Wymagania RODO / GDPR

ZAPYTAJ O RODO

RODO w pytaniach i odpowiedziach

 

WIĘCEJ

Jakie wymagania stawia GDPR / RODO?

GDPR (General Data Protection Regulation) / RODO (Rozporządzenie o Ochronie Danych Osobowych) to dokument, który wszedł w życie z dniem 25 maja 2018 roku. Jego wprowadzenie ma na celu zapewnienie gwarancji swobodnego przepływu danych osobowych pomiędzy państwami będącymi w strukturach Unii Europejskiej. GDPR / RODO wprowadzi narzędzia umożliwiające jednolity sposób przetwarzania danych osobowych.

 

Wdrożenie nowych procedur dotyczących zarządzania danymi osobowymi, opisanymi w Rozporządzeniu o Ochronie Danych Osobowych zobliguje wszystkie podmioty do przeprowadzenia ważnych zmian w zakresie zarządzania danymi osobowymi. Zmiany te będą dotyczyły także narzędzi do przetwarzania danych osobowych - przede wszystkich urządzeń informatycznych. Dane osobowe będą również poddawane kategoryzacji oraz przechowywane w kopiach zapasowych. Dostęp do nich będzie również skrupulatnie określany. To tylko początek zmian, jakie wejdą w życie na postawie zapisów GDPR / RODO.

 

Najważniejsze zmiany, wymagania oraz obowiązki wprowadzone przez GDPR / RODO, to:

Wysokie sankcje finansowe za naruszenie przepisów o ochronie danych osobowych

Naruszenie zapisów zawartych w GDPR / RODO będzie skutkowało nałożeniem bardzo surowych kar finansowych. Jedna grupa naruszeń rozporządzenia wiąże się z nałożeniem sankcji o wysokości do 10 000 000 EURO. Jeżeli naruszenie spowodowane jest przez danego przedsiębiorcę, kara wynosi do 2% całkowitego rocznego światowego obrotu, który miał miejsce w poprzednim roku obrotowym. Druga grupa naruszeń GDPR / RODO określa kary w wysokości do 20 000 000 EURO. Analogicznie, w przypadku przedsiębiorców, kiedy ma miejsce naruszenie zasad w tych grupach, sankcje nakładane są w wysokości do 4% całkowitego rocznego światowego obrotu, który miał miejsce w poprzednim roku obrotowym.

 

Regulacje GDPR / RODO wprowadzają również specjalne prawo umożliwiające uzyskanie odszkodowania z tytułu wyrządzonej szkody majątkowej (lub niemajątkowej), która była skutkiem naruszenia GDPR / RODO. Odszkodowania te można wyegzekwować od administratora albo podmiotu przetwarzającego dane osobowe, które to jednostki naruszyły zapisy Rozporządzenia.

 

Prawo do bycia zapomnianym (zaprzestanie przetwarzania oraz usunięcie danych osobowych)

Nowe regulacje GDPR / RODO umożliwiają każdej z osób fizycznych skorzystanie z prawa do bycia zapomnianym. Prawo to polega na zaprzestaniu przetwarzania oraz usunięciu danych osobowych danej osoby. Usunięcie danych może być przeprowadzone w przypadku, kiedy nie są one już konieczne do przechowywania i przetwarzania. Podobnie w sytuacji, kiedy właściciel danych, to jest osoba, której dane te dotyczą, sprzeciwiła się przetwarzaniu tych informacji lub cofnęła do tego zgodę. Także, kiedy przetwarzanie danych nie jest zgodne z regulacjami GDPR / RODO, dane osobowe mogą zostać usunięte. Na administratorów danych GDPR / RODO nakłada ważne obowiązki, szczególnie w przypadku, kiedy dane osobowe przetwarzane w sieci mogą skorzystać z prawa do bycia zapomnianym.

 

Obowiązek zgłoszenia GIODO faktu zaistnienia zdarzenia naruszenia ochrony danych osobowych

Wystąpienie incydentów i zdarzeń, w których miało miejsce naruszenie danych osobowych, musi być koniecznie zgłoszone do GIODO (Generalny Inspektor Ochrony Danych Osobowych). Administrator danych osobowych przekazuje informacje GIODO, przetwarzającym dane oraz, w pewnych przypadkach, osobom poszkodowanym, których dane zostały naruszone.

