RODO pod lupą

Przepisy rozporządzenia ogólnego już weszły w życie

25 maja 2018 roku musisz wykazywać zgodność ze wszystkimi przepisami rozporządzenia!

Nie ma okresu przejściowego i “taryfy ulgowej”

Prowadzisz działalność w UE? - będziesz musiał stosować przepisy RODO

RODO będzie obowiązywać podmioty z sektora publicznego i prywatnego

Nowe przepisy będą obowiązywać także podmioty spoza Unii, jeżeli będą przetwarzać dane osób, przebywających w UE

Privacy by Design - prywatność w fazie projektowania

Privacy by Default - prywatność jako opcja domyślna

Analiza ryzyka

Rejestrowanie czynności przetwarzania

Współpraca z organem nadzorczym

Odpowiednie zabezpieczenie danych

Zgłaszanie naruszeń organowi nadzorczemu

Zawiadamianie podmiotów danych o naruszeniach

Ocena skutków dla ochrony danych

Uprzednie konsultacje

Sformalizowanej dokumentacji

Zgłaszania zbiorów

Rejestru zbiorów ABI

Sztywnych wymogów w zakresie zabezpieczenia danych - koniec ze zmianą haseł co 30 dni.

Wynik tej analizy - kluczowy dla doboru zabezpieczeń

Konieczne do uwzględnienia: stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia

Stopień bezpieczeństwa ma odpowiadać stwierdzonemu ryzyku

Istotne w szczególności ryzyko wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

W tym obszarze RODO - także zmiany

Nowość - zgoda dziecka

Sama zgoda - okazanie woli lub wyraźne działanie potwierdzające

Odwołanie zgody - równie łatwe jak jej udzielenie

Dane szczególnych kategorii (dziś - dane wrażliwe) - koniec ze zgodą na piśmie

Nowy obowiązek

Sam musisz poinformować organ nadzorczy, że doszło do naruszenia ochrony danych w Twojej strukturze

Masz na zgłoszenie tylko 72 h od stwierdzenia naruszenia

O naruszeniu musisz także zawiadomić osoby, których dane dotyczą

RODO to bardziej precyzyjne wskazówki, jak wybrać procesora

Koniec z umową powierzenia na piśmie

Większa odpowiedzialność za niefrasobliwy wybór procesora

Konieczność uwzględnienia relacji z dalszymi przetwarzającymi

To nie dokładnie ta sama funkcja, co ABI

Nowe zadania - m.in. punkt kontaktowy dla podmiotów danych i organu nadzorczego

Obligatoryjny dla wybranych kategorii administratorów danych

Wymóg kwalifikacyjny: wiedza i doświadczenie

Prawo do bycia zapomnianym

Prawo do przenoszenia danych

Prawo sprzeciwu

Prawo dostępu do danych i uzyskania ich kopii

Prawo do niepodlegania profilowaniu

Wysokie kary do 10 000 000 euro lub 2 % całkowitego światowego obrotu za dany rok m.in. za naruszenie obowiązków administratora

Kary do 20 000 000 euro lub 4 % całkowitego światowego obrotu za dany rok m.in. za naruszenie praw podmiotów danych

Wysokość kary uzależniona od szeregu czynników i konkretnego przypadku