Dane osobowe to ślad, który zostaje w sieci. Niezależnie czy prowadzisz sklep internetowy, czy usługę typu SaaS nowelizacja wprowadza szereg zmian, które należy respektować od 25 maja 2018 roku. Stara dyrektywa z 1995 przestaje mieć znaczenie stąd też należy przygotować się do nowelizacji prawa tak byśmy byli gotowi na 2018 rok bez zbędnego stresu. Jaki jest cel nowego prawa? Ujednolicić prawo ochrony danych na całym obszarze Unii Europejskiej. Poniżej zmiany i nowości na które musisz przygotować się ty i Twoje organizacja.
1. Rozszerzona formuła
Obywatel w zamiarze ma być bardziej zabezpieczony przed szkodliwym wykorzystaniem danych osobowych. Już na początku procesu pozyskiwania danych administrator danych osobowych (ADO) będzie zobligowany do podania informacji o prawie ich przenoszenia i okresie przechowywania oraz zamiarze ich przekazania do Państw nie znajdujących się na terenie Unii Europejskiej.
2. Rejestr czynności przetwarzanych
Rejestracja zbiorów danych osobowych w GIODO nie jest konieczna. Obowiązek prowadzenia rejestru czynności spoczywa na organizacji.
3. Nowe obowiązki procesora
Procesorzy to osoby lub organizacje, które przetwarzają dane w imieniu ADO również będą zobowiązane do prowadzenia rejestru czynności. Mogą także w niektórych okolicznościach powoływać Inspektora Ochrony Danych (IOD).
4. Zmiana statusu i roli ABI
Dotychczas nie ma obowiązku powoływania Administratora Bezpieczeństwa Informacji (ABI). Unijna nowelizacja zmienia ten obowiązek. Zmieni się także nazewnictwo stanowiska. Od 2017 roku ABI zmienia sie w Inspektora Ochrony Danych (IOD).
Osoby, które zgodziły się na przetwarzanie danych będą miały prawo kontaktować się z nimi w temacie przetwarzania danych osobowych. Inspektor Ochrony Danych ma także obowiązek współpracy z GIODO.
5. Dane wrażliwe
Ustawodawca dokładnie określił ich wrażliwość, dodatkowo zestaw powiększył się o dane genetyczne i biometryczne.
6. Zwiększenie uprawnień
Osoba zainteresowana ma prawo do usunięcia własnych danych osobowych (dawniej zwane prawem do bycia zapomnianym) oraz prawo do przenoszenia danych.
7. Proaktywne podejście
Już na samym etapie projektowania zbierania i przetwarzania danych musimy przygotować szereg procedur i zabezpieczeń. Rozwiązania technologiczne muszą być na odpowiednim poziomie, a przede wszystkich osoby przetwarzające dane muszą być odpowiednio przygotowane i przeszkolone.
8. Zgłaszanie wycieków danych
Kiedy dane osobowe wyciekną, należy niezwłocznie ten fakt zgłosić. Donosząc na samego siebie możemy liczyć na łagodniejsze traktowanie przez GIODO. W niektórych przypadkach należy także poinformować o incydencie osoby zainteresowane (dla przykładu klientów).
9. Kary
System kar rozbudowano do granicy 20000000 euro lub 4% całkowitego obrotu roku wcześniejszego. Nowy system kar powinien w szczególności zwrócić uwagę na mocniejszą ochronę danych osobowych.
10. Ułatwienia
Punkt ten dotyczy grup kapitałowych, które będą mogły udostępniać dane względem grupy. Wymaganiem jest wskazanie kto i za co odpowiada w podmiocie przetwarzającym dane.
11. Profilowanie
Należy profilować dane zgodnie z regulacją prawną. Dotychczas nie istniał taki obowiązek.
12. Dzieci
Rodzice swoich pociech mają większą możliwość decyzji o stopniu obecności ich w sieci internetowej, a w szczególności na portalach internetowych.
Pewne szczególne kwestie wynikające z wejścia w życie RODO wymagają uregulowania na poziomie ustawodawstwa krajowego dlatego też warto śledzić zmiany.