Rozporządzenie o ochronie danych osobowych obowiązuje w Polsce od 25 maja 2018 roku. Nowe przepisy wprowadziły nie tylko wiele zmian do już istniejących przepisów, ale też dodano nowe rozwiązania, które mają na celu zwiększenie ochrony danych osobowych.
Cele wprowadzenia unijnych dyrektyw
Rozporządzenie, autorem, którego są przedstawiciele państw Unii Europejskiej mają na celu ujednolicenie zasad, które dotyczą przetwarzania danych między poszczególnymi państwami należącymi do Wspólnoty. Ustawa o ochronie danych osobowych reguluje kwestie, w których RODO pozostawiło swobodę państwom członkowskim.
Obowiązek informacyjny
Nowe prawo to przede wszystkim usystematyzowanie i rozszerzenie katalogu informacji, które administratorzy muszą udostępnić osobom trzecim – czyli od których dane te są pobierane. Osoba, której dane są pobierane musi być poinformowana o tym w sposób jasny, zwięzły i nie budzący żadnych wątpliwości. Osoba, której dane są przetwarzane ma prawo do uzyskania informacji na temat przetwarzania jej danych. W związku z tym instytucje, które dane te przetrzymują mają obowiązek bez zbędnej zwłoki, najpóźniej w ciągu miesiąca, odpowiedzieć wnioskodawcy.
Nowe dodatkowe zadania związane z wprowadzonymi w prawie zmianami
Wiążą się one przede wszystkim z: prawem dostępu przysługujących osobie, której dane dotyczą, prawem do sprostowania danych, prawem do usunięcia danych („prawo do bycia zapomnianym”), prawem do ograniczenia przetwarzania, prawem do przenoszenia danych.
Polityka czystego biurka
Bardzo istotne z punktu widzenia zarówno pracownika jak i pracodawcy jest tak zwana „zasada czystego biurka”. Pomimo tego, iż większość pracy w obecnych czasach wykonujemy w komputerze, nadal posługujmy się różnego typu dokumentami. Motyw nr. 78 RODO, mówi o wdrożeniu odpowiednich środków organizacyjnych, które zapewnią spełnienie tych wymogów. Według wymogów na biurkach nie mogą być pozostawione dokumenty na których widnieją dane osobowe klientów firmy.
Na szczególną uwagę zasługuje prawo do bycia zapomnianym, co to oznacza?
W praktyce oznacza to, że administrator musi usunąć dane osobowe w całości z jego systemu. W przypadku danych w sieci, oznacza to, że usunięte muszą zostać również wszelkie linki, kopie i repliki tych danych.
Rejestrowanie czynności przetwarzania
W przypadku procesorów, istnieje obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu ADO. Z kolei administrator danych osobowych ma obowiązek prowadzić rejestr czynności przetwarzania.
Zgoda na przetwarzanie danych osobowych
Z nałożonego przez Unię prawa wynika, że zgoda musi być wyrażona konkretnemu podmiotowi. Oświadczenie zgody zatem musi zostać przedstawione w taki sposób, aby dało możliwość wyraźnie odróżnić je od pozostałych informacji. Osoba, której dane dotyczą, musi mieć zapewnione prawo do jej wycofania w tak samo łatwy sposób, jak doszło do jej wyrażenia.
Przeprowadzenie oceny skutków dla ochrony danych
Przepisy RODO wymagają, aby właściciele firm, którzy przetwarzają dane osobowe, przeprowadzili analizy wpływu działań na danych osobowych na ryzyko naruszenia praw osób, których dotyczą.
Jakie są kary za niewłaściwe przetwarzanie danych osobowych?
W chwili obecnej przepisy umożliwiają nałożenie na właścicieli firm jednorazowej grzywny, która nie przekracza 50 tys. zł. Rozporządzenie o ochronie danych osobowych przewiduje kary nawet do 20 milionów euro bądź 4 proc. obrotu światowego w związku z wyciekiem bądź incydentem związanym z danymi osobowymi.
