- EN
- x
Konieczność rejestracji zbiorów danych osobowych stanowiła dotychczas najbardziej uciążliwy obowiązek związany z ochroną danych osobowych. Nawet Generalny Inspektor Ochrony Danych Osobowych wyrażał wątpliwości co do sensu rejestrowania zbiorów danych i nazywał go nadmierną biurokracją. RODO we właściwy sposób przywiązuje wagę już nie do samych zbiorów danych osobowych, ale do procesów zbierania danych, ich przetwarzania oraz przekazywania innym podmiotom. Przerzuca więc ciężar ochrony danych na procesy dynamiczne i tam doszukuje się największych niebezpieczeństw dla ochrony danych.
Data breach notification
Notyfikacja naruszeń w ochronie danych osobowych będzie nowym obowiązkiem każdego administratora danych. Zgodnie z przepisami RODO, w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, ale najpóźniej w ciągu 72 godzin od stwierdzenia naruszenia, notyfikuje organowi nadzorczemu (GIODO) fakt naruszenia. Nie trzeba jednak będzie zgłaszać każdego incydentu, a jedynie takie, których efektem jest naruszenie bezpieczeństwa danych.
Zgłoszenie naruszenia w swojej treści będzie musiało zawierać określone informacje, tj.:
RODO przewiduje także, iż w przypadku gdy dane naruszenie skutkuje niewielkim prawdopodobieństwem zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, nie ma potrzeby jego zgłaszania.
Impact assessment
Tzw. ocena skutków czy inaczej ocena wpływu to nowa procedura, która polega na dokonaniu przez administratora kompleksowej oceny jego zamierzenia (przedsięwzięcia) pod kątem ochrony danych osobowych oraz obowiązków wynikających z RODO. Co istotne, również w przypadku zmiany procedur w przedsiębiorstwie może okazać się konieczne ponowne przeprowadzenie oceny wpływu.
Do niezbędnych elementów takiej oceny należą:
Wnioski wynikające oceny skutków należy stosować w praktyce, bowiem podjęcie konkretnych działań określonych w wynikach oceny pomoże wykazać, że przedsiębiorca działa zgodnie z przepisami RODO.
Prior consultation
W przypadku gdy w ocenie wpływu poziom ryzyka naruszenia praw lub wolności osób, których dotyczą przetwarzane dane, oceniono jako wysoki, konieczne jest przeprowadzenie procedury tzw. uprzednich konsultacji z organem nadzorczym (GIODO). Procedura ta polega na przekazaniu co najmniej następujących informacji:
Ponadto organ nadzorczy może zwracać się o udzielenie każdej innej informacji dotyczącej ochrony danych osobowych. Efektem takich konsultacji będzie udzielenie przez GIODO pisemnych wytycznych w zakresie ochrony danych osobowych, dzięki czemu GIODO stanie się także w pewnym sensie doradcą biznesu co do ochrony danych osobowych. Wypełnianie wytycznych GIODO będzie bowiem chroniło przedsiębiorcę przed karami pieniężnymi za naruszenie obowiązków wynikających z RODO.
Photo by Mario Alberto Magallanes Trejo