Do momentu wejścia w życie europejskiego rozporządzenia o ochronie danych osobowych każda organizacja pozyskująca i przetwarzająca dane swoich klientów lub współpracowników musi dostosować się do nowych przepisów. Konsekwencją niedostosowania się do zmian mogą być zarówno wysokie kary pieniężne jak i negatywne konsekwencje prawne i wizerunkowe.

Podmioty zobowiązane do wdrożenia RODO muszą samodzielnie przygotować się na wejście w życie nowych regulacji, wykorzystując do tego własne zasoby kadrowe. To ważne, ponieważ gdy już nowe zasady będą obowiązywać, działać one będą według innych niż obecnie reguł. - Nowa regulacja oparta jest na nieco innej koncepcji. Odmiennie niż to było dotychczas, to administrator będzie decydować, bazując na analizie ryzyka, jakiego rodzaju zabezpieczenia, jakie środki techniczne, organizacyjne i prawne będzie musiał wdrożyć, żeby prawidłowo przetwarzać dane osobowe. Czyli robić to zgodnie z rozporządzeniem i bezpiecznie. Jest to jakościowo bardzo istotna zmiana w stosunku do dotychczasowej regulacji, w której te obowiązki określone były w sposób sztywny – mówi radca prawny dr Dominik Lubasz.

Podobnie zmiany ocenia dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych: Bardzo zależy mi na tym, aby administratorzy danych uświadomili sobie, że rozporządzenie nie tylko nakłada na nich nowe obowiązki i zwiększa ich odpowiedzialność za przetwarzanie danych osobowych zgodnie z prawem, ale również zapewnia im większą elastyczność działania. Przykładowo, jeśli ktoś tradycyjnymi metodami przetwarza niewielki zakres danych osobowych, to nie będzie zobowiązany do stosowania skomplikowanych i kosztownych zabezpieczeń.

Czytaj: GIODO: zapowiada się upolitycznienie urzędu chroniącego dane osobowe>>

Każda organizacja przetwarzająca dane osobowe będzie zobligowana do wdrożenia odpowiednich środków technicznych i organizacyjnych. Będzie musiała przy tym uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Instytucje takie będą zobligowane także do analizy ryzyka. Jeżeli firma nie zapewni stopnia bezpieczeństwa odpowiadającego ryzyku, czyli nie wdroży odpowiednich środków technicznych i organizacyjnych, będzie mogła zostać ukarana wysokimi karami administracyjnymi. - Podmioty dysponujące danymi muszą zdawać sobie sprawę, że nie wolno im lekko traktować takich informacji, handlować nimi ani udostępniać osobom nieupoważnionym, bo grozi za to określona kara – komentuje dr Edyta Bielak-Jomaa.

A dr Wojciech Wiewiórowski, zastępca Europejskiego Inspektora Ochrony Danych dodaje, że każda instytucja musi ocenić, jakiego rodzaju dane posiada, jakie decyzje na ich podstawie będą podejmowane i jaki mogą te decyzje mieć wpływ na sytuację osoby, której dotyczą. - Ważna też jest ocena, komu te dane będą przekazywane na zewnątrz. Ryzykiem jest więc nie tylko wyciek, ale przekazanie danych podmiotom, który z tymi danymi może zrobić więcej niż podmiot uprawniony - stwierdza.

Czytaj: Dr Wiewiórowski: administrator danych musi ocenić ryzyko wycieku>>

Jedną z kluczowych zmian, które wprowadza rozporządzenie RODO, jest obowiązek zadbania o ochronę danych osobowych już na etapie projektowania wdrażanych rozwiązań związanych z przetwarzaniem danych, np. aplikacji, portali internetowych, w tym społecznościowych, organizowania konkursów itp. Administratorzy będą musieli wdrożyć właściwe rozwiązania techniczne i organizacyjne, które zagwarantują odpowiedni poziom bezpieczeństwa danych.
– Administrator danych osobowych musi zweryfikować ryzyko związane z przetwarzaniem danych osobowych i stosownie do tego ryzyka wdrożyć odpowiednie rozwiązania. Musi również podjąć decyzję dotyczącą zabezpieczeń i to on odpowiada za błąd w tejże decyzji – mówi Dominik Lubasz.