Głównymi zmianami towarzyszącymi RODO jest poszerzenie zakresu obowiązków administratorów danych osobowych oraz podmiotów przetwarzających takie dane na zlecenie, jak również wyposażenie osób fizycznych i organów nadzorujących w szeroki wachlarz narzędzi reagowania na naruszenia RODO.
Zmienia się również charakter administratora bezpieczeństwa informacji (ABI) – od 25 maja 2018 roku stanowisko nazywać będzie się Inspektorem Ochrony Danych (IOD), natomiast jego powołanie będzie w wielu przypadkach obowiązkowe, a nie fakultatywne, jak ma miejsce obecnie powołanie funkcji ABI.
Rozwój technologii i rozbieżności w ustawodawstwach krajów UE powodem zmian
RODO formalnie zastępuje wdrożoną w połowie lat 90. unijną dyrektywę 95/46/WE. Na podstawie tej dyrektywy obowiązuje w Polsce aktualna ustawa o ochronie danych osobowych (w tym roku obchodzi swoje 20-lecie obowiązywania). Twórcy dyrektywy nie mogli przewidzieć wielu istotnych dla ochrony danych wydarzeń i przemian, związanych głównie z rozwojem technologii informatycznych. Na przestrzeni ostatnich lat wykorzystywanie nowoczesnych systemów informatycznych przez przedsiębiorców dostarczyło nowych możliwości operacyjnych, ale jednocześnie przyniosło wiele zagrożeń dla ochrony danych osobowych. Tylko w samym obszarze HR (Human Resources) standardem stało się wykorzystywanie systemów kadrowych opartych o technologie ERP, przeprowadzanie procesów rekrutacji z wykorzystaniem portali społecznościowych, czy też zarządzanie procesem zatrudnienia i świadczeniami z tym związanymi w oparciu o profilowanie danych – zagadnienia nieznane dzisiejszym regulacjom prawnym. W dodatku, aktualnie stosowana dyrektywa 95/46/WE została wdrożona do ustawodawstw poszczególnych państw UE na zróżnicowanym poziomie, co w praktyce bardzo utrudnia funkcjonowanie międzynarodowym grupom kapitałowym m.in. ze względu na zróżnicowane rozwiązania prawne związane z transferem kadrowych danych osobowych pomiędzy podmiotami z grupy zlokalizowanymi w różnych państwach.
Wysokie kary
Jak dotąd, GIODO nie miał możliwości prawnych nałożenia kary finansowej bezpośrednio z tytułu wykrycia naruszeń. Ewentualną grzywnę mógł nałożyć wyłącznie w przypadku, gdy konkretny przedsiębiorca nie zastosował się do jego zaleceń pokontrolnych w wyznaczonym terminie. W celu wymuszenia przestrzegania nowych wymagań wynikających z RODO, organ nadzorczy będzie mógł nałożyć karę bezpośrednio w ramach decyzji stwierdzającej naruszenie przepisów, a sama kara będzie mogła sięgnąć kwoty nawet 20 mln EUR lub do wysokości 4% rocznego międzynarodowego obrotu.
[-DOKUMENT_HTML-]
Źródło: Conperio