Już za niespełna rok państwa Unii Europejskiej czeka rewolucja w zakresie ochrony danych osobowych. Zasady zostaną ujednolicone, ale także jednocześnie wymogi podniesione. Dla przedsiębiorców występujących w roli administratorów danych osobowych, będzie to ciężki okres, dlatego przygotowania warto zacząć już teraz. Wypracowanie planu działania i przystosowywanie pracowników do nowych standardów unijnego rozporządzenia, jest gwarancją sukcesu.
Nie będzie już GIODO
Administratorzy będą musieli przyzwyczaić się do nowej nomenklatury. GDPR (ang. General Data Protection Regulation) daje możliwość stworzenia nowych organów państwowych, które będą dbały o nadzór nad zgodnością przetwarzania danych z GDPR. Dotychczasowy Generalny Inspektor Ochrony Danych Osobowych, nazywany w skrócie „GIODO”, zastąpiony zostanie przez UODO, czyli Urząd Ochrony Danych Osobowych.
Dzisiejsi ABI (Administratorzy Bezpieczeństwa Informacji), zostaną zastąpieni przez IOD (Inspektorów Ochrony Danych). Od teraz jego obecność w łańcuchu przetwarzania danych, będzie w określonych przypadkach konieczna. ADO powinni wiedzieć, że obok nich pojawia się także nowa nowy rodzaj podmiotów – współadministratorzy. Współadministratorami będzą conajmniej dwa podmioty, które wspólnie ustalają cele i środki przetwarzania danych.
Porządek w krajowym ustawodawstwie
25 maja 2018 roku, przestanie obowiązywać Ustawa o ochronie danych osobowych z 29 sierpnia 1997 roku. Zastąpi ją, wspomniane już GDPR. Jednakże, Parlament zostawiła państwom członkowskim legislacyjną furtkę. Projektowana jest nowa ustawa UODO, która jednak będzie precyzowała tylko niektóre kwestie, przez co będzie mniej obszerna niż dzisiejsza ustawa. Postanowienia w niej przewidziane, w całości podporządkowane zostaną GDPR, które będzie miało przed nią pierwszeństwo.
Nowe wyzwania
Sama definicja danych osobowych nie ulegnie zmianie. Rozszerzy się natomiast katalog danych podlegających szczególnej ochronie tzw. danych sensytywnych. Pracodawców z pewnością zainteresuje temat danych biometrycznych, stosowne zmiany dotyczącej tej kwestii szykują się również w ustawodawstwie krajowym.
Prawodawca unijny dał też pole do popisu dla administratorów. Nie przewidział on konkretnych sposóbów zabezpieczeń. Od administratora wymagana będzie świadomość, wiedza doświadczenie, bo sam będzie musiał ocenić zagrożenia wynikające z przetwarzania danych oraz do nich dostosować zabezpieczenia. Na kartach GDPR, znaleźć można novum w postaci zasady privacy by design – dotychczas stosowanej w praktyce w wielu firmach, po raz pierwszy jednak wprost wynikającej z przepisów.
Zmiany nie ominą też kwestii związanych z rejestracją zbiorów danych osobowych. Rozporządzenie odchodzi od obowiązku ich rejestracji.
Do zadań nowych IOD nie będzie także należało prowadzenie jawnego rejestru zbiorów danych.
Administratorzy w razie wystąpienia naruszeń ochrony danych, będą musieli w ciągu 72 godzin w ramach obowiązku notyfikacyjnego poinformować o naruszeniu organ nadzoru.
Uwaga na kary
Wszelkie zaniedbania mają być surowo karane. GDPR, przewiduje nawet kary rzędu 20 milionów euro lub 4 % wartości globalnego rocznego obrotu przedsiębiorstwa.
Jednak to nie- chęć uniknięcia kary powinna być motorem do wprowadzania zmian. Jak wskazał doktor Maciej Kawecki „największym wyzwaniem jest zrozumienie, że RODO naprawdę może stymulować rozwój gospodarczy przedsiębiorstw, a nie go ograniczać”.
Przeprowadzamy cykl szkoleń przygotowujących do wdrożenia GDPR, aktualnie trwają zapisy na warsztaty, które odbędą się 29 września. Skierowane są one do administratorów danych, którzy chcą rzetelnie przygotować się no nadchodzącej reformy. Prowadzący są ekspertami w dziedzinie ochrony danych osobowych, a dzięki wieloletniej praktyce, dobrze znane są im problemy z którymi borykają się Państwo na co dzień. Zostały ostatnie miejsca. Szczegółowe informacje znajdą Państwo na stronie.