Z dniem 25 maja 2018 roku wchodzą Unijne przepisy odnośnie ochrony danych osobowych (RODO) lub zwane również „GDPR” (Rozporządzenie Parlamentu Europejskiego i Radu (UE) 2016/79 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Rozporządzenie będzie obowiązywać wszystkich, którzy przetwarzają dane osobowe w związku z wykonywaną działalnością gospodarczą, zatem w zakresie danych osobowych 2018 rok zapowiada się bardzo ciekawie. Intencją wprowadzenia przepisów była przede wszystkim chęć unowocześnienia przepisów, które obowiązują od 95 roku. Nowe przepisy mają być przede wszystkim neutralne w stosunku do zmieniających się technologii tzn. aby pozostawać jak najdłużej aktualnymi.
Unijne Rozporządzenie nie zawiera dla przedsiębiorców dokładnych wytycznych jak zabezpieczyć dane, dlatego każdy przedsiębiorca w zależności od branży będzie musiał wypracować własne systemy i procedury zabezpieczenia danych osobowych. Nowością będzie również tzw. szacowanie wpływu na prywatność (ang. Privacy Impact Assessment – IPA) zwane również oceną skutków dla ochrony danych (Data Protection Impact Assessment). Wprowadzenie tego typu praktyk jest przede wszystkim z korzyścią dla osób udostępniających swoje dane osobowe organizacji, który będzie miał gwarancję stosowania dobrych praktyk.
Nową zasadą będzie również możliwość przenoszenia danych pomiędzy przedsiębiorcami. Każdy będzie miał prawo decydować o własnych danych osobowych. Na żądanie danej osoby, administrator danych osobowych będzie zobowiązany do przekazania danych w formacie pdf. Osoba taka będzie również mogła zażądać, aby dane były przekazane bezpośrednio innemu podmiotowi. Każdy konsument będzie miał również prawo do bycia zapomnianym czyli żądania usunięcia jego danych. Przedsiębiorcy będą również zobowiązani do poszerzenia zgody na przetwarzanie danych o adresy IP oraz pliki Cookie.
Najważniejszym obowiązkiem z punktu widzenia przedsiębiorcy będzie również obowiązkiem informowania GIODO o każdym naruszeniu danych osobowych. Zobliguje to przedsiębiorców do wypracowania procedur do zgłaszania własnych naruszeń oraz reagowania na incydenty. Wszystko to ma stanowić jeszcze większe zabezpieczenie konsumentów przed przedsiębiorcami, które nie przykładają większej wagi do zabezpieczenia danych swoich klientów. Warto wskazać, że RODO wprowadza również karę w wysokości do 20 mln EUR lub 4% rocznego obrotu firmy – w zależności od tego, która kwota jest wyższa za nieprzestrzeganie nowego Rozporządzenia.
Autor: Krzysztof Borżoł, adwokat