Nowe zasady ochrony danych osobowych RODO wejdą w życie 25 maja 2018 r. Będą one dotyczyć każdego podmiotu przetwarzającego dane osobowe w sposób automatyczny i manualny. Rozporządzenie zarówno na administratora danych, jak i na podmiot przetwarzający nakłada nowe obowiązki związane z zapewnieniem bezpieczeństwa przetwarzania danych osobowych. Aby czuć się bezpiecznym jako Administrator Danych Osobowych placówki powinny m.in.:
- szyfrować dane osobowe,
- regularnie sprawdzać i oceniać skuteczność bezpieczeństwa systemów, w których dane są przetwarzane,
- wprowadzać procedury, które pozwolą na zwiększenie poziomu bezpieczeństwa przetwarzania danych,
- do zadań ADO należeć będzie ocena bezpieczeństwa przetwarzania danych oraz wdrożenie odpowiednich rozwiązań, które pozwolą na wyeliminowanie zagrożeń związanych z ich przetwarzaniem.
- ADO powinien stale czuwać nad tym, aby systemy, w których dane osobowe są przetwarzane, spełniały wymogi bezpieczeństwa wynikające z rozporządzenia,
- nie będzie już konieczna rejestracja zbiorów danych osobowych przez GIODO, pojawia się w zamian obowiązek prowadzenia rejestru czynności przetwarzania wewnątrz organizacji,
- nowym bardzo ważnym obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód,
- Zmianie ulega status i rola ABI.
Jest to znacząca zmiana w kontekście podziału obowiązków pracowniczych i rozwiązań kadrowych. Obecnie nie ma obowiązku powoływania administratora bezpieczeństwa informacji (ABI), a unijne rozporządzenie to zmienia. Zmienia się jednocześnie nazewnictwo – ABI od maja 2018 zostaje Inspektorem Ochrony Danych (IOD). Osoby, których dane będą przetwarzane będą miały prawo kontaktować się z nim w sprawach dotyczących przetwarzania danych osobowych. IOD będzie miał też obowiązek współpracy z UODO.
Nadto, przepisami RODO wprowadzone zostaje:
- „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte),
- uprawnienie do żądania przeniesienia danych,
- oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane.
Jednocześnie system kar za naruszenie zasad przestrzegania bezpieczeństwa przetwarzania danych osobowych (np. Brak dokumentacji lub IODO) został znacząco rozbudowany i górna ich granica to 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku.