– Wprowadzone zostają dwie zupełnie nowe zasady – privacy by design i privacy by default, które mają ogromny wpływ na to, jak przetwarzane będą dane osobowe w firmach. Po pierwsze, odtąd już na etapie kreowania nowych systemów lub technologii, trzeba mieć na uwadze wymaganą przez RODO ochronę danych. Myślenie o bezpieczeństwie tego rodzaju informacji jest wpisane w prace nad każdym projektem, który wiąże się z przetwarzaniem danych osobowych. Po drugie, w automatycznych ustawieniach konieczne jest ustawienie ochrony danych. Zmiana wymaga aktywnej i świadomej działalności osoby, której te informacje dotyczą (patrz rozdział 12);
– firmy przetwarzające dane osobowe muszą bezdyskusyjnie umożliwić klientowi korzystanie z szeregu praw, które wprowadza RODO. Mowa między innymi o prawie do bycia zapomnianym (a więc wykreślenia wszelkich danych z bazy na żądanie), prawie do zmiany informacji albo ich przeniesienia do innego administratora danych (na dodatek na ujednoliconym nośniku, tak, aby nie pojawiła się trudność z ich odczytaniem w nowym miejscu) – patrz rozdział 6.; Więcej na ten temat możesz poczytać tutaj https://www.rp.pl/Firma/305249962-RODO-20-rzeczy-ktore-musisz-wiedziec-o-RODO.html.
– wprowadzona zostaje zasada minimalizacji przetwarzanych danych, a to oznacza, że firmy powinny gromadzić i posługiwać się tylko niezbędnym do funkcjonowania minimum tego rodzaju informacji. W związku z tym RODO rozprawia się również ze spamem i niechcianymi zapytaniami ofertowymi, składanymi na przykład przez telemarketerów (patrz rozdział 1.);
– zmienia się kształt umów o powierzeniu i podpowierzeniu danych, a więc dotyczących sytuacji, kiedy administrator danych osobowych korzysta z pomocy innej firmy i udostępnia jej tego rodzaju informacje. Umowy są więc dokładniejsze, bardziej rozbudowane, a niepoprawne ich przygotowanie skutkuje nawet otrzymaniem bardzo wysokich kar (patrz rozdział 2.);
– utrudnione jest profilowanie, czyli zautomatyzowane przetwarzanie danych osobowych, kończące się niekiedy tym, że niektórzy konsumenci mogli zostać wykreśleni z grupy osób, którym należy się kredyt, bowiem „z automatu” zadecydowały o tym pewne ich cechy (patrz rozdział 4.);
– firmy są zachęcane do tego, by korzystać z takich rozwiązań ułatwiających ochronę danych osobowych, jak: personalizacja, pseudonimizacja albo szyfrowanie (patrz rozdział 4.);
– zapytania o zgody na przetwarzanie danych osobowych muszą przestrzegać szeregu reguł – na przykład być napisane, inaczej, niż dotąd, przystępnym językiem, zrozumiałym dla odbiorcy i wyjaśniającym sposób oraz cel tego przetwarzania (patrz rozdział 6.);
– niektóre z firm muszą przeprowadzić ocenę skutków dla ochrony danych osobowych aby udowodnić, że jak najlepiej przygotowały firmę do wejścia w życie rozporządzenia (patrz rozdział 8.);
– w przypadku naruszenia bezpieczeństwa danych osobowych firmy mają obowiązek reagować w czasie do 72 godzin po wydarzeniu, w przeciwnym razie grożą im poważne kłopoty. A jak powinny reagować? RODO dokładnie opisuje procedurę oraz konstrukcję zgłoszenia, przekazywanego GIODO (patrz rozdział 9.);
– zmienia się również podejście do samych zbiorów danych osobowych. Dotąd należało je zarejestrować w GIODO. Ten przepis odchodzi jednak do lamusa. Od wejścia w życie rozporządzenia nie jest to już konieczne. Zamiast tego trzeba jednak prowadzić rejestr czynności przetwarzania danych (patrz rozdział 10.);
– zamiast dotychczasowego administratora bezpieczeństwa informacji, którego obecność była dobrowolna, pojawia się inspektor ochrony danych. W niektórych, ściśle określonych firmach, jego wyznaczenie jest obowiązkowe, w przeciwnym razie znów – grożą bardzo wysokie kary (patrz rozdział 13.);
– RODO podtrzymuje konieczność upoważniania wybranych pracowników do przetwarzania danych osobowych, opartego między innymi na zobowiązaniu do zachowania tajemnicy i należytej ochronie tego rodzaju informacji (patrz rozdział 15.);
– przepisy wprowadzone przez RODO obejmują również firmy spoza Unii Europejskiej, jeśli przetwarzają one dane osobowe ludzi przebywających na terenie Wspólnoty oraz ich wykorzystanie jest związane z monitorowaniem zachowań tych osób oraz z oferowaniem im różnego rodzaju usług lub towarów (patrz rozdział 18.).
