RODO czyli nowa jakość prawa o ochronie danych osobowych od 25 maja 2018 r.

Dotychczasowe przepisy o ochronie danych osobowych obowiązujące od 1997 r. były przez wszystkich przestrzegane w różnym stopniu. Przez ostatnie dwadzieścia lat administratorzy danych osobowych często nie stosowali się do zapisów ustawy o ochronie danych osobowych ze względu na niskie kary, niewielką odpowiedzialność i niewielkie kompetencje organu nadzorczego – Głównego Inspektora Ochrony Danych Osobowych (GIODO). Od 25 maja 2018 r., czyli od dnia wejścia w życie ogólnego rozporządzenia o ochronie danych osobowych (tzw. RODO) zarówno odpowiedzialność jak i kary wobec administratorów danych osobowych mają wzrosnąć. Również GIODO zyska dodatkowe kompetencje, a osoby, których dane są przetwarzane, czyli podmioty danych uzyskają rozszerzone prawa, m.in. prawo do bycia zapomnianym. Kary administracyjne za naruszenie nowych przepisów sięgać będą nawet 20.000.000 euro i zgodnie ze stanowiskiem GIODO będą surowo przez niego egzekwowane. Oprócz odpowiedzialności administracyjnej, administratorzy danych oraz osoby przetwarzające dane w jego imieniu (a więc również pracownicy) podlegają odpowiedzialności karnej. Ponadto, podmioty danych będą miały prawo do żądania odszkodowania na podstawie szczególnych przepisów uchwalonych w nowej ustawie o ochronie danych osobowych.

Administratorzy danych osobowych będą w określonych przypadkach zobowiązani do przeprowadzenia oceny skutków dla ochrony danych (Data Protection Impact Assessment – DPIA), poszerzony zostanie obowiązek informacyjny oraz obowiązki zabezpieczenia w odpowiedni sposób przetwarzanych danych osobowych. Aktualne pozostają zasady adekwatności przetwarzanych danych, szczególnej staranności przy ich przetwarzaniu, przetwarzania danych w konkretnych, wyraźnych i prawnie usprawiedliwionych celach oraz zasady poufności, integralności i prawidłowości przetwarzanych danych. Administratorzy danych będą mieli obowiązek prowadzić dokumentację rejestrującą czynności przetwarzania danych i wdrożyć odpowiednie środki techniczne i organizacyjne, które będą poddawane okresowym przeglądom i uaktualniane. Ciężar dowodu, że przetwarzanie zachodzi zgodnie z prawem będzie spoczywał na administratorze danych. Wdrożone środki muszą być proporcjonalne w stosunku do zagrożeń przy przetwarzaniu danych, a więc wyższe standardy zabezpieczeń będą obowiązywać np. przy przetwarzaniu wrażliwych danych osobowych (np. danych o stanie zdrowia). Wszelkie wykryte przez administratora danych osobowych naruszenia ich ochrony mają być zgłaszane do GIODO w terminie nie dłuższym niż 72 godziny od stwierdzenia naruszenia. GIODO nie będzie prowadził już rejestru zbiorów danych osobowych.

Istotną pomocą dla administratora danych osobowych będzie instytucja Inspektora Ochrony Danych (IOD) czyli upraszczając dotychczasowy ABI (Administrator Bezpieczeństwa Informacji). Inspektor Ochrony Danych doradza administratorowi w sprawie jego obowiązków z zakresu ochrony danych osobowych, monitoruje przestrzeganie obowiązków wynikających z RODO w imieniu administratora a także jego procedur wewnętrznych. IOD ma obowiązek również przeprowadzać działania zwiększające świadomość oraz szkolenia dla personelu uczestniczącego w procesach przetwarzania danych. IOD musi mieć odpowiednie kwalifikacje zawodowe, przede wszystkim wiedzę fachową na temat prawa oraz praktyk w dziedzinie ochrony danych osobowych.