Nowe rozporządzenie będzie miało wpływ głównie na przedsiębiorców przetwarzających znaczne ilości danych osobowych na szczeblu regionalnym, krajowym lub międzynarodowym, tj. instytucje finansowe, banki, dostawców usług internetowych, przedsiębiorców telekomunikacyjnych, ubezpieczeniowych itd. itp. Podmioty te będą zobowiązane wdrożyć całkowicie nowy system zapewniający zgodność z zasadami ochrony danych, obejmujący zarówno kwestie techniczne, organizacyjne, jak i prawne. Wymagane będzie stosowanie m.in. zasady ochrony prywatności już na samym początku fazy projektowania określonych rozwiązań technologicznych oraz wzięcie pod uwagę tego, jak przetwarzanie danych może wpływać na prywatność klienta, szczególnie w przypadkach obejmujących profilowanie klientów lub monitorowanie danych geolokalizacyjnych zbieranych w miejscach publicznych.
Ponadto przedsiębiorcy, którzy w sposób regularny i na dużą skalę monitorują osoby, których dane dotyczą, będą zobowiązani wyznaczyć osobę sprawującą nadzór nad ochroną danych, która będzie między innymi informowała je o ciążących na nich obowiązkach oraz monitorowała zgodność z RODO. RODO bowiem ma na celu przywrócenie klientom kontroli nad ich danymi osobowymi, co oznacza, że klient będzie miał prawo otrzymywać swoje dane osobowe w powszechnie używanym formacie, oraz będzie mógł swobodnie przekazać je innemu administratorowi. Podsumowując: to nowe rozporządzenie – ukierunkowane na klienta, a jednocześnie pociągające za sobą wiele wyzwań – ujednolica prawo ochrony danych osobowych w całej Unii Europejskiej i jest postrzegane raczej jako zmiana na lepsze.
>>> Czytaj też: Mniej niż połowa firm w Polsce jest dojrzała cyfrowo. Co to znaczy i dlaczego wypadamy słabo?
Celem RODO jest ochrona klientów przed wykorzystywaniem ich danych osobowych przeciwko nim samym. Dotyczy to m.in. danych zaklasyfikowanych jako „wrażliwe”, jak dane dotyczące stanu zdrowia. Nie będzie możliwe na przykład dokonanie oceny zdolności kredytowej klienta za pomocą zautomatyzowanego algorytmu bez jego wyraźnej zgody. Dodatkowo, podmioty takie jak przedsiębiorcy telekomunikacyjni, banki czy ubezpieczyciele będą zobowiązane regularnie i stale przeprowadzać ocenę skutków przetwarzania danych osobowych, obejmującą ocenę zagrożeń dla praw klientów. Zgodnie ze stanowiskiem Grupy Roboczej Art. 29 („Grupa Robocza ds. Ochrony Danych”), czynności te należy rozpocząć na jak najwcześniejszym etapie projektowania operacji przetwarzania danych, nawet jeśli niektóre z tych operacji nie są jeszcze do końca zdefiniowane. W praktyce oznacza to, że ochrona danych osobowych stanie się istotną częścią podstawowych standardów działania wszystkich podmiotów.
Zgodnie z nowym rozporządzeniem, w przypadku cyberprzestępstwa lub innego naruszenia ochrony danych osobowych przedsiębiorcy będą zobowiązani tak szybko jak to możliwe, ale nie później niż w ciągu 72 godzin od powzięcia wiadomości o naruszeniu bezpieczeństwa, poinformować o tym odpowiedni organ ochrony danych. Ponadto, w niektórych sytuacjach, będzie należało poinformować o takim naruszeniu danych osobowych także swoich klientów. Co za tym idzie, przedsiębiorstwa nie będą już mogły zatajać tego rodzaju zdarzeń. W konsekwencji będą mniej skłonne np. płacić okup cyberprzestępcom, aby uniknąć ujawnienia informacji o atakach, co z kolei – jak można mieć nadzieję – w pewnym stopniu zniechęci cyberprzestępców do ich dokonywania.
Tak, a w istocie je wzmocni. Wraz z wejściem w życie rozporządzenia – w przypadku, gdy dana osoba zażąda usunięcia dotyczących jej danych (oczywiście z uzasadnionych przyczyn), administrator danych nie tylko będzie musiał spełnić to życzenie, ale także poinformować o nim wszystkich pozostałych administratorów posiadających dostęp do danych tej osoby.
RODO jest doskonałym przykładem rozporządzenia horyzontalnego, które ma zastosowanie do wszystkich europejskich przedsiębiorców niezależnie od ich miejsca w hierarchii wielkości lub wysokości osiąganych przychodów. Według badań przeprowadzonych przed lipcem bieżącego roku (przez magazyn IT WIZ) 26,5 procent polskich przedsiębiorców planuje rozpocząć przygotowania w drugiej połowie 2017 r., 25,3 procent czeka na wydanie krajowych przepisów branżowych, zaś 41,3 procent odpowiednie przygotowania już rozpoczęło. Sytuacja zmienia się więc w szybkim tempie i myślę, że jesteśmy w samym środku procesu transformacji.
>>> Czytaj też: Ekspert: wadą usług chmurowych jest możliwość wycieku danych
