4 maja 2016 zostało ogłoszone „Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)”. Ogólne rozporządzenie o ochronie danych weszło w życie 25 maja 2018 i jako unijne rozporządzenie ma ono bezpośrednie zastosowanie w każdym z państw członkowskich, zawiera jednak wiele klauzul dopuszczających wprowadzenie odmiennych ustaleń, co daje pewne pole manewru krajowemu ustawodawcy. W związku z tym w Austrii (oprócz dostosowania wszelkich powiązanych aktów prawnych) zostały uchwalone dwie nowele ustawy o ochronie danych osobowych – tzw. ustawa dostosowująca krajowe przepisy o ochronie danych osobowych oraz ustawa deregulująca. Dotychczasowe postanowienia wynikające z ustawy o ochronie danych osobowych z 2000 roku obowiązywały do 24 maja 2018 włącznie.
Jakie zasadnicze zmiany dla przedsiębiorstw niesie za sobą wprowadzenie RODO?
Zniesiony został obowiązek zgłaszania danych do austriackiego organu ochrony danych osobowych (Rejestr Przetwarzania Danych – Datenverarbeitungsregister). Zamiast tego większa odpowiedzialność spoczywać będzie na administratorze (obecnie „zleceniodawca”) i podmiocie przetwarzającym (obecnie „usługodawca”). Wprowadzone zostają daleko idące zmiany dotyczące obowiązków związanych z przetwarzaniem danych osobowych:
- Ochrona danych zgodnie z zasadą prywatności w fazie projektowania (privacy by design) oraz zasadą prywatności w ustawieniach domyślnych (privacy by default). Należy przedsięwziąć wszelkie właściwe środki/działania techniczne i organizacyjne (np. pseudonimizację), aby przetwarzanie danych osobowych było zgodne z RODO i gwarantowało pełną ochronę praw danej osoby. Domyślne ustawienia aplikacji bądź systemu powinny udostępniać jak najmniejszą ilość informacji o ich użytkowniku i zapewniać przetwarzanie tylko tych danych osobowych, które są konieczne dla realizacji danego procesu.
- Administrator i podmiot przetwarzający dane mają obowiązek prowadzenia rejestru czynności przetwarzania. Jego treść jest zbliżona do dotychczasowych zgłoszeń do Rejestru Przetwarzania Danych. Powinien on zawierać między innymi następujące pozycje:
– nazwę i dane kontaktowe administratora danych;
– cel przetwarzania danych;
– opis kategorii danych oraz kategorii osób, których dane dotyczą;
– kategorie odbiorców, którym dane zostały udostępnione;
– informację o ewentualnym przekazaniu danych do państwa trzeciego;
– jeśli to możliwe, przewidywany termin usunięcia danych;
– ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.
Obowiązek prowadzenia rejestru nie obejmuje przedsiębiorstw zatrudniających mniej niż 250 osób, o ile odbywające się tam przetwarzanie danych nie niesie za sobą ryzyka naruszenia praw i wolności osób, których dane dotyczą, przetwarzanie to jest sporadyczne oraz nie obejmuje szczególnej kategorii danych tzw. wrażliwych, w tym wyroków skazujących i popełnionych czynów karalnych.
- Każdy przypadek naruszenia ochrony danych osobowych należy zgłosić zarówno krajowemu organowi nadzorczemu (bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by mogło ono nieść za sobą ryzyko naruszenia praw lub wolności osób fizycznych), jak i osobie, której dane dotyczą (również niezwłocznie, jeśli istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych).
- Istnieje obowiązek dokonania oceny skutków przetwarzania dla ochrony danych (w szczególności przy korzystaniu z nowych technologii), jeśli dany rodzaj przetwarzania ze względu na swój rodzaj, zakres, okoliczności i cele niesie za sobą potencjalnie wysokie ryzyko naruszenia praw oraz wolności osób fizycznych.
- Jeżeli po przeprowadzeniu ww. oceny okaże się, że przetwarzanie danych powodowałoby wysokie ryzyko (o ile administrator nie zastosowałby żadnych środków w celu jego zminimalizowania), konieczna jest wcześniejsza konsultacja z organem nadzorczym.
- Obowiązek powołania Inspektora Ochrony Danych Osobowych ciąży na przedsiębiorstwach, których:
– główna działalność polega na operacjach przetwarzania danych, które ze względu na swój rodzaj, zakres i/lub cele wymagają regularnego i systematycznego monitorowania osób fizycznych na dużą skalę;
– główna działalność polega na przetwarzaniu na szeroką skalę szczególnych kategorii danych osobowych (tzw. dane wrażliwe) oraz danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa.
- Nowe obowiązki informacyjne oraz prawa osób, których dane dotyczą:
– informacje mogą być przekazywane w połączeniu ze standardowymi symbolami obrazkowymi;
– obowiązki informacyjne muszą zostać spełnione bez zbędnej zwłoki, najpóźniej w ciągu miesiąca (okres ten może ulec wydłużeniu o maksymalnie kolejne 2 miesiące);
– prawo do informacji (między innymi na temat przewidywanego okresu przechowywania danych);
– prawo do sprostowania danych;
– prawo do usunięcia danych oraz prawo do „bycia zapomnianym”;
– prawo do ograniczenia przetwarzania danych;
– obowiązek powiadomienia o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych w odniesieniu do każdego odbiorcy, którego dane osobowe ujawniono;
– prawo do przenoszenia danych;
– prawo wniesienia sprzeciwu.
- Zostają rozszerzone uprawnienia i zadania organów nadzorczych (w szczególności w zakresie nakładania kar finansowych).
- Za nieprzestrzeganie RODO grożą wysokie kary finansowe do 20 milionów euro lub – w przypadku przedsiębiorstw – do 4% ich całkowitego, światowego obrotu za poprzedni rok obrotowy.