Masz pytanie? Potrzebujesz porady w sprawie prawka?
Nasz ekspert odpowie na Twoje pytania Poradź się eksperta
Strona główna Aktualności RODO - z czym to się je?
paragraf.jpg

12-02-2018

RODO - z czym to się je?

Od 25 maja 2018 roku jesteśmy zobowiązani stosować przepisy rozporządzenia o ochronie danych osobowych (RODO). Mimo, że od wydania przepisów mijają blisko dwa lata, niewielu pracowników wydziałów komunikacji oraz przedsiębiorców z branży OSK zdaje sobie sprawę z nowych obowiązków określonych w rozporządzeniu, kar administracyjnych i wymagań w zakresie oceny ryzyka bezpieczeństwa przetwarzanych danych.

 

Pozostały nieco ponad 3 miesiące. Postaram się przybliżyć państwu czym jest RODO i jakiego rodzaju zadania przed państwem stoją.

 

Czym jest rozporządzenie o ochronie danych osobowych (RODO)?

RODO to rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Wprowadza szereg nowych zasad przetwarzania danych osobowych, nie jest jednak na tyle szczegółowe, by zawierało w sobie dokładne wymagania techniczne, związane z przetwarzaniem danych osobowych. Do 25 maja 2018 roku podmioty, które działają na terenie Unii Europejskiej mają czas na wdrożenie zmian wynikających z obowiązku stosowania ogólnego rozporządzenia o ochronie danych, zwanego RODO lub GDPR.

 

Interpretacja i przełożenie na praktykę zawartych w rozporządzeniu zapisów oraz podejście do zapewnienia ochrony danych według reguł opartych na ryzyku, pozwoli na elastyczne wdrożenie RODO w danej organizacji. Brak jednak konkretnych wytycznych może stanowić problem w ich wdrażaniu - i co więcej - może rodzić niepewność, czy działamy w zgodzie z przepisami.

 

Cele rozporządzenia

Głównym celem rozporządzenia, jest ochrona prawa podstawowego, jakim jest ochrona danych osobowych osób fizycznych. Stosowanie rozporządzenia nie powinno ograniczać ani zakazywać swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Motyw 13 preambuły do RODO wskazuje także inne cele rozporządzenia, m.in. zapewnienie spójnego stopnia ochrony osób fizycznych w Unii, równoważnych kar we wszystkich państwach członkowskich i skutecznej współpracy organów nadzorczych z różnych państw członkowskich, a także zapobieganie rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, zagwarantowanie podmiotom gospodarczym pewności prawa i przejrzystości oraz zagwarantowanie osobom fizycznym we wszystkich państwach członkowskich tego samego poziomu prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających.

 

Przedmiot rozporządzenia

W rozporządzeniu ustanowione zostały przepisy określające techniczne i organizacyjne zasady ochrony danych, w tym zasady funkcjonowania organów odpowiedzialnych za nadzór nad ich ochroną. Wprowadzone zostały m.in. zasady “privacy by design” oraz “privacy by default”.

Pierwsza zasada polega na tym, by w nowych procesach uwzględnić bezpieczeństwo przetwarzania danych osobowych, a zatem uwzględnić ochronę prywatności już na etapie projektowania.

 

Zasada “privacy by default” oznacza, że administrator danych osobowych będzie zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Dotyczyć to będzie ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

 

Co nowego wprowadza RODO odnośnie przetwarzania danych osobowych? 

RODO wprowadza m.in.: funkcję Inspektora Ochrony Danych. Funkcja Administratora Bezpieczeństwa Informacji (ABI) zostanie po 25 maja 2018 zastąpiona funkcją Inspektora Ochrony Danych. Oprócz szerszego zakresu obowiązków, IOD zyska także nowe uprawnienia, m.in. większe możliwości egzekwowania obowiązków związanych z przetwarzaniem danych osobowych w danym podmiocie.

 

RODO daje nowe uprawnienia następcy prawnemu GIODO. Przede wszystkim możliwość nakładania kar - w przypadku kiedy wykryte zostaną naruszenia związane z bezpieczeństwem przetwarzania danych osobowych. Kary będą mogły być nadawane w trybie administracyjnymi i mogą być bardzo dotkliwe - do 20 000 000 EUR lub w wysokości do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

 

Rejestr czynności przetwarzania

Przepisy RODO wprowadzają obowiązek prowadzenia “rejestru czynności przetwarzania”, zawierającego między innymi informacje o tym, w jakim celu gromadzone oraz przetwarzane są dane osobowe, komu są one przekazywane oraz to, jakie są stosowane środki bezpieczeństwa, gwarantujące poufność tych danych.

 

Rejestr naruszeń

RODO nakłada obowiązek prowadzenia rejestru naruszeń, a więc odnotowywanie wszelkich incydentów, w których zostało naruszone bezpieczeństwo przetwarzanych danych osobowych. Podmioty będą mieć obowiązek dokonania zgłoszenia incydentów do organu nadzorującego w ciągu 72 godzin, a także poinformowanie o naruszeniu osób, których to zdarzenie dotyczyło.

 

Nowe prawa

RODO rozszerza prawa osób, których dane osobowe są przetwarzane.  Dotyczy to zarówno prawa wglądu w przetwarzane dane, ale także pojawia się “prawo do bycia zapomnianym”, czyli możliwości całkowitego usunięcia wszystkich informacji o nich, które firma przetwarza. Zmienia się również kształt obowiązków informacyjnych ciążących na administratorach danych osobowych i rozszerzony zostaje katalog informacji, jakie należy przekazać osobie, której dane dotyczą.

 

Obowiązek informacyjny

Rozporządzenie ogólne o ochronie danych osobowych zmienia sposób realizacji obowiązku informacyjnego przez administratora danych osobowych. Ustawodawca rozszerzył katalog informacji, jakie należy przekazać osobie, której dane dotyczą, zwiększając prawa obywateli w tym zakresie. Dzięki temu osoby, których dane osobowe są przetwarzane powinny posiadać wiedzę na temat tego jak dokładnie wygląda przetwarzanie. Zmiana ta oznacza także większe obciążenia dla administratorów danych osobowych, którzy po 25 maja 2018 roku będą musieli dokładniej niż dotychczas uzasadniać przetwarzanie danych osobowych.

 

Motyw 60 preambuły rozporządzenia wskazuje, że osoba, której dane dotyczą, musi być poinformowana o prowadzeniu operacji przetwarzania i o jego celach. Powinna również mieć świadomość obowiązku podania (o ile on istnieje) oraz konsekwencjach ich niepodania. Ponadto, ADO powinien podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

 

Obowiązek informacyjny możemy spełnić na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Informacje określone w obowiązku informacyjnym administrator danych osobowych musi przekazać w formie zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej oraz jasnym i prostym językiem, w szczególności gdy informacje są kierowane do dziecka. Jeśli administrator dokonuje czynności profilowania, musi o tym poinformować oraz wskazać konsekwencje takiego profilowania.

 

Należy pamiętać o tym, że klauzule informacyjne prawdopodobnie będą pierwszym elementem, jaki sprawdzą inspektorzy po maju 2018 roku. Ich brak lub niezaktualizowanie istniejących, mogą zostać uznane za ciężkie naruszenie ochrony danych osobowych (zgodnie z art. 83 ust. 5 lit. b) RODO.

 

Podejście oparte na ryzyku

Nowe zasady przetwarzania danych osobowych będą stanowiły swoiste wyzwanie zarówno dla przedsiębiorców, jak i administracji publicznej. Warto szerzej omówić podejście oparte na ryzyku, ponieważ zgodnie z motywem 83. rozporządzenia RODO, w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z rozporządzeniem, administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki minimalizujące to ryzyko. Wdrożone środki powinny, uwzględniać stan wiedzy technicznej, zapewnić odpowiedni poziom bezpieczeństwa danych osobowych, rozumianego jako poufność, integralność i dostępność.

 

Wyrażona w rozporządzeniu zasada podejścia opartego na ryzyku oznacza, że administratorom i podmiotom przetwarzającym nie wskazuje się ściśle określonych środków i procedur w zakresie bezpieczeństwa, np. kontroli dostępu, szyfrowania, rozliczalności czy sposobu monitorowania procesów przetwarzania. Zasada ta zobowiązuje do samodzielnego przeprowadzania szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonywania oceny ryzyka, na jakie przetwarzanie danych w konkretnym przypadku jest narażone.  Takie podejście umożliwia skoncentrowanie się na sytuacjach najwyższego ryzyka, przy jednoczesnym zachowaniu odpowiedniego poziomu ochrony, gdy to ryzyko jest niskie i nie wymaga stosowania wszystkich środków ochrony przewidzianych przez rozporządzenie RODO.

 

Analiza ryzyka polegać będzie więc na identyfikacji podatności zasobów m.in. systemu teleinformatycznego na wyselekcjonowane zagrożenia oraz oszacowania skutków utraty lub ujawnienia informacji.

 

Dokonując oceny ryzyka w zakresie bezpieczeństwa przetwarzania danych osobowych, należy wziąć pod uwagę ryzyko związane bezpośrednio i pośrednio z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

 

W związku z powyższym, dla wdrożenia RODO w organizacji konieczne jest przeprowadzenie wstępnego audytu oraz – w razie potrzeby - analizy ryzyka dla posiadanych zasobów i oceny ich podatności z punktu widzenia bezpieczeństwa przetwarzania danych osobowych.

 

W następnym artykule opiszę Państwu jakie wymagania i jakie działania w związku z RODO powinien spełnić i podjąć Ośrodek Szkolenia Kierowców.

 

Wkrótce SPH CREDO skieruje do swoich Klientów i Partnerów ofertę związaną ze szkoleniem w zakresie RODO i szeroko rozumianą obsługą tego skomplikowanego zagadnienia. 

 

Tadeusz Wachowski

Powrót do listy aktualności

Komentarze

Brak dodanych komentarzy, bądź pierwszy i dodaj komentarz.

Dodaj własny komentarz

Ocena