Ochrona danych: 10 najważniejszych zmian

Przeczytaj także: Ochrona danych osobowych - jak nie złamać prawa?

1) Przystępny język, zrozumiały dla przeciętnego odbiorcy.

Częścią rozporządzenia jest preambuła, rzadko spotykana w polskich aktach prawnych, która wyjaśnia powody wprowadzenia poszczególnych przepisów oraz wyraźnie definiuje ich cel. Taki wstęp pomaga zrozumieć kontekst całego rozporządzenia. Co warto zaznaczyć, w dalszej części dokumentu język również jest bardzo przystępny, przez co każdy z łatwością zrozumie, jakie ma prawa, obowiązki i jaka odpowiedzialność na nim ciąży.

2) Przetwarzanie danych przez grupy przedsiębiorstw.

W rozporządzeniu pojawia się pojęcie współadministratorów danych. Wcześniej podmioty te występowały jako odrębni administratorzy danych, z tymi samymi prawami i obowiązkami. Dzięki nowym przepisom, możliwy jest podział obowiązków pomiędzy poszczególne podmioty. Co więcej, rozporządzenie dostrzega w końcu grupy kapitałowe i ułatwia im przetwarzanie danych, w tym międzynarodową wymianę danych osobowych.

3) Zgoda na przetwarzanie danych dzieci.

W rozporządzeniu uregulowano zasady przetwarzania danych dzieci, korzystających z tzw. usług społeczeństwa informacyjnego, takich jak Facebook czy Google. Dotąd jedyną podstawą prawną przetwarzania ich danych była zgoda, ograniczana przez przepisy Kodeksu cywilnego. Obecnie w Polsce dzieci mogą korzystać z takich usług od 16 roku życia lub za zgodą rodziców. Dopilnowanie spełnienia tego spoczywa na podmiocie przetwarzającym dane.

4) Zgłaszanie incydentów do GIODO.

Nowością jest obowiązek zgłaszania wycieku danych do GIODO. Administrator danych ma obowiązek zrobić to w czasie do 72 godzin od wystąpienia wycieku. Jeśli naruszenie jest poważne, należy o nim poinformować również osoby, których dane są przetwarzane w ramach danego podmiotu.

5) Dopasowanie wymagań do skali przedsiębiorstwa.

Rozporządzenie jako jeden z nielicznych aktów prawnych, uzależnia stawiane przedsiębiorstwom wymogi od ich wielkości i rodzaju prowadzonej działalności. Przykładowo, małe organizacje nie muszą powoływać inspektora ochrony danych ani prowadzić tzw. rejestru przetwarzania.

6) Duży nacisk na ochronę prywatności – koncepcja „privacy by design”.

Podczas projektowania systemu ochrony danych osobowych należy wdrażać takie środki, by od samego początku właściwie chronić przetwarzane dane oraz prywatność osób, których dane dotyczą. Zgodne z tym wymogiem, ustawienia aplikacji czy serwisów społecznościowych domyślnie powinny udostępniać minimalną ilość informacji o użytkowniku. Poszerzenie zakresu udostępnianych danych może nastąpić jedynie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Wcześniej takie zagadnienia nie były uregulowane w polskim prawie.