Nowe przepisy mają zapewnić konsumentom (i innym tzw. podmiotom danych) większą prywatność, poszerzają ich prawa. Firmy i inne organizacje przetwarzające dane będą miały więcej obowiązków informacyjnych, a ponadto mają oceniać wpływ przetwarzania danych na prywatność. Muszą także zadbać o bezpieczeństwo informacji. Aby dostosować się do nowych zasad, konieczne są zmiany m.in. w systemach IT.  

– Zmian jest sporo. To przede wszystkim rozszerzenie praw podmiotu danych osobowych. Rozszerzono również katalog obowiązków administratorów danych osobowych, który teraz będzie się nazywał inspektorem danych osobowych – mówi Anna Dmochowska, adwokat, specjalista ds. ochrony danych w ODO 24.

Zgodnie z nowymi zasadami trzeba będzie informować np. klientów e-sklepu o tym, jakie dane i w jakim celu są zbierane, kto będzie je przetwarzał oraz kto w danej firmie jest inspektorem danych osobowych wraz z kontaktem. Przedsiębiorca musi także jasno informować np. internautę i klienta o jego prawach: do usunięcia, przeniesienia danych, ograniczenia lub wycofania zgody na ich przetwarzanie. Klauzula dotycząca danych osobowych, w którą obecnie internauta klika lub klient podpisuje ją na papierze, będzie więc znacznie obszerniejsza.

Administratorzy danych będą musieli poinformować klientów o tym, że podlegają profilowaniu, czyli wykorzystywaniu danych do tworzenia analizy klienta lub prognozowania jego przyszłych potrzeb. Możliwość tworzenia takich profili także zostanie ograniczona do określonych przypadków.

Rozporządzenie wprowadza także prawo do bycia zapomnianym oraz prawo do przenoszenia danych osobowych. Np. konsument będzie mógł przenosić swoje dane osobowe od jednego administratora do drugiego.

 

Trzeba zadbać o bezpieczeństwo

Podmioty przetwarzające dane będą musiały zabezpieczyć ich ochronę od samego początku, czyli już na etapie projektowania przez przedsiębiorców nowych produktów i usług. Prywatność będzie także traktowana jako standardowe ustawienia systemów. Dla przykładu w serwisach społecznościowych domyślnie ustawiona zostanie opcja, by jak najmniej informacji o użytkowniku było dostępnych publicznie, a on sam będzie mógł tę prywatność zmniejszać.

– Rozporządzenie wprowadzi zasadę szacowania ryzyka. Administrator danych osobowych sam będzie musiał podjąć decyzję o tym, jakie środki musi podjąć, aby dane osobowe były w sposób odpowiedni chronione, aby nie dochodziło do jakichkolwiek incydentów. Co więcej, będzie musiał się z tego rozliczać, wykazując, że stosuje odpowiednie środki – mówi ekspert.

Przedsiębiorcy będą więc mogli zawierać umowy o powierzenie przetwarzania danych tylko z podmiotami, które gwarantują odpowiednie zabezpieczenie tego procesu.

Rozporządzenie wprowadza wysokie kary za nierespektowanie przepisów. Firmy muszą się liczyć z sankcjami do wysokości 20 mln euro lub 4 proc. globalnego rocznego obrotu z poprzedniego roku finansowego.