1. Podejście oparte na analizie ryzyka
Jedną z największych zmian jest przeniesienie decyzji, „jak chronić dane osobowe", z ustawodawcy na administratora, czyli spółkę, która jest „właścicielem" danych. RODO, w odróżnieniu od dotychczasowych przepisów, wielokrotnie posługuje się jedynie ogólnymi pojęciami dotyczącymi prawidłowego przetwarzania danych osobowych, ich ochrony, wdrażania odpowiednich środków bezpieczeństwa etc. To administrator, jako najlepiej znający swoje przedsiębiorstwo, analizując ryzyka w obszarze przetwarzania danych osobowych, w zależności od procesu podejmuje decyzję, jakie konkretnie środki zastosuje w praktyce (inne pasują do spółki e-commerce, a inne do spółki typowo produkcyjnej). Oczywiście w przypadku kontroli administrator powinien wykazać, dlaczego zdecydował się akurat na takie rozwiązania.
2. Nowa dokumentacja przetwarzania danych
RODO znosi wymóg rejestracji zbiorów danych osobowych, brak również obowiązku prowadzenia polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym. Nie oznacza to jednak, że spółka nie powinna prowadzić żadnej dokumentacji. Administrator prowadzi rejestr czynności przetwarzania, w którym gromadzi informacje dot. m.in. kategorii osób, których dane przetwarza (np. pracowników), kategorii przetwarzanych danych (np. dane kontaktowe, dane identyfikacyjne) oraz celu ich przetwarzania (np. wykonanie umowy o pracę). Także podmiot, który jest procesorem, tj. przetwarza dane na zlecenie innych podmiotów (np. prowadzi hosting, świadczy usługi księgowe dla spółek z grupy), powinien prowadzić tzw. rejestr kategorii czynności przetwarzania, w którym opisuje m.in., jakie operacje dokonuje w imieniu każdego z administratorów (np. zbiera dane pracowników w celu korzystania przez nich z określonych benefitów sportowych czy medycznych). Jeśli ww. podmioty zatrudniają mniej niż 250 pracowników, teoretycznie nie są zobowiązane do prowadzenia tych rejestrów, chyba że przetwarzanie dotyczy np. danych wrażliwych.
3. Nowe obowiązki informacyjne
RODO wprowadza konieczność przekazania osobom, których są przetwarzane, szeregu informacji. Co więcej, powinny być one formułowane jasnym i prostym językiem i przekazywane w sposób zwięzły, łatwo dostępny i zrozumiały. Informacje obejmują m.in. cele przetwarzania, odbiorców danych (np. to, że w przetwarzaniu mogą brać udział np. podmioty dostarczające rozwiązania IT, lub kurierzy dostarczający zaproszenia na konferencję), zamiar przekazywania danych poza Europejski Obszar Gospodarczy, np. do USA, i stosowane w takim wypadku zabezpieczenia, np. standardowe klauzule umowne zatwierdzone przez Komisję Europejską, czy tzw. tarczę prywatności. Istotne jest więc, aby spółka zdawała sobie sprawę, dokąd przekazuje dane, decydując się na współpracę z określonymi podmiotami, zwłaszcza w obszarze IT, głównie w przypadku przechowywania danych w chmurze – co niestety często wymaga przeanalizowania skomplikowanych regulaminów.
4. Zgłaszanie incydentów
W przypadku wykrycia przez spółkę w swoich strukturach incydentów naruszających ochronę danych osobowych, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone, powinna ona bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia, zgłosić ten fakt prezesowi Urzędu Ochrony Danych Osobowych wraz z opisem zdarzenia oraz zastosowanych środków mających na celu wyeliminowanie zagrożeń. Ale to nie wszystko. Jeżeli naruszenie mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, spółka zawiadamia o incydencie również osobę, której dane dotyczą, chyba że odpowiednie środki ochrony uniemożliwią odczyt danych osobom nieuprawnionym, wysokie ryzyko zostało przez administratora wyeliminowane w inny sposób lub po prostu dotarcie do takiej osoby wymagałoby niewspółmiernie dużego wysiłku (w tym ostatnim przypadku wystarczające może być udostępnienie informacji publicznie, co jednak może wiązać się z większym ryzykiem wizerunkowym spółki).
5. Kary finansowe
Nic tak nie działa na wyobraźnię przedsiębiorców jak kary finansowe. Faktycznie, dotychczas kary organu opierały się głównie na wskazywaniu właściwych praktyk czy wzywaniu do zaprzestania określonych naruszeń. RODO ma jednak na celu zmobilizowanie przedsiębiorców do realnego zatroszczenia się o przetwarzane dane, co ma być osiągnięte przez system kar administracyjnych w wysokości do 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu przedsiębiorcy. Przedsiębiorstwo jest przy tym rozumiane jako grupa kapitałowa (polskie tłumaczenie nie jest jednoznaczne, jednak wniosek taki płynie przede wszystkim z orzecznictwa TSUE). Słabym pocieszeniem jest fakt, że w niektórych przypadkach kary te mogą osiągać poziom 10 mln euro lub 2 proc. światowego obrotu. Wszystkie kary podlegają jednak miarkowaniu, a organ wciąż może poprzestać na swoich innych uprawnieniach, np. ostrzeżeniu.
