Test gotowości RODO
Test gotowości RODO
- nowe obowiązki przedsiębiorców –
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)
(data wejścia w życie: 25 maja 2018 r.)
1. Dokumentacja przetwarzania danych osobowych w przedsiębiorstwie: obowiązek wdrożenia oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA) - jeżeli dany rodzaj przetwarzania danych w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych przed rozpoczęciem przetwarzania zobowiązany jest dokonać oceny skutków planowanych operacji. Dokument powinien zawierać
- opis planowanych operacji i celów przetwarzania danych osobowych (rejestr);
- ocenę, czy dana operacja przetwarzania jest niezbędna i proporcjonalna w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
- opis odpowiednich środków technicznych i organizacyjnych.
2. Opis odpowiednich środków technicznych i organizacyjnych chroniących dane osobowe. Administrator jest odpowiedzialny za wykazanie, że są one skuteczne i zgodne z RODO.
3. W celu stwierdzenia przestrzegania obowiązków wynikających z RODO administrator danych osobowych będzie mógł uzyskać certyfikację oznaczającą zgodność przetwarzania danych osobowych z prawem
4. Obowiązek zgłaszania incydentów bezpieczeństwa. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza właściwemu organowi nadzoru naruszenie.
5. Procedura privacy by design/privacy by default - administrator danych obowiązany jest zabezpieczyć przetwarzanie danych na każdym etapie tworzenia oraz istnienia technologii obejmującej ich przetwarzanie. Procedurę ochronną należy zastosować już na etapie prac projektowych.
6. Przepisy RODO rozszerzają dotychczasowy zakres informacji, które należy przekazać osobom, których dane są lub będą przetwarzane.
7. Nowe wymogi dla oświadczenia o zgodności na przetwarzanie danych. Zmianie ulega forma prawna zgody na przetwarzanie danych. Należy dostosować dotychczasowe oświadczenia do nowych warunków. Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
8. Profilowanie danych osobowych. Administrator stosujący mechanizm profilowania np. kierowania reklam do odbiorcy na podstawie historii zakupów, będzie musiał uzyskać zgodę na profilowanie przed rozpoczęciem zbierania danych jak również poinformować o jego skutkach oraz o możliwości wniesienia sprzeciwu.
9. Nowe prawa osób, których dane dotyczą:
- prawo do usunięcia danych tzw. „prawo do bycia zapomnianym" - prawo żądania od administratora niezwłocznego usunięcia danych osobowych;
- prawo do przeniesienia danych - prawo przesłania danych osobowych innemu administratorowi.
Wzmocniono także prawo dostępu i wglądu obywatela w jego dane osobowe oraz wyposażono osoby, których dane dotyczą w prawo sprzeciwu wobec przetwarzania ich danych. Osoba, której dane dotyczą, będzie uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, będzie uprawniona do uzyskania dostępu do nich.
10. Zmiany w kodeksie prawa pracy. Zaktualizowanie listy danych, których podania będzie można wymagać od pracowników na podstawie art. 221 KP. Pracodawca będzie miał prawo przetwarzać dane biometryczne pracownika, jeśli ten wyrazi na to zgodę.
11. Niektórzy przedsiębiorcy, zobowiązani będą do wyznaczenia Inspektora Ochrony Danych.
12. Surowe kary finansowe za nieprzestrzeganie przepisów RODO w zależności od naruszonego obowiązku: kara w wysokości do 10 mln Euro lub 2% rocznego światowego obrotu albo 20 mln Euro lub 4% rocznego światowego obrotu przedsiębiorstwa.
13. Dodatkowe obowiązki spoczywają na firmach, które przetwarzają dane w więcej niż jednym państwie członkowski Unii.