Rozporządzenie zacznie obowiązywać 25 maja 2018 roku po dwuletnim „okresie przygotowawczym”. W czasie tych dwóch lat państwa członkowskie mają za zadanie dostosować do Rozporządzenia swoje przepisy krajowe. Do zmian przepisów muszą dostosować się również wszystkie firmy i organizacje. Zmian dotychczasowych regulacji, oraz zupełnie nowych przepisów jest wiele.
Zapraszamy na szkolenie "Praktyczne aspekty Rozporządzenia o ochronie danych osobowych"
Nowe uprawnienia GIODO
Unijne rozporządzenie przyznało Generalnemu Inspektorowi Ochrony Danych Osobowych bardzo szerokie uprawnienia, w tym możliwość nakładania wysokich administracyjnych kar pieniężnych. Kary w zależności od rodzaju przewinienia, mogą wynosić 10 000 000 euro lub 2% całkowitego światowego obrotu z poprzedniego roku obrotowego bądź 20 000 000 euro lub 4% całkowitego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Co więcej, biuro GIODO zostanie zapewne rozbudowane i dofinansowane. Rozporządzenie zobowiązuje bowiem każde państwo członkowskie do zapewnienia właściwych zasobów kadrowych, technicznych i finansowych, niezbędnych do właściwej realizacji swoich uprawnień nadzorczych. Wygląda więc na to, że już niedługo przedsiębiorcy będą musieli się liczyć z GIODO tak samo jak obecnie z Komisją Nadzoru Finansowego czy Urzędem Ochrony Konkurencji i Konsumentów.
Rejestr czynności przetwarzania
W rozporządzeniu zrezygnowano z obowiązku rejestrowania zbiorów danych osobowych. Zastąpiono go jednak obowiązkiem prowadzenia, przez niektórych administratorów danych rejestru czynności przetwarzania. Będzie on musiał zawierać:
- nazwy oraz dane kontaktowe administratora oraz współadministratorów, inspektora ochrony danych oraz przedstawiciela administratora (jeżeli istnieją),
- cele przetwarzania,
- opis kategorii podmiotów danych oraz kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
- planowane terminy usunięcia poszczególnych kategorii danych,
- ogólny opis techniczny i organizacyjny środków bezpieczeństwa,
- informację o przekazaniach danych do państwa trzeciego lub organizacji międzynarodowej.
Właściwe zabezpieczenie danych
Wraz z nowymi przepisami, znacznie większy nacisk kładzie się na zapewnienie danym właściwego bezpieczeństwa. Szczególnie istotne będą zabezpieczenia danych przetwarzanych elektronicznie. Każda organizacja będzie zobowiązana do wdrożenia odpowiednich środków, zapewniających poziom bezpieczeństwa, odpowiadający potencjalnym zagrożeniom. Rozporządzenie wymienia katalog czynności, które administrator danych powinien w tym celu zastosować, w tym zapewnienie możliwości szybkiego przywrócenia dostępności danych w razie incydentu fizycznego lub technicznego. Mowa tu przede wszystkim o zapewnieniu ciągłości działania poprzez stworzenie i wdrożenie odpowiednich procedur awaryjnych i odtworzeniowych. Organizacja będzie także musiała zapewnić regularne testowanie, mierzenie i ocenianie skuteczności wykorzystywanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Wymóg ten będzie można spełnić m.in. przez organizowanie regularnych kontroli, audytów czy testów penetracyjnych systemów IT.
Zachęcamy do obejrzenia animacji, która obrazuje kluczowe zmiany i nowości jakie niesie za sobą unijna reforma.
Polski tekst europejskiego rozporządzenia o ochronie danych osobowych.