Dnia 25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (tzw. RODO).
Wśród zmian wprowadzonych przez RODO znajdują się, m.in.:
- Wprowadzenie rejestru czynności przetwarzania danych osobowych ? rejestr zastąpi obowiązek zgłaszania zbiorów danych do GIODO. W rejestrze powinny znaleźć się wszystkie czynności związane z przetwarzaniem danych osobowych. Rejestr będzie funkcjonował wewnątrz przedsiębiorstwa albo innej instytucji prywatnej lub publicznej. Rejestr powinien być na bieżąco aktualizowany i chroniony przed dostępem osób nieupoważnionych. Nie będzie obowiązku jego prowadzenia w przedsiębiorstwach zatrudniających mniej niż 250 osób, chyba że:
– przetwarzanie może naruszać prawa lub wolności osób, których dane są przetwarzane, np. może poskutkować kradzieżą tożsamości,
– przetwarzanie obejmuje szczególne kategorie danych lub dane dotyczące wyroków skazujących i naruszeń prawa,
– przetwarzanie nie ma charakteru sporadycznego.
- Wprowadzenie ?prawa do bycia zapomnianym?, czyli osoba, której dane dotyczą ma prawo we wskazanych niżej przypadkach żądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek niezwłocznie je usunąć. Obowiązek usunięcia danych na podstawie prawa do bycia zapomnianym powstaje, gdy:
– dane osobowe nie są już niezbędne do celów, do których je zebrano,
– podmiot danych wycofał zgodę i nie istnieje inna podstawa prawna dla przetwarzania tych danych,
– podmiot danych wniósł sprzeciw do dalszego przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
– dane osobowe były przetwarzane niezgodnie z prawem,
– dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w unijnym lub krajowym przepisie prawnym,
– dane zostały zebrane w celu świadczenia usług internetowych dziecku.
- Wprowadzenie ograniczeń w zakresie profilowania, tzn. RODO wprowadza obowiązek informowania o profilowaniu, a także obowiązek umożliwienie podmiotowi danych wniesienia sprzeciwy wobec profilowania. Podmiot danych będzie mieć także prawo dostępu do przetwarzanych danych osobowych.
Konsekwencje wynikające z nieprzestrzegania przepisów o ochronie danych osobowych ulegną zaostrzeniu wraz z wejściem w życie RODO. Artykuł 83 wskazanego Rozporządzenia przewiduje, że naruszenie jego przepisów będzie podlegać administracyjnym karom pieniężnym, w zależności od rodzaju naruszonego obowiązku, w wysokości:
- do 10 000 000 EUR, a w przypadku przedsiębiorstwa ? w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa,
- do 20 000 000 EUR, a w przypadku przedsiębiorstwa ? w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa.
RODO wywołuje skutek bezpośredni, tzn. od dnia 25 maja 2018 roku przepisy RODO będą musiały być bezwzględnie stosowane bez konieczności podjęcia kroków legislacyjnych przez polskiego ustawodawcę.