"Nasz Inspektor Ochrony Danych sam wszystko ogarnia"
Jesteś tego pewien?
1. Przystępny język, zrozumiały dla przeciętnego odbiorcy.
Częścią rozporządzenia jest preambuła, rzadko spotykana w polskich aktach prawnych, która wyjaśnia powody wprowadzenia poszczególnych przepisów oraz wyraźnie definiuje ich cel. Taki wstęp pomaga zrozumieć kontekst całego rozporządzenia. Co warto zaznaczyć, w dalszej części dokumentu język również jest bardzo przystępny, przez co każdy z łatwością zrozumie, jakie ma prawa, obowiązki i jaka odpowiedzialność na nim ciąży.
2. Przetwarzanie danych przez grupy przedsiębiorstw.
W rozporządzeniu pojawia się pojęcie współadministratorów danych. Wcześniej podmioty te występowały jako odrębni administratorzy danych, z tymi samymi prawami i obowiązkami. Dzięki nowym przepisom, możliwy jest podział obowiązków pomiędzy poszczególne podmioty. Co więcej, rozporządzenie dostrzega w końcu grupy kapitałowe i ułatwia im przetwarzanie danych, w tym międzynarodową wymianę danych osobowych.
3. Zgoda na przetwarzanie danych dzieci.
W rozporządzeniu uregulowano zasady przetwarzania danych dzieci, korzystających z tzw. usług społeczeństwa informacyjnego, takich jak Facebook czy Google. Dotąd jedyną podstawą prawną przetwarzania ich danych była zgoda, ograniczana przez przepisy Kodeksu cywilnego. Obecnie w Polsce dzieci mogą korzystać z takich usług od 16 roku życia lub za zgodą rodziców. Dopilnowanie spełnienia tego spoczywa na podmiocie przetwarzającym dane.
4. Zgłaszanie incydentów do GIODO.
Nowością jest obowiązek zgłaszania wycieku danych do GIODO. Administrator danych ma obowiązek zrobić to w czasie do 72 godzin od wystąpienia wycieku. Jeśli naruszenie jest poważne, należy o nim poinformować również osoby, których dane są przetwarzane w ramach danego podmiotu.
5. Dopasowanie wymagań do skali przedsiębiorstwa.
Rozporządzenie jako jeden z nielicznych aktów prawnych, uzależnia stawiane przedsiębiorstwom wymogi od ich wielkości i rodzaju prowadzonej działalności. Przykładowo, małe organizacje nie muszą powoływać inspektora ochrony danych ani prowadzić tzw. rejestru przetwarzania.
6. Duży nacisk na ochronę prywatności – koncepcja „privacy by design”.
Podczas projektowania systemu ochrony danych osobowych należy wdrażać takie środki, by od samego początku właściwie chronić przetwarzane dane oraz prywatność osób, których dane dotyczą. Zgodne z tym wymogiem, ustawienia aplikacji czy serwisów społecznościowych domyślnie powinny udostępniać minimalną ilość informacji o użytkowniku. Poszerzenie zakresu udostępnianych danych może nastąpić jedynie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Wcześniej takie zagadnienia nie były uregulowane w polskim prawie.
7. Rejestrowanie czynności przetwarzania.
Rozporządzenie wprowadza obowiązek prowadzenia przez przedsiębiorców dokumentacji czynności przetwarzania. Powinni oni również na bieżąco analizować i przewidywać skutki przetwarzania. Jeśli okazałoby się, że może ono nieść za sobą duże zagrożenie dla prywatności osób, których dane dotyczą, przed rozpoczęciem przetwarzania należy skonsultować się z GIODO z prośbą o poradę. Rejestrowanie czynności przetwarzania ma zastąpić obecną rejestrację zbiorów.
8. Znacznie większe kary.
Nowe przepisy wprowadzają dużo wyższe, niż obecnie, kary za nieprzestrzeganie przepisów dotyczących ochrony danych. Sankcje mogą sięgać nawet 20 mln euro lub 4% światowego obrotu przedsiębiorstwa. Każdy przypadek ma być jednak rozpatrywany indywidualnie, w zależności od stopnia winy, naprawienia (lub nie) szkody, tego , czy podobne sytuacje w danym przedsiębiorstwie miały już miejsce w przeszłości, itp.
9. Inspektor ochrony danych zamiast administratora bezpieczeństwa informacji (ABI).
Rozporządzenie wprowadza nową nazwę dla administratora bezpieczeństwa informacji, który stanie się inspektorem ochrony danych. Inspektor będzie musiał ściśle współpracować z GIODO. Absolutną nowością jest możliwość kontaktowania się z inspektorem osób, których dane są pod jego opieką przetwarzane.
10. Łatwiejsza procedura składania skarg.
Obecnie, aby złożyć skargę do GIODO, należały wnieść opłatę skarbową w wysokości 10 zł. Rozporządzenie likwiduje wszelkie opłaty. Co więcej, ze względu na obowiązek ścisłej współpracy pomiędzy organami odpowiedzialnymi za nadzór nad ochroną danych osobowych we wszystkich krajach Unii Europejskiej, skargę można złożyć w dowolnym kraju.
Zmiana prawa wydaje się ewolucją, ale dla wielu organizacji nowe rozporządzenie może być wręcz rewolucją. Czekają je znaczące i niekiedy kosztowne zmiany. Pracownicy będą musieli zostać zapoznani z nowymi przepisami, trzeba będzie zmodyfikować formularze, na których zbierane są dane osobowe (dodanie informacji o inspektorze ochrony danych), a także przyjrzeć się, pod kątem nowych przepisów, relacjom z partnerami, którym powierzono przetwarzanie danych.
Ze względu na zagrożenie wysokimi karami, trzeba też będzie przykładać dużo większą wagę do bezpieczeństwa danych, w tym być może również więcej inwestować w technologie.
Maciej Kaczmarski, prezes zarządu ODO 24
Rozporządzenie bardzo wiele zmienia na plus. Prawo zostaje w końcu ujednolicone, pojawia się wiele udogodnień, zaczynają być zauważani mikro-przedsiębiorcy, współadministratorzy danych oraz grupy kapitałowe, łatwiej też będzie prowadzić międzynarodowy, europejski biznes. Nowe przepisy zdejmują też wiele ograniczeń administracyjnych, w tym, np. obowiązek zgłaszania zbiorów do rejestracji.
Leszek Kępa, ekspert ds. ochrony danych osobowych, autor wielu książek o tej tematyce.
ODO 24 | Biuro prasowe
"Nasz Inspektor Ochrony Danych sam wszystko ogarnia"
Jesteś tego pewien?
Potwierdź adres e-mail i pobierz przewodnik
Kliknij w link w e-mailu – od razu pobierzesz przewodnik
„Jak skutecznie wdrożyć NIS2".
Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.
Zapisz się na biuletyn ODO 24
Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Potwierdź swój adres e-mail
Kliknij w link w e-mailu – od razu pobierzesz przewodnik „Jak skutecznie wdrożyć NIS2". Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.