Profilowanie to, w dużym uproszczeniu, metoda kategoryzowania osób na podstawie różnych cech. Unijne rozporządzenie określa, iż pod tym pojęciem należy rozumieć formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Jeżeli zajdzie jedna z sytuacji wskazanych w rozporządzeniu np. dane nie są już niezbędne do celów, w których zostały zebrane, podmiot danych będzie miał prawo spowodować, by administrator bez zbędnej zwłoki usunął dane osobowe jego dotyczące (prawo do bycia zapomnianym).
One stop shop to zasada, zgodnie z którą administrator danych powinien podlegać nadzorowi tylko jednego krajowego organu ochrony danych, nawet gdy prowadzi działalność w wielu państwach UE.
Zmiany w przepisach o ochronie danych osobowych dotyczą zarówno funkcji administratora danych osobowych (ADO) jak i administratora bezpieczeństwa informacji (ABI).
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Zgodnie z nowym rozporządzeniem ADO będzie m.in. zobowiązany do prowadzenia rejestru podlegających mu czynności przetwarzania danych osobowych oraz zgłaszania każdego naruszenia ochrony danych osobowych, skutkującego naruszeniem praw i wolności osób fizycznych.
Rozporządzenie określiło też sytuacje, w których ADO będzie zobligowany do powołania administratora bezpieczeństwa informacji, określonego w dokumencie mianem inspektora ochrony danych. Będzie to miało miejsce w następujących przypadkach:
- przetwarzania danych dokonuje organ lub podmiot publiczny, z wyjątkiem sądów (w ramach sprawowania przez nie wymiaru sprawiedliwości);
- gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę;
- gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii oraz danych o wyrokach skazujących za przestępstwa i o przestępstwach.
Zachęcamy do obejrzenia animacji, która obrazuje kluczowe zmiany i nowości jakie niesie za sobą unijna reforma.
Najdotkliwszą zmianą dla organizacji wydaje się być wprowadzenie wysokich grzywien administracyjnych, które nakłada organ nadzorczy w przypadku stwierdzenia naruszenia przepisów rozporządzenia. W zależności od kategorii naruszonych przepisów rozporządzenia organ nadzorczy może nałożyć grzywnę w następujących wysokościach:
- do 10 000 000 EUR, a w przypadku przedsiębiorstwa, do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa), m.in. za naruszenie obowiązków administratora danych, podmiotu przetwarzającego, podmiotu certyfikującego i podmiotu monitorującego;
- do 20 000 000 EUR, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa), m.in. za naruszenie podstawowych zasad przetwarzania i praw podmiotu danych.
Państwa członkowskie nadto będą miały prawo ustalenia dodatkowych kar za naruszenia rozporządzenia, w szczególności za naruszenia niepodlegające grzywnom administracyjnym.
Warto również wspomnieć, iż każdy administrator, uczestniczący w przetwarzaniu danych będzie odpowiadać prawnie za szkody spowodowane przetwarzaniem niezgodnym z rozporządzeniem. Każda osoba, która poniosła szkodę materialną lub niematerialną w wyniku naruszenia przepisów rozporządzenia, będzie miała prawo otrzymać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.