RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, odnoszące się do UODO (ustawa ochrony danych osobowych), to unijny akt prawny z 24 maja 2016, a który obowiązywać jednak będzie dopiero od 25 maja 2018 roku. Nowe dyrektywy będą w taki sam sposób odnosić się do wielkich korporacji, jak i do małych, nawet jednoosobowych firm, które w swojej działalności wykorzystują dane osób fizycznych. Nowe przepisy mają obowiązywać wszystkie 28 państw członkowskich Unii Europejskiej i wprowadzają wiele obowiązków dla przedsiębiorców. Za niesubordynację grożą naprawdę wysokie kary finansowe.

Uniwersalność RODO

Zdawać by się mogło, że RODO odnosić się będzie do każdego przedsiębiorcy. Można jednak wyróżnić grupę podmiotów, których nie będzie to dotyczyć. Są to np. osoby fizyczne, które wykorzystują dane osobowe w celu czysto prywatnym (mogą to być adresy mailowe, czy korespondencja ze znajomymi). Nie ma także zastosowania, w sytuacji, gdy działalność nie jest objęta prawem Unii Europejskiej ( gdy chodzi np. o bezpieczeństwo narodowe), bądź, gdy przetwarzanie danych odnosi się do jednostek unijnych i dyplomatycznych. Podobnie ma się rzecz w stosunku do organów zapobiegających przestępczości .

Zwiększenie zakresu praw podmiotu ochrony danych

Administratorzy danych osobowych zobowiązani będą np. do całkowitego usunięcia danych z systemu, bądź przeniesienia ich, na życzenie osoby, której te dane będą dotyczyć. Udostępniać muszą też wszystkie dane osobie zainteresowanej . W przypadku jakichkolwiek zapytań, odpowiedź ma nastąpić do miesiąca czasu. W razie jakichkolwiek nieprawidłowości obywatel ma prawo domagać się odszkodowania na drodze sądowej z tytułu strat poniesionych w wyniku nieprawidłowego przetwarzania danych.

Inspektor ochrony danych

Odpowiedzialność za bezpieczeństwo danych osobowych i raportowanie wszelkich naruszeń ma przejąć nowy organ IOD. Tym samym ABI- Administrator Bezpieczeństwa Informacji przestaje istnieć.

Zgłoszenie bazy danych do GIODO

Bezpieczeństwo danych w firmie, wraz z wprowadzeniem nowych dyrektyw nabierze niewątpliwie nowego znaczenia. Co prawda zgłoszenie do GIODO, nie jest już obowiązkiem, jednak niewątpliwie daje pracownikowi większą ochronę danych osobowych w firmie. Często istnieje dylemat odnośnie sklepów internetowych. GIODO zarządził, iż w tym przypadku, zgłoszenie zbioru bazy danych powinno nastąpić jeszcze przed założeniem działalności.

Obowiązek zgłaszania naruszeń

Przy wykryciu naruszeń ,które mogą grozić ograniczeniem swobody ochrony danych, należy zgłosić ten fakt do odpowiedniego organu (prawdopodobnie będzie to Urząd Ochrony Danych Osobowych). Powinno mieć to miejsce w ciągu 72 godzin od wykrycia naruszenia. Można również poinformować o tym osobę, której sprawa dotyczy.

Przetwarzanie danych dzieci

Opiekun prawny nieletniego ma prawo do wyrażenie zgody na przetwarzanie danych dziecka. Odnosi się to przede wszystkim do usług internetowych/elektronicznych. Taka zgoda nie odnosi się jednak do celów marketingowych, czy mediów społecznościowych.

Kary finansowe

Za nieprzestrzeganie regulacji grożą wysokie kary finansowe:

  • 10 mln euro, lub 2% rocznego obrotu firmy;
  • 20 mln euro, lub 4% rocznego obrotu firmy;

Kary nakładane będą proporcjonalnie do skali naruszanych przepisów.

Analiza ryzyka

Taką analizę będą musieli przeprowadzić administratorzy danych, w przypadku udostępniania danych dotyczących m.in. stanu zdrowia psychicznego i fizycznego. Dużą uwagę na jakość takich analiz mają przykładać, w razie kontroli, organy nadzorcze.

Rejestr naruszeń

Wszelakie naruszenia ochrony danych osobowych muszą być odpowiednio udokumentowane, przedstawiając okoliczności, skutki i ewentualne możliwości zaradzenia konkretnej sytuacji.

Zasada czystego biurka

Na podstawie polityki ochrony informacji pracodawca powinien zadbać o to, by wszelkie dokumenty zawierające dane nie były ogólnodostępne.