Marzena Trembecka
Marzena Trembecka

Ochrona i bezpieczeństwo danych osobowych w świetle RODO (GDPR)

Wielkimi krokami zbliża się 25 maja 2018 roku, a wraz z tą datą wejście w życie unijnego rozporządzenia o ochronie danych osobowych RODO (GDPR). Dla osób prowadzących biznes w sieci i dla instytucji publicznych jest to ostatnie kilka miesięcy na przygotowanie się do RODO.

Unijne rozporządzenie o ochronie danych osobowych, niesie za sobą spore konsekwencje. Wielomilionowe kary, obowiązek zgłaszania każdego incydentu naruszenia bezpieczeństwa czy określenie procedur związanych z ochroną danych osobowych - to tylko niewielki ułamek tego, co zawiera w sobie dyrektywa RODO.

RODO/GDPR

Ochrona i bezpieczeństwo danych a RODO

Celem nowego prawa jest ujednolicenie przepisów dotyczących ochrony danych osobowych we wszystkich 28 krajach członkowskich Unii Europejskiej. Niezależnie od tego czy jesteś właścicielem sklepu internetowego, firmą hostingową czy sprzedajesz usługę typu SaaS - musisz wprowadzić wymagane procedury bezpieczeństwa. W przypadku RODO pewne jest tylko to, że godzina “W” zbliża się wielkimi krokami.

Czego dotyczy rozporządzenie? Jaki jest jego cel? W jaki sposób przygotować organizację na nowe zmiany? Wyjaśniamy w niniejszym artykule.

1. Bezpieczeństwo danych osobowych

Głównym założeniem rozporządzenia RODO jest ochrona danych osobowych. W wirtualnym świecie zostawiamy coraz więcej wrażliwych danych. Niewłaściwie chronione mogą trafić w niepowołane ręce i zostać wykorzystane przez hakerów.

Od 25 maja 2018 roku Administrator Danych Osobowych (AOD), który będzie pozyskiwał nasze dane, będzie miał obowiązek poinformowania nas o prawie do ich przenoszenia, okresie przechowywania oraz o zamiarze przekazania ich innym podmiotom. Jednocześnie będzie zobligowany do przekazania kontaktu do Inspektora Ochrony Danych (IOD).

2. Rejestr czynności przetwarzania

GIODO (Generalny Inspektor Ochrony Danych Osobowych) już nie będzie miał obowiązku rejestrowania zbiorów danych osobowych. Od maja 2018 roku obowiązek prowadzenia rejestru czynności spoczywa na organizacji, która te dane będzie przetwarzała.

3. Procesor - nowe obowiązki

Procesor jest osobą lub organizacją przetwarzającą dane w imieniu Administratora Danych Osobowych. W świetle nowych przepisów również będą odpowiedzialne za prowadzenie rejestru danych. W niektórych okolicznościach, procesor będzie mógł powoływać Inspektora Ochrony Danych.

4. Administrator bezpieczeństwa danych - zmiana roli i statusu

Unijne rozporządzenie o ochronie danych osobowych wprowadza obowiązek powoływania Inspektora Ochrony Danych (IOD). Wcześniejsza nazwa tego stanowiska to Administrator Bezpieczeństwa Informacji (ABI).

Z IOD będą mogły kontaktować się osoby, które wyraziły zgodę na przetwarzanie danych osobowych. Na IOD zostanie również nałożony obowiązek kontaktowania się z GIODO.

5. Dane wrażliwe a RODO

Obecnie do danych wrażliwych zalicza się wszystkie informacje, które umożliwiają określenie pochodzenia rasowego lub etnicznego, poglądy polityczne, przynależność wyznaniową, partyjną, związkową. Zaliczają się też do nich informacje o stanie zdrowia, a także orzeczenia sądowe i administracyjne.

Nowe rozporządzenie unijne o ochronie danych osobowych (RODO) określa dane wrażliwe jako dane szczególnej kategorii. Jednocześnie poszerzyło kategorię tych danych o dane biometryczne i genetyczne.

Do danych biometrycznych zalicza się cechy fizyczne, fizjologiczne i behawioralne. Czyli ochronie będą podlegać takie dane jak układ linii papilarnych, kształt małżowiny usznej, odręczny podpis czy sposób chodzenia.

6. Zwiększenie uprawnień właściciela danych osobowych

Użytkownik będzie miał prawo do usunięcia swoich danych osobowych (dawniej zwane prawem do bycia zapomnianym). Wejdzie też w życie prawo do przenoszenia danych.

Osoba, której dotyczą dane ma prawo żądać od administratora niezwłocznego usunięcia danych osobowych, które jej dotyczą.

Natomiast administrator ma obowiązek te dane usunąć jeśli dane nie są już niezbędne do przeprowadzenia celów, w których zostały zebrane, wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego lub osoba, której dotyczą dane, cofnęła zgodę na ich przetwarzanie.

7. Proaktywne podejście do bezpieczeństwa

Wprowadzenie w życie RODO wymaga od firm przygotowania odpowiednich zabezpieczeń i procedur wewnątrz firmy, które będą regulowały bezpieczeństwo przetwarzania i przechowywania danych. Na firmach spoczywa również obowiązek przeszkolenia i przygotowania pracowników, którzy będą pracować z danymi wrażliwymi.

Już we wczesnym etapie projektowania zbierania i przetwarzania danych należy więc przygotować szereg procedur, które dotyczą ochrony danych osobowych.

8. Zgłaszanie naruszeń danych w ciągu 72 godzin

RODO nakłada na instytucje wymóg zgłaszania każdego incydentu związanego z wyciekiem danych osobowych w czasie do 72 godzin od momentu ich naruszenia. Wszystkie zdarzenia należy bezpośrednio zgłosić do właściwego organu nadzoru.

Absurdalnie brzmi to, że w przypadku wycieku danych osobowych, dyrektywa nakazuje “donosić” na samego siebie. Jeśli dojdzie do kradzieży lub wycieku danych osobowych należy to zdarzenie zgłosić do GIODO. W niektórych przypadkach należy również poinformować o tym wypadku osoby zainteresowane.

9. Kary finansowe

Za brak wdrożenia i przestrzegania przepisów RODO na firmy zostaną nałożone bardzo wysokie kary finansowe. Kary pieniężne mogą wynieść nawet 10-20 mln euro lub 2-4% wartości rocznego światowego obrotu przedsiębiorstwa.

Jeśli chodzi o administrację publiczną to b jest przewidywana na poziomie 100 000 złotych. Wszystkie kary będą nakładane na firmy proporcjonalnie i będą zależne od skali naruszeń przepisów.

10. Przetwarzanie danych osobowych dzieci

Rodzice będą mieli większą możliwość decydowania o obecności ich dzieci w sieci internetowej. Administrator danych będzie musiał zapewnić opiekunowi dziecka możliwość wyrażenia zgody na wykorzystanie danych osoby nieletniej.

Co więcej, zgoda wyrażona przez dziecko, jeżeli dotyczy celów marketingowych lub aktywności dziecka na portalach społecznościowych, może być nieważna.

25 Maja 2018 - wejście w życie RODO

Nowe przepisy dotyczące ochrony danych osobowych niosą za sobą bardzo radykalne i poważne zmiany. Dostosowanie firmy czy organizacji należy zacząć jak najszybciej, ponieważ samo wdrożenie procedur jest skomplikowanym procesem.

25 maja 2018 roku, czyli w dniu wejścia w życie RODO, firma musi działać zgodnie z nowymi przepisami i według jasno określonych procedur.

Źródła
Andrzej Prałat
Marzena Trembecka
×

Dla mediów

Podaj nam dane kontaktowe,
na które automatycznie wyślemy materiały.

Dziękujemy