Wojciech Maciejewski
Wojciech Maciejewski

RODO w pigułce: Najważniejsze założenia

Wstęp

Po wielu latach pracy, w maju 2018 weszła w życie nowa wersja Rozporządzenia Parlamentu Europejskiego o ochronie danych osobowych, powszechnie znanego jako RODO. Rozporządzenie ma znaczący wpływ nie tylko na przedsiębiorstwa wewnątrz Unii Europejskiej, ale także i te poza jej granicami, które pracują z firmami i klientami z UE. Przyjrzyjmy się zatem bliżej nowemu rozporządzeniu.

Wymogi RODO dotyczą każdej organizacji prowadzącej działalność biznesową w UE i każdej organizacji, która przetwarza dane osobowe pochodzące z UE – zarówno jeśli chodzi o dane mieszkańców UE, jak i osób chwilowo odwiedzających dany kraj. Sytuacja komplikuje się w przypadku Internetu co wynika z faktu, że działa on ponad granicami państw i ich prawem.

Kto podlega RODO?

Przepisom RODO podlegają organizacje dowolnych rozmiarów w każdym kraju, który przetwarza dane osobowe pochodzące z UE. We wcześniejszych tekstach omawialiśmy scenariusze i specyfikę nowych przepisów Unii Europejskiej w tej materii.

RODO weszło w życie w maju, dlatego firmy już jakiś czas temu musiały przejrzeć i dostosować swoje strategie zgodności i bezpieczeństwa, aby upewnić się, że są gotowe na wejście nowego rozporządzenia. Organizacje, które nie zdążyły podjąć odpowiednich działań zostaną obciążone karami finansowymi. Pięć ważnych zmian

Treść RODO to długa i trudna lektura, dlatego w poprzednim poście zgromadziliśmy najistotniejsze informacje zawarte w treści rozporządzenia. W tym poście chcemy poruszyć pięć najważniejszych przepisów RODO z punktu widzenia bezpieczeństwa danych. Jeśli pracujesz w sektorze ochronie danych, te przepisy dotyczą właśnie Ciebie.

RODO w skrócie!

Artykuł 25. - Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych: Innymi słowy, administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby spełnić wymagania dotyczące ochrony danych stawiane przez RODO.

Artykuł 32 - Bezpieczeństwo przetwarzania: Administratorzy i podmioty przetwarzające dane muszą wdrożyć środki techniczne zapewniające bezpieczeństwo danych zarówno teraz jak i w przyszłości.

Artykuł 33 - Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu: W przypadku naruszenia ochrony danych, administrator bez zbędnej zwłoki zgłasza i opisuje charakter naruszenia. Informacje mogą dostarczane sukcesywnie w zależności od ich dostępności.

Artykuł 34 - Obowiązek notyfikacyjny administratora wobec podmiotów, których dane dotyczą: Przedsiębiorstwa są zobowiązane powiadomić użytkownika w przypadku naruszenia jego praw i wolności.

Artykuł 35 - Ocena skutków przetwarzania dla ochrony danych osobowych: Administratorzy muszą dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych po wprowadzeniu nowej technologii przetwarzania danych, która może naruszać prawa i wolności osób prywatnych.

Jak uniknąć niepotrzebnych kłopotów ?

Aby uniknąć problemów i kar, każda organizacja powinna była podjąć kilka niezbędnych kroków aby sprostać wymogom nowego rozporządzenia. Na samym początku procesu należało skupić się na następujących obszarach: identyfikacja, analiza, wykonanie i raportowanie.

Zrewiduj swoje aktualne zasady

  • Zbierz informacje o wszystkich bazach danych w twojej organizacji.
  • Sprawdź czy aktualne procedury i regulaminy pasują do RODO.
  • Przeanalizuj proces przepływu danych w twoich systemach.

Przeanalizuj technologie i procesy

  • Przeprowadź inwentaryzację zasobów oraz znajdź luki w obecnej technologii, kontroli i procesach;
  • Przeanalizuj status dostawców zewnętrznych, których dotyczą procesy w twojej organizacji;
  • Określ czy istnieje potrzeba zatrudnienia specjalisty ds. ochrony danych i ustal czy zachodzi konieczność transferu danych do innych państw;
  • Przeprowadź ocenę wpływu działań na prywatność.

Dokonaj niezbędnych poprawek i sporządź sprawozdanie

  • Wprowadź niezbędne technologie; opracuj, uaktualnij, lub wprowadź nowe przepisy, procedury i mechanizmy ich kontroli;
  • Przeprowadź audyty zgodności i stwórz sprawozdania zarządcze;
  • Określ rolę i obowiązki specjalisty ds. ochrony danych, lub przeszkol swój zespół w zakresie jego obowiązków;
  • Opracuj procedury wykrywania naruszeń, reagowania i zawiadamiania; ustal z zewnętrznymi dostawcami warunki aktualizacji umowy i procesu;
  • Zaktualizuj umowy prawne i porozumienia w celu zapewnienia zgodności z podmiotami zewnętrznymi;
  • Wprowadź certyfikaty celem pogłębienia zaufania.

Kary za niespełnienie wymogów RODO

Kary wynikające z niezastosowania się do RODO mogą być dotkliwe i zależą od charakteru naruszeń.

Niezastosowanie się do zasad przetwarzania danych, naruszenie dóbr osobistych lub przekazywanie danych osobowych wiąże się z grzywną w wysokości 22 milionów euro, lub równowartości 4% obrotu uzyskanego w roku poprzednim – w zależności, która kwota jest wyższa.

Ponadto, niezastosowanie się do wymogów technicznych i organizacyjnych takich jak dokonywanie oceny skutków, komunikowanie naruszeń, czy certyfikacja może Cię kosztować 11 milionów euro, lub równowartość 2% obrotu uzyskanego w roku poprzednim – w zależności która kwota jest wyższa.

Jak Grey Wizard dba o bezpieczeństwo danych wspomnianych w RODO?

Tarcza Grey Wizard pozwala zredukować ryzyko wycieku danych poprzez ochronę twojej infrastruktury i środowiska internetowego przed atakami hakerskimi. Grey Wizard ochrania strony, aplikacje internetowe przed wyciekami danych osobowych.

Andrzej Prałat
Wojciech Maciejewski
×

Dla mediów

Podaj nam dane kontaktowe,
na które automatycznie wyślemy materiały.

Dziękujemy