Legal Alert – Wiosną czas na RODO

Niebawem upłyną dwa lata od naszego pierwszego alertu dotyczącego nowych zasad ochrony danych osobowych.

Zbliża się 25 maja 2018 r., który jest dniem rozpoczęcia stosowania Rozporządzenia Parlamentu Europejskiej i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/45/WE ( RODO). Zgodnie z przewidywaniami, dla przedsiębiorców tegoroczna wiosna upływa pod znakiem RODO. We wszystkich branżach trwają, również z naszym udziałem, intensywne prace nad wdrożeniem nowych standardów ochrony danych osobowych.

Zachęcamy do sprawdzenia jak wygląda Państwa stan gotowości do RODO (link do ankiety) oraz do lektury naszej nowej zakładki: KROK do RODO.

Poniżej przedstawiamy krótkie TOP 5 dotyczące najważniejszych zmian w obszarze ochrony danych osobowych.

Zmiany TOP 5

Konieczność oceny ryzyka związanego z przetwarzaniem danych
Przedsiębiorcy zostali zobowiązani do dokonania inwentaryzacji mającej na celu ustalenie czy i jakie dane osobowe przetwarzają, a następnie do dokonania oceny czy i jakie zagrożenia wiążą się z przetwarzaniem tych danych (dla samych danych lub ich właścicieli).
Następnie, przedsiębiorcy powinni dokonać oceny, jakie środki należy podjąć w celu ochrony tych danych w ramach ich przetwarzania.

Zasada ochrony prywatności by design & by default
Zgodnie z zasadą by design przedsiębiorca administrujący danymi osobowymi jest zobowiązany, żeby już na etapie projektowania danego rozwiązania związanego z przetwarzaniem danych osobowych (np. aplikacja, model sprzedaży, software itp.) uwzględnić szereg kwestii dotyczących ochrony tych danych, w tym takich jak stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.
Zgodnie z zasadą by default przedsiębiorca administrujący danymi osobowymi ma obowiązek zapewnić, że domyślnie przetwarzane będą tylko te dane osobowe, która są faktycznie niezbędnie dla osiągnięcia danego celu przetwarzania.

Nowe prawa osób fizycznych
Nowe regulacje mocno akcentują prawa osób fizycznych w zakresie ich danych osobowych. Jednym z najważniejszych spośród nich jest „prawo do bycia zapomnianym”, czyli do żądania usunięcia oraz zaprzestania przetwarzania danych osobowych osoby fizycznej. Innym nowym prawem osób fizycznych, które może się okazać szczególnie istotne w branżach takich jak telekomunikacyjna, e-commerce, lub sektor finansowy, jest prawo do żądania przeniesienia danych do innego administratora danych.

Informowanie o naruszeniach
Na każdego przedsiębiorcę, który przetwarza lub administruje danymi osobowymi został nałożony obowiązek zgłaszania do Prezesa Urzędu Ochrony Danych Osobowych tzw. incydentów skutkujących naruszeniem ochrony danych osobowych. Co więcej, o niektórych naruszeniach (obarczonych wysokim ryzykiem) należy także zawiadomić osoby fizyczne, których dane zostały zagrożone lub naruszone.

Wysokie kary
Za naruszenie przepisów RODO grożą bardzo surowe kary finansowe. W zależności od rodzaju naruszenia wysokość kary może wynosić nawet do 20 milionów Euro lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa. Ponadto, Prezes Urzędu Ochrony Danych Osobowych będzie również dysponował innymi instrumentami, które w zamierzeniu mają spowodować, że przedsiębiorcy będą przestrzegali przepisów RODO.

Poza powyższym TOP 5, RODO przewiduje szereg innych szczegółowych obowiązków i zasad dotyczących postępowania z danymi oraz ich ochrony.

Zdecydowana większość przedsiębiorców jest już na finiszu prac związanych z dostosowaniem ich organizacji do wymogów RODO. Są jednak i tacy, którzy swojej przygody z RODO jeszcze nie rozpoczęli. Jednym i drugim życzymy skuteczności we wdrożeniu nowych standardów ochrony danych osobowych.