1. „PRAWIE” UNIWERSALNY CHARAKTER RODO
Patrząc jedynie na kategorie przedsiębiorców, można stwierdzić, że RODO ma zastosowanie dla każdego. Jednak Rozporządzenie wyróżnia grupy podmiotów, których zakres RODO nie dotyczy. Są to między innymi osoby fizyczne, które w działalności czysto osobistej lub domowej, bez związku z działalnością zawodową lub handlową przetwarzają dane osobowe (na przykład przechowywanie danych adresowych, czy korespondencji prowadzonej z grupą znajomych). Rozporządzenie nie ma również zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii (np. kwestie związane z bezpieczeństwem narodowym), a także do działalności związanej z przetwarzaniem danych przez instytucje unijne czy też dyplomatyczne. Przepisów rozporządzenia nie stosuje się również do działalności właściwych organów w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
2. PRAWA PODMIOTU DANYCH
Zadaniem administratora danych osobowych będzie dostosowanie systemów informatycznych tak, aby na każde żądanie osoby, której dane dotyczą, można było między innymi usunąć całkowicie jej dane osobowe, czy przenieść je do innego usługodawcy. Przykładowo, zmieniając placówkę medyczną, możemy żądać, żeby obecny podmiot przetwarzający nasze dane wygenerował plik z wszystkimi naszymi danymi osobowymi, przekazał go nam, a następnie usunął je ze wszystkich swoich nośników, na których przechowuje dane osobowe. Administrator danych będzie miał również obowiązek udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą. W przypadku złożenia zapytania przez tę osobę, powstanie obowiązek udzielenia odpowiedzi na zadane pytanie w terminie miesiąca.
3. INSPEKTOR OCHRONY DANYCH (IOD)
RODO tworzy nową funkcję, odpowiedzialną za bezpieczeństwo danych osobowych, ale również za raportowanie naruszeń do organu nadzoru. Część zadań realizowanych przez IOD ulegnie zmianie w porównaniu do tych wykonywanych obecnie przez Administratora Bezpieczeństwa Informacji (ABI), przy czym IOD nadal będzie przede wszystkim wspierać administratorów i podmioty przetwarzające w wykonywaniu przez nich obowiązków. Należy dodatkowo zaznaczyć, że funkcję ABI może pełnić tylko osoba fizyczna powołana przez administratora danych. Natomiast funkcję IOD może pełnić także jednostka organizacyjna powołana zarówno przez administratora, jak i procesora.
4. OBOWIĄZEK ZGŁASZANIA NARUSZEŃ
W ciągu 72 godzin od wykrycia naruszenia mogącego skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone, trzeba zgłosić się do właściwego organu nadzoru (przypuszczalnie będzie to Urząd Ochrony Danych Osobowych). Warto podkreślić, że należy zgłaszać takie naruszenia, które z dużym prawdopodobieństwem powodują naruszenie praw i wolności osób, których dane dotyczą. Istnieje również możliwość zgłoszenia tej informacji do konkretnej osoby, której prawa i wolności zostały zagrożone naruszeniem.
5. BEZPOŚREDNIA ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO DANE
Za nieprzestrzeganie postanowień RODO, przetwarzający dane będzie ponosił bezpośrednią odpowiedzialność. Powołanie Inspektora Ochrony Danych Osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności. Oczywiście nadal powierzenie przetwarzania danych osobowych osobie trzeciej nie będzie zwalniało z odpowiedzialności administratora danych osobowych, czyli w sytuacji, gdy nasz podwykonawca (np. podmiot, któremu powierzyliśmy przetwarzanie danych w chmurze) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełną odpowiedzialność za niewywiązanie się z obowiązków spoczywać będzie na nas, przy czym odpowiedzialność ta ma charakter solidarny. Dodatkowo, tworzenie umów o powierzeniu przetwarzania będzie podlegało wymogom bardziej restrykcyjnym niż ma to miejsce dotychczas, RODO szczegółowo wskazuje bowiem, jaka powinna być zawartość umowy o powierzeniu, kiedy można powierzyć dalszemu podwykonawcy (podpowierzenie), tj. za zgodą administratora danych osobowych. Każdy przedsiębiorca, który przetwarza dane osobowe, musi się zatem liczyć z nowymi zasadami i obowiązkami i powinien dobrze przygotować się do wdrożenia RODO. W przypadku przedsiębiorców zatrudniających powyżej 250 pracowników, w myśl zasady proporcjonalności, obowiązki będą jednak wyższe, np. konieczność rejestrowania każdej czynności z zakresu przetwarzania danych osobowych, np. usunięcie danych, udostępnienie danych itd. powinno zostać zarejestrowane przez administratora danych.
6. KARY FINANSOWE
– 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
– 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
– 100 tysięcy złotych kary administracyjnej, za naruszenia spowodowane przez administrację publiczną (według projektu z dnia 13.09.2017 roku ustawy o ochronie danych osobowych)
W RODO podany jest jedynie maksymalny wymiar kary. Należy mieć na uwadze, ze kary te będą nakładane proporcjonalnie, w zależności od skali naruszenia przepisów.
7. WERYFIKACJA PODSTAW PRZETWARZANIA
Według przepisów RODO, przed rozpoczęciem przetwarzania danych osobowych w pierwszej kolejności należy ustalić, czy istnieją podstawy prawne uprawniające do przetwarzania danych osobowych. Przykładowo, do rozpoczęcia przetwarzania danych osobowych, wymagana jest dobrowolna zgoda podmiotu, którego dane mają być przetwarzane. Ma to znaczenie szczególnie, w stosunkach prawa pracy, gdzie faktyczna pozycja ekonomiczna pracodawcy jest zwykle znacznie silniejsza niż pracownika i jest on w stanie wymóc na pracowniku określone zachowania. Dlatego, należy najpierw dostosować formularze zgód na przetwarzanie takich danych osobowych, a następnie przejrzeć również treść tych zgód, na podstawie, których dochodzi do przetwarzania danych osobowych. Formularze te muszą być sformułowane w sposób jasny i napisane przejrzystym językiem – zgodnie z zasadą przejrzystości, zgody udzielane zaś na zasadzie dobrowolności, co ma znaczenie szczególnie w stosunkach prawa pracy.
8. DATA PRIVACY IMPACT ASSESSMENT (DPIA)
Ocena skutków planowanych operacji przetwarzania dla ochrony danych – ma zastąpić dotychczasowy obowiązek dokonywania zgłoszeń zbiorów danych osobowych do GIODO. Głównym celem DPIA jest ustalenie prawdopodobieństwa oraz wagi ryzyka dla praw i wolności osób, które może wiązać się z planowanymi czynnościami przetwarzania, a także wdrożenie środków minimalizujących to ryzyko. Administrator danych osobowych samodzielnie ma dokonywać oceny procesów przetwarzania danych osobowych pod kątem ryzyka i oczywiście w pełni odpowiadać za trafność tej oceny oraz podjęcie środków mających na celu minimalizację albo wykluczenie ryzyka.
9. TRANSFER DANYCH POZA EUROPEJSKI OBSZAR GOSPODARCZY (EOG)
Administrator danych osobowych będzie musiał dokonać analizy i udzielić odpowiedzi na pytanie, czy dane przez niego przekazywane wychodzą poza Europejski Obszar Gospodarczy. Jeżeli odpowiedź będzie twierdząca, jego zadaniem będzie ustalenie podstaw do przekazywania danych do państwa trzeciego, a następnie dostosowanie procesu przekazywania danych do wymogów z RODO.
10. REJESTR DOTYCZĄCY PRZETWARZANIA DANYCH
W RODO nie ma prawnego obowiązku rejestracji zbiorów danych osobowych. Obowiązek dotyczy jedynie prowadzenia wewnętrznych rejestrów. Kontrolujący i przetwarzający dane, będą zobowiązani do tworzenia i utrzymywania rejestrów, które zawierać mają, m. in: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń, incydentów, rozwój
i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.
RODO: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).