10 ważnych zmian dotyczących nowego rozporządzenia o ochronie danych osobowych

26.08.2016

Pod koniec kwietnia 2016 roku Parlament Europejski uchwalił rozporządzenie dotyczące -ochrony danych osobowych, które  będzie miało zastosowane od dnia 25 maja 2018 roku., a weszło w życie w dniu 25 maja 2016 roku.

W związku z szybko zmieniającą się sytuacją w branży nowych mediów – konieczne są zmiany- aby dopasować prawo do rzeczywistości. Co to oznacza dla przedsiębiorców?

1. Większe prawa dla osób fizycznych – to oni decydują, czy wolno przetwarzać ich dane osobowe(wymóg zgody – tym razem osoby fizyczne przy wrażaniu zgody muszą otrzymać o wiele obszerniejsze informacje). Wg nowego rozporządzenia osoby muszą mieć łatwiejszy dostęp do swoich danych, prawo do sprostowania, usunięcia danych czy też „zostania zapomnianym”, prawo do  sprzeciwu odnośnie wykorzystywania danych osobowych do profilowania czy przeniesienia danych do innego usługodawcy
2. Większa transparentność – osoby, których dane znajdują się w bazie muszą otrzymać informację w jakim celu są pozyskiwane ich dane osobowe, jak dane będą wykorzystywane, przez jaki czas np. okres retencji danych czy kryteria ich ustalania. Osoby te będą także informowane o prawie wniesienia skargi do organu nadzorczego.
3. Ochrona w trakcie projektowania – idea „+data protection by design+” zakłada, że każdy, kto tworzy bazę, od samego początku musi traktować ją jako zgłoszony zbiór, który trzeba ochraniać – już w fazie projektowania.
4. Domyślne bazy danych – zamiast zgłaszać do urzędu posiadanie bazy danych, a tym samym ochronę jej – przyjmuje się, że firma ma obowiązek dbania o ochronę danych osobowych począwszy od rozpoczęcia jakichkolwiek procesów związanych z ich przetwarzaniem.
5. Podejście oparte na ryzyku – każdy administrator ma obowiązek wdrożenia środków bezpieczeństwa odpowiednio do ryzyka, które związane jest z wykonywanymi operacjami. Wszystkie organy publiczne, a także firmy, które dokonują ryzykownych operacji przetwarzania, mają obowiązek wyznaczenia inspektora ochrony danych.
6. Zgłaszanie wycieku bazy – w przypadku wycieku bazy danych administratorzy baz danych są zobowiązani do zgłoszenia tego faktu do GIODO w czasie do 72 godzin od wystąpienia wycieku. Jeśli naruszenie jest poważne, należy o nim poinformować również osoby, których dane są przetwarzane w ramach danego podmiotu.
7. Analiza skutków – prawo wymagać będzie od przedsiębiorców analizy skutków przetwarzania danych osobowych i tego, jak wyglądała ich ochrona.
8. Bardziej dotkliwe kary – Sankcje mogą sięgać nawet 20 mln euro lub 4% światowego obrotu przedsiębiorstwa. Każdy przypadek ma być jednak rozpatrywany indywidualnie.
9. Mechanizm kompleksowej współpracy – każde państwo członkowskie powoła krajowy niezależny organ nadzorczy. Gdy pojawi się sytuacja transgraniczna (sytuacja, która angażuje wiele państw), zapadnie jedna decyzja nadzorcza – w państwie, w którym znajduje się główna jednostka organizacyjna firmy.
10. Bezpieczniejsze przekazywanie danych osobowych – w przypadku ewentualnego przekazywania danych osobowych do państw trzecich i organizacji międzynarodowych: najpierw Komisja oceni poziom ochrony. Jeśli nie będzie on satysfakcjonujący, dane mogą zostać przekazane tylko w szczególnych sytuacjach lub przy dodatkowych, odpowiednich zabezpieczeniach (klauzule ochrony danych, klauzule umowne, wiążące reguły korporacyjne).