Bierzemy RODO na warsztat – Czy jesteś już gotowy na zmiany w ochronie danych osobowych?

Z dniem 25 maja 2018 r. zmianie ulegną przepisy dotyczące ochrony danych osobowych. W życie wejdzie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i  w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO).

Zmianie ulegnie m.in. zakres danych osobowych, które będą podlegały ochronie. Uregulowane zostanie także profilowanie osób. Katalog danych wrażliwych rozszerzony zostanie o dane genetyczne, biometryczne i dotyczące zdrowia. Zgoda na przetwarzanie danych zawierać będzie musiała cel, w jakim dane mają być przetwarzane. Jedno ogólnikowe oświadczenie stosowane dotychczas nie będzie już wystarczające. Równocześnie, jeżeli cel przetwarzania miałby się zmienić, administrator danych zobligowany będzie do uzyskania dodatkowej zgody.

Powstanie obowiązek zgłoszenia naruszenia danych osobowych przez każdego z administratorów danych do organu nadzorczego oraz powiadamiania osób, których dane dotyczą, o takich naruszeniach.

Doprecyzowano zakres terytorialny, na którym nowe Rozporządzenie powinno być stosowane, poprzez odniesienie go do zakresu świadczenia usług na terenie Unii Europejskiej. W takim brzmieniu tej regulacji również przedsiębiorcy globalni tacy, jak Facebook czy LinkedIn zobligowani zostaną do przestrzegania nowego Rozporządzenia.

RODO reguluje również kwestię ochrony danych osobowych osób nieposiadających pełnej zdolności do czynności prawnych. Korzystanie z usług internetowych, w tym portali społecznościowych, przez dzieci poniżej 16 roku życia będzie możliwe po wyrażeniu zgody przez rodziców bądź opiekunów prawnych. RODO dopuszcza jednak możliwość obniżenia przez państwa członkowskie granicy wieku, która musi wynosić co najmniej 13 lat. Z tej możliwości prawdopodobnie skorzysta Polska, gdyż projekt nowej ustawy o ochronie danych osobowych przygotowany przez Ministerstwo Cyfryzacji przewiduje konieczność zgody rodzica bądź opiekuna dla przetwarzania danych osobowych osoby poniżej 13 roku życia.

Zmieni się również status podmiotu zarządzającego w imieniu administratora danymi osobowymi. Po wejściu w życie RODO będzie nimi zarządzał Inspektor Ochrony Danych, którego kompetencje będą znacznie szersze niż kompetencje Administratora Bezpieczeństwa Informacji. Powołany zostanie Europejski Inspektor Ochrony Danych oraz Europejska  Rada Ochrony Danych.

Jedną z bardzo istotnych zmian dla podmiotów administrujących danymi jest wprowadzenie możliwości nałożenia sankcji przez organ nadzoru za brak wdrożenia regulacji o ochronie danych osobowych. Kary te mogą sięgać, w zależności od rodzaju naruszeń, 10 lub 20 mln euro bądź też równowartości 2% lub 4% całkowitego rocznego obrotu. Wejście w życie RODO z dniem 25 maja 2018r. oznacza, że już w tym dniu wszelkie działania podmiotów przetwarzających dane osobowe muszą być zgodne z jego postanowieniami. Temu służyło dwuletnie vacatio legis. Z tego względu zapoznanie się z nowymi regulacjami i pełne ich wdrożenie przed 25 maja 2018 r. jest obecnie kwestią priorytetową dla większości przedsiębiorców.

Autorka:

Sylwia Składzień
Radca prawny/Junior Associate
Dział Prawa Pracy

Ochrona danych osobowych – sprawdź, jak możemy pomóc: