25 maja 2018 roku wchodzi w życie tzw. RODO czyli nowe Rozporządzenie Unii Europejskiej dotyczące ochrony danych osobowych. Zmiany, jakie do tego czasu muszą wprowadzić firmy w krajach członkowskich są istotne, a za ich niewdrożenie lub nieprzestrzeganie grozić będą wysokie kary.
General Data Protection Regulation (GDPR), czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO – polski skrót) było opracowywane i dyskutowane przez cztery lata, a ostatecznie przyjęte zostało przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r.
RODO będzie podstawowym aktem regulującym prawo ochrony danych osobowych i w tym zakresie zastąpi obecną ustawę o danych osobowych. Rozporządzenie określać będzie m.in. podstawowe definicje, prawa i obowiązki w zakresie ochrony danych osobowych, sankcje za nieprzestrzeganie przepisów. Będzie to akt prawny regulujący materialnoprawne aspekty ochrony danych osobowych.
Wejście w życie RODO spowodowało konieczność wprowadzenia zmian do obecnie obowiązującej ustawy o ochronie danych osobowych. Nowa ustawa będzie zawierała wyłącznie przepisy, które zostały przez prawodawcę unijnego wprost przekazane do uregulowania w prawie krajowym oraz takie, w których pozostawił on pewną swobodę regulacyjną poszczególnym państwom członkowskim – jak przede wszystkim te związane z działalnością organu nadzorczego oraz stosowanej procedury w postępowaniu przed tym organem.
Ustawa określać będzie następujące szczegółowe kwestie:
1) podmioty obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o wyznaczaniu – Inspektorzy Ochrony Danych (IOD) zastąpią dotychczasowych Administratorów Bezpieczeństwa Informacji (ABI),
2) warunki i tryb udzielania certyfikacji i akredytacji,
3) organ właściwy w sprawie ochrony danych osobowych – powstanie nowy Urząd w miejsce dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych (GIODO),
4) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,
5) europejską współpracę administracyjną,
6) postępowanie kontrolne,
7) odpowiedzialność cywilną i karną za naruszenie przepisów o ochronie danych osobowych,
8) administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
Nowe prawo dotyczyć będzie wszystkich przedsiębiorców, którzy gromadzą i wykorzystują dane osób fizycznych. Mogą to być zarówno duże korporacje – na przykład firmy ubezpieczeniowe czy instytucje finansowe, jak również niewielkie rodzinne firmy, takie jak sklep internetowy czy salon kosmetyczny.
Każda firma przetwarzająca dane osobowe będzie zobowiązana do wdrożenia odpowiedniej dokumentacji oraz procedur dotyczących ich ochrony. Zaś wszelkie przypadki naruszenia procedury lub wycieku danych wrażliwych będzie należało bezwzględnie zgłaszać właściwym organom w trybie 72- godzinnym.
W związku z wejściem w życie nowych przepisów możemy spodziewać się również wzmożonych kontroli.