone kwalifikacje zawodowe (wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia powierzonych zadań)
- możliwy outsourcing
 
Zniesione obowiązki
- zgłaszanie zbiorów danych osobowych
- prowadzenia dokumentacji przetwarzania danych osobowych i stosowania warunków technicznych określonych w „rozporządzeniu technicznym”
 
Kary
- do 20 mln euro lub 4 % globalnego rocznego obrotu z poprzedniego roku za naruszenie praw podmiotów danych

About the Author

Back to list

Read also