GDPR – co zmienia nowa regulacja?

25 maja 2018 roku zacznie być stosowany nowy akt, który będzie regulował ochronę naszych danych osobowych – Ogólne rozporządzenie o ochronie danych osobowych (GDPR/RODO). Zastąpi on obowiązującą od ponad 22 lat dyrektywę o ochronie danych osobowych osób fizycznych. Dla firm oznacza to konieczność dostosowania się do nowej regulacji.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE  – bo taka jest właściwa nazwa RODO – zmienia podejście do ochrony danych osobowych oraz dodaje nowe narzędzia, które dotąd nie były znane prawu ochrony danych. Ideami, jakie przyświecały uchwaleniu GDPR było wzmocnienie ochrony danych, zwiększenie praw osób fizycznych oraz realne wpływanie na zachowania podmiotów, które przetwarzają nasze dane.

GDPR. 25 May 2018GDPR wprowadza podejście oparte na ryzyku (ang. risk-based approach). Zgodnie z nim organizacje powinny zapewnić zabezpieczenia, które będą adekwatne do zagrożeń. Odchodzi tym samym od jednakowego traktowania wszystkich podmiotów w zakresie obowiązków zabezpieczania danych osobowych. Risk-based approach  zastępuje obecne podejście legalistyczne, które szczegółowo określa zabezpieczenia, jakie powinni wdrożyć administratorzy danych osobowych. W przypadku, gdy zastosowane zabezpieczenia nie będą adekwatne do zagrożeń i zawiodą, organizacje będą musiały poinformować o tym organ nadzorczy w ciągu 72 godzin od chwili wykrycia incydentu. Dodatkowo na organizacjach będzie ciążył obowiązek wykazania w czasie kontroli organu nadzorczego, że zostały zastosowane  odpowiednie  zabezpieczenia.

Administratorzy danych osobowych będą musieli również, już w fazie koncepcyjnej projektów, uwzględniać ochronę danych oraz skutki wpływu projektowanych przez nich produktów i usług na prywatność użytkowników (privacy by design). Dodatkowo w przypadku tworzenia systemów czy aplikacji powinny one domyślnie stosować najwyższy poziom prywatności (privacy by default).

Pod reżimem GDPR także osoby fizyczne będą miały więcej praw. Oprócz prawa do otrzymania informacji o przetwarzaniu ich danych osobowych oraz prawie dostępu do danych, będą wśród nich prawo do bycia zapomnianym, do przenoszenia swoich danych czy też ograniczenia przetwarzania. Wszystkie te zmiany mają zapewnić większe bezpieczeństwo i poszerzyć naszą wiedzę oraz kontrolę nad tym, co się dokładnie dzieje  z powierzonymi danymi.

Zapisz się już dziś na szkolenie „GDPR dla IT – zabezpieczanie systemów informatycznych przetwarzających dane osobowe”

W związku z rozpoczęciem stosowania GDPR zmianie ulegną również stosunki z kontrahentami. Z GDPR wynika obowiązek uwzględniania w umowach przetwarzania danych osobowych m.in. postanowień umożliwiających kontrolę kontrahenta. Dzięki temu organizacje będą mogły kontrolować zastosowane zabezpieczenia u swoich partnerów. Jest to o tyle ważne, że to na organizacjach ciąży obowiązek i odpowiedzialność związana z doborem kontrahentów, którzy zapewnią powierzonym danym osobowym odpowiedni poziom zabezpieczeń.

Największą zmianą, którą wnosi GDPR, jest możliwość nakładania milionowych kar (do 20 000 000 euro) za naruszenia postanowień unijnego rozporządzenia. Jest to nowość i największy motywator dla przedsiębiorców, którzy będą przetwarzać dane do dokonywania takich procesów zgodnie z obowiązującym prawem.

GDPR, jako rozporządzenie, będzie miało od maja przyszłego roku bezpośrednie zastosowanie we wszystkich państwach członkowskich, a w tym także w Polsce. Wymusi to też powstanie nowej, krajowej ustawy o ochronie danych osobowych (wstępny projekt dostępny pod tym linkiem). Ustawa ta zaś doprecyzuje tylko jego stosowanie w Polsce.

Maciej Chodorowski, prawnik, ekspert  ds. ochrony danych osobowych, Omni Modo

Grupa Omni Modo to zespół ekspertów, prawników i informatyków, od 12 lat zajmujących się ochroną danych osobowych oraz bezpieczeństwem informacji i teleinformatycznym. W ofercie firmy znajdują się: dostosowanie do GDPR/RODO, audyty, szkolenia, przygotowywanie dokumentów i pełnienie funkcji Administratora Bezpieczeństwa Informacji. Jedna z najstarszych i największych firm oferujących usługę zewnętrznego ABI, dzięki czemu może uczyć i dostarczać usługi w oparciu o własną metodykę wypracowaną na przestrzeni lat. Na swoim koncie ma ponad 300 audytów, ponad 10000 przeszkolonych osób oraz ponad 500 zadowolonych klientów. Autorzy portali: GDPR.pl oraz E-OchronaDanych.pl – pierwszego w Polsce portalu poświęconego ochronie danych osobowych. Współautorzy książki: “Ogólne rozporządzenie o ochronie danych osobowych. Wybrane zagadnienia” pod redakcją dr Macieja Kaweckiego oraz r.pr Tomasza Osieja. www.omnimodo.com.pl.Omni Modo GDPR

Udostępnij ten artykuł na:
Chcesz dowiedzieć się więcej?
Aby pobrać zawartość wpisz swoje imię i email
Twoje dane są bezpiecznie. My też nie lubimy spamu.
Chcesz dowiedzieć się więcej?
Aby pobrać zawartość wpisz swoje imię i email
Twoje dane są bezpiecznie. My też nie lubimy spamu.