Rz: Już niespełna rok został do dnia, w którym wszystkie podmioty przetwarzające dane osobowe będą musiały działać całkowicie zgodnie z nowym rozporządzeniem ogólnym o ochronie danych osobowych (UE) 2016/679 (tzn. „RODO"). Jakie są najważniejsze zmiany w porównaniu do obecnego stanu prawnego?
Arleta Nerka: Do najważniejszych zmian wprowadzonych przez RODO należy w moim przekonaniu proaktywne podejście do ochrony danych osobowych, u którego podstaw leżą: zasada rozliczalności i wymóg szacowania ryzyka naruszenia prywatności. Zasada rozliczalności nakłada na administratorów i podmioty przetwarzające odpowiedzialność za przestrzeganie przepisów dotyczących przetwarzania danych oraz wymaga, aby podmioty te były w stanie to wykazać. Oznacza to obowiązek wdrożenia i przestrzegania odpowiednich, a zarazem skutecznych środków w celu zapewnienia, że są realizowane obowiązki prawne w zakresie ochrony danych. Z kolei wymagania dotyczące szacowania ryzyka oznaczają, że należy dokonać oszacowania niebezpieczeństwa naruszenia praw i wolności osób fizycznych wprocesie przetwarzania danych. Związane są z tym nowe zadania dotyczące ochrony danych osobowych w fazie projektowania oraz domyślna ochrona danych, oraz poszerzenie zakresu obowiązków w zakresie bezpieczeństwa danych, w tym powiadamiania o naruszeniach ochrony danych osobowych.
Do najważniejszych zmian należy także zaliczyć szczególną ochronę w przypadku przetwarzania danych o osobach małoletnich (dzieciach) w kontekście usług społeczeństwa informacyjnego. A szerzej – w stosunku do podmiotów danych – ustanowienie nowych praw im przysługujących: prawo do bycia zapomnianym, prawo do ograniczonego przetwarzania, prawo do przenoszalności danych. Warto też wspomnieć o modyfikacji zasad dopuszczalnego profilowania danych, w tym na potrzeby automatycznie podejmowanych decyzji.
Oczywiście wzrasta też odpowiedzialność prawna administratorów i podmiotów przetwarzających, chociażby w postaci kar finansowych stosowanych przez organ nadzorczy, ale też na skutek roszczenia odszkodowawczego przyznanego przez RODO osobom, które doznają szkody na skutek naruszenia ich danych osobowych. O aspekcie finansowym mówi się najczęściej, natomiast ja chciałabym zwrócić uwagę na ważną zmianę dotyczącą organu nadzorczego – znacznej modyfikacji ulegnie jego rola w zakresie relacji z administratorami.
Jakie działania powinni podjąć przedsiębiorcy, przetwarzający dane osobowe? Czyli jak powinni się przygotować do RODO.