Wchodzące w życie 25 maja 2018 r. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) wprowadza nowe podejście do przetwarzania danych osobowych. Odchodząc od dotychczasowych wymogów formalnych, RODO ma na celu wzmocnienie praw osób, których dane są przetwarzane m.in. poprzez obowiązek wdrożenia weryfikowalnych procesów ochrony danych już na etapie projektowania procesów w danej organizacji.
Polityka bezpieczeństwa
Wraz z wejściem w życie RODO, 25 maja 2018 roku przestanie obowiązywać ustawa z 29 sierpnia 1997 o ochronie danych osobowych (tj. DzU 2016 poz. 922) oraz wszystkie przepisy wykonawcze wydane na jej podstawie, a więc między innymi rozporządzenie ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z 29 kwietnia 2004 r. (DzU nr 100, poz. 1024). Zniknie zatem szereg dotychczasowych sztywnych wymogów, których spełnienie było konieczne dla uznania, że kwestia ochrony danych została w organizacji w dostatecznym stopniu zabezpieczona.
Znikną między innymi obowiązki związane z rejestracją zbiorów danych osobowych, posiadania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, w rozumieniu przepisów wspomnianego rozporządzenia MSWiA.
Istotne zmiany
Kluczowym elementem nowego podejścia do ochrony danych osobowych w ramach RODO i nowością w europejskich regulacjach, jest zasada rozliczalności (ang. accountability). Rozliczalność oznacza dla administratorów obowiązek nie tylko wdrożenia określonych mechanizmów organizacyjnych dla zapewnienia ochrony danych osobowych, ale również wykazania, że są one skuteczne i egzekwowalne, np. poprzez prowadzenie bieżącej dokumentacji związanej z rejestracją czynności przetwarzania danych, dokonywania oceny skutków dla ochrony danych (ang. Privacy impact assessment).
Kolejnymi pojęciami kluczowymi z punktu widzenia nowego podejścia do przetwarzania danych na gruncie RODO, są prywatność w fazie projektowania (ang. privacy by design) i prywatność jako ustawienie domyślne (ang. privacy by default).