Od 25 maja bieżącego roku funkcjonują nowe unijne przepisy o ochronie danych osobowych. Już pojawił się pierwsze kary za niedopasowanie witryn oraz firmowych dokumentacji do nowych wymogów. Sprawdź, co warto wiedzieć o RODO.

Kogo powinno interesować RODO?

Nowe przepisy o ochronie danych osobowych dotyczą wszystkich, którzy przetwarzają, gromadzą oraz wykorzystują dane osób fizycznych. Do zapisów RODO muszą dopasować się wszystkie organy administracji publicznej, właściciele przedsiębiorstw, urzędy, duże i małe firmy, sklepy internetowe, placówki edukacyjne i wychowawcze, domy kultury i absolutnie każdy podmiot, który przetwarza dane osobowe.

Nowe przepisy nakładają wiele obowiązków, a także straszą wielomilionowymi karami (dochodzącymi nawet do 20 mln euro). Wśród kluczowych zmian zalicza się m.in.:

• konieczność powołania nowych inspektorów danych osobowych,
• nakazanie przeprowadzania audytów bezpieczeństwa i rejestrów ryzyka oraz naruszeń,
• wskazywanie osób odpowiedzialnych za przetwarzanie danych w firmach,
• konieczność dopasowania witryn internetowych do nowych regulacji.

1. Bezpośrednia i obligatoryjna odpowiedzialność za przetwarzanie danych

Za naruszenie przepisów RODO odpowiada bezpośrednio szef jednostki, firmy lub urzędu. Odpowiedzialność nie może być zbywana na inne podmioty i jest całkowicie obligatoryjna. Szef organizacji odpowiada przed sądem karnym, cywilnym oraz przed urzędem kontroli.

2. Za naruszenie przepisów RODO grożą potężne kary

Niedopełnienie obowiązku ochrony danych osobowych lub brak odpowiednich wdrożeń związanych z polityką bezpieczeństwa grozi karami pieniężnymi od 10 do 20 mln euro lub o wysokości prezentującej od 2% do 4% wartości globalnego obrotu przedsiębiorstwa – zależnie od tego, która kara jest wyższa. Kary nakładane są proporcjonalnie do przewinień.

3. Nowe stanowisko w firmie – Inspektor Ochrony Danych (IOD)

Nowe przepisy RODO powołują stanowisko Inspektora Ochrony Danych, którego obowiązkiem jest dopilnowanie bezpieczeństwa danych oraz raportowanie o wszelkich przejawach naruszeń bezpośrednio do urzędu kontroli. Stanowisko dotychczasowego Administratora Danych Osobowych (ABI) zostało rozwiązane. Powołanie IOD jest niezbędne w przypadku organizacji, w których niedopilnowanie działalności może skutkować naruszeniem wolności oraz praw osób fizycznych.

4. Rejestr naruszeń

RODO wprowadza również rejestr naruszeń, który stanowi dokumentację prowadzoną przez IOD. W rejestrze muszą być umieszczone wszelkie naruszenia oraz podjęte w celu ich wyeliminowania środki zaradcze.

Warto również wiedzieć, że wszelkie naruszenia muszą być zgłaszane w czasie nie dłuższym niż 72 godziny od wystąpienia naruszenia, a zgłoszenie musi trafić bezpośrednio do organu nadzorującego.

5. Analiza ryzyka

Wedle nowego rozporządzenia analiza ryzyka jest obligatoryjna przed każdym działaniem wysokiego ryzyka i powinna zapewnić ona minimalizację ryzyka naruszenia bezpieczeństwa wrażliwych danych osobowych – np. stanu zdrowia lub danych dzieci.

Zobacz też:

• Jak wdrożyć rozwiązania zgodne z RODO na swojej stronie internetowej?
• Pełna dokumentacja RODO i roczne wsparcie prawne