THINK MICE - Pięć najważniejszych zmian w RODO

Pięć najważniejszych zmian w RODO

Za niespełna rok czekają nas niemałe zmiany w zakresie prawa ochrony danych osobowych. We wszystkich państwach UE zacznie obowiązywać ogólne rozporządzenie o ochronie danych osobowych (RODO, ag. GDPR).

Przepisy tego aktu prawnego będą musiały być stosowane bezpośrednio przez każdego przedsiębiorcę, który przetwarza dane osobowe. RODO ma zastąpić stare i nienadążające za rozwojem technologii zasady ochrony danych osobowych oraz zwiększyć ochronę prywatności osób fizycznych.

Privacy by design
Po pierwsze, przedsiębiorcy będą musieli stosować się do zasady privacy by design. Jej celem jest eliminowanie problemów związanych z ochroną danych osobowych już na etapie planowania wdrożenia nowych produktów lub świadczenia usług. Przekładając to na sytuacje występujące w branży eventowej – przed każdą organizacją eventu rekomendowanym działaniem będzie ocena skutków przeprowadzenia tego wydarzenia pod kątem ochrony danych osobowych jego uczestników. To samo będzie dotyczyło konieczności analizy akcji promocyjnej przeprowadzanej podczas imprezy i jej zgodności z przepisami o ochronie danych.

Zbiory danych
Po drugie, zgodnie z RODO zniknie obowiązek zgłaszania zbiorów danych osobowych. Zostanie on zastąpiony koniecznością prowadzenia przez przedsiębiorców rejestru czynności przetwarzania danych osobowych, który będzie obejmował m.in. takie informacje jak cele przetwarzania czy też kategorie przetwarzanych danych osobowych. Rozporządzenie przewiduje jednak pewne wyjątki od tej zasady, które mają dotyczyć przedsiębiorstw zatrudniających do 250 pracowników.

ABI vs DPO
Po trzecie, wielu przedsiębiorców staje dziś przed dylematem czy powołać w swoich strukturach osobę odpowiedzialną za bezpieczeństwo i nadzór nad danymi osobowymi. Mimo wielu sprzecznych informacji, do których można dotrzeć w Sieci – przepisy obecnej ustawy o ochronie danych osobowych nie przewidują obowiązku powołania tzw. Administratora Bezpieczeństwa Informacji (ABI). Z kolei rozporządzenie unijne wprowadza pojęcie tzw. Inspektora Ochrony Danych (IOD, ang. Data Protection Officer – DPO), który ma zastąpić dotychczasowego ABI-ego. Przepisy RODO wskazują na sytuacje, w których obowiązkowym jest powołanie DPO. Powołanie inspektora będzie konieczne m.in. w przypadku gdy główna działalność podmiotu polega na przetwarzaniu szczególnych kategorii danych osobowych, a ponadto, gdy główna działalność przedsiębiorcy będzie polegała na operacjach przetwarzania danych. Niewątpliwe w niektórych przypadkach powołanie DPO będzie konieczne, a sam inspektor będzie pełnił istotną rolę w strukturze takiej firmy.

Checkboxy
Po czwarte, zmianie ulegnie także zakres obowiązków informacyjnych, które należy przekazać osobie fizycznej, której dane dotyczą. Przedsiębiorca zbierający takie dane – np. przy okazji zapisów uczestników na konferencję – będzie musiał poinformować m.in. o podstawie prawnej przetwarzania danych, okresie, przez który dane będą przetwarzane oraz prawie do złożenia skargi do odpowiedniego organu nadzoru. Dlatego też niezwykle istotnym będzie dostosowanie przez przedsiębiorców stosowanych przez nich formularzy zgód oraz treści pól oznaczonych checkboxami.

Kary finansowe
W końcu po piąte – last but not least – rozporządzenie wprowadza bardzo surowe kary administracyjne za naruszenie przepisów ochrony danych osobowych. Kary te będą mogły osiągnąć niewyobrażalnie wysokie kwoty. RODO przewiduje bowiem sankcje w wysokości aż 20 mln euro lub 4 proc. światowego obrotu przedsiębiorcy osiągniętego w poprzednim roku obrotowym. Z kolei za przypadki mniejszej wagi – kary te mogą osiągać poziom 10 mln euro lub 2 proc. światowego obrotu przedsiębiorcy za poprzedni rok obrotowy. Co istotne, kary będą nakładane także w sytuacji naruszenia obowiązku niezwłocznego (nie później niż 72 godz.) poinformowania odpowiedniego organu nadzoru o naruszeniu przepisów ochrony danych osobowych (np. w przypadku niekontrolowanego wycieku danych). Czasu na przygotowanie się do zmian pozostało niewiele. Biorąc pod uwagę, że przepisy zaczną być stosowane już 25 maja 2018 r. – wszyscy przedsiębiorcy, nie tylko z szeroko pojętej branży MICE, powinni rozważyć jakie zmiany muszą wdrożyć do tego czasu w strukturach swoich organizacji.

Patryk Dykas, LSW Leśnodorski, Ślusarek i Wspólnicy
Adwokat, specjalizuje się w prawie własności intelektualnej, prawie nowych technologii oraz ochronie danych osobowych.
www.lsw.com.pl
www.lswipblog.pl

Używamy plików cookies, aby ułatwić Ci korzystanie z naszego serwisu oraz do celów statystycznych. Jeśli nie blokujesz tych plików, to zgadzasz się na ich użycie oraz zapisanie w pamięci urządzenia. Pamiętaj, że możesz samodzielnie zarządzać cookies, zmieniając ustawienia przeglądarki. To find out more about the cookies we use and how to delete them, see our privacy policy.
I accept cookies from this site. Agree