 

Przypadek naruszenia danych osobowych musi być zgłoszony GIODO w ciągu 72 godzin od jego wystąpienia. Proces informowania o zaistniałych zdarzeniach może być problematyczny. Niedogodności występują przede wszystkim w przypadku informowania osób pokrzywdzonych. Wynikają one nie tylko z uwagi na zaistniały incydent, ale także na problemy techniczne, organizacyjne, czy finansowe. W przypadku wystąpienia wycieku dużej ilości danych te problemy ulegają znacznemu nawarstwieniu. Informowanie o przypadkach naruszenia danych osobowych to konieczność, a niedostosowanie się do tej zasady może doprowadzić do nałożenia wysokich kar wynikających z przepisów wprowadzonych przez GDPR / RODO.

 

Obowiązek wyznaczenia w organizacji inspektora ochrony danych osobowych (ABI)

Zarządzanie danymi osobowymi wiąże się przede wszystkim z zagwarantowaniem bezpieczeństwa danych oraz procesów ich przetwarzania. Dlatego też każdy administrator danych oraz podmioty przetwarzające dane (także gminy) będą zobligowane do wyznaczenia inspektora ochrony danych osobowych (ABI, czy Administrator Bezpieczeństwa Informacji). Obowiązek ten zgodny jest z treścią artykułu 37. Inspektor ochrony danych będzie pełnił swoje funkcje w przypadkach, kiedy operacje na danych osobowych związane są z regularnym i systematycznym monitorowaniem osób, a także w sytuacjach, kiedy zarządzanie danymi odbywa się na dużą skalę. Wyznaczenie inspektora ochrony danych osobowych może być dodatkowo regulowane przez prawo krajowe.

 

Pozyskanie zgody na przetwarzanie danych osobowych

Dane osobowe, które mają być poddane przetwarzaniu, zgodnie z zapisami GDPR / RODO, wymagają zgody właściciela. Przetwarzanie danych osobowych może odbywać się w różnych celach. Na każdy z nich musi być wyrażona zgoda. Nowe regulacje wprowadzają konkretne wymagania. Zgoda właściciela musi być dobrowolna, świadoma oraz samodzielna, a jej udzielenie może odbyć się w dowolnej formie. Ważne natomiast jest, by administrator danych wykazał niepodważalny fakt wyrażenia zgody na przetwarzanie danych przez ich właściciela.

 

Zasada przejrzystości informacji i komunikatów

Przetwarzanie danych osobowych musi odbywać się z zachowaniem zasady przejrzystości. Reguła ta jest ważnym warunkiem w konstrukcji zapisów GDPR / RODO. Osoby fizyczne, których dane poddawane są przetwarzaniu przez poszczególne podmioty, muszą być informowane za pośrednictwem skierowanych do nich informacji i komunikatów tworzonych zgodnie z zasadą przejrzystości. Wyznaczniki zasady przejrzystości, to: łatwy dostęp do komunikatów i informacji oraz użycie zrozumiałego, klarownego i prostego języka w formułowanych treściach.

 

Rozszerzenie zakresu pojęcia danych osobowych zmieniającego się wraz z postępem technologicznym

Zakres w jakim zawierają się dane osobowe jest stale poszerzany. Warunki jakie stawia przed przetwarzającymi dane GDPR / RODO nie zmieniają definicji danych osobowych. Wprowadzone zostały natomiast trzy pojęcia: dane genetyczne, dane biometryczne oraz dane dotyczące stanu zdrowia. Te trzy typy danych są oddzielnie rozróżniane oraz definiowalne, jednakże w sposób otwarty, gdyż wyczerpująca definicja, z uwagi na rozwój technologiczny, nie jest do końca możliwa. Za przykład mogą posłużyć dane biometryczne, takie jak odciski palców czy wizerunek osoby. Możliwości technologiczne pozwalają jednak na pozyskiwanie coraz to dokładniejszych i bardziej szczegółowych danych tego typu, jak na przykład układ naczyń krwionośnych w dłoni, głos, kształt małżowiny usznej, dane genetyczne, czy podpis właściciela, przy którym bierze się pod uwagę nacisk oraz poziom nachylenia pisma. Technologia rozwija ten przedział danych (zapach osoby, drgania kończyn, pole elektromagnetyczne itp.), dlatego też nie jest stworzona zamknięta definicja tych danych. Ważne jest natomiast, że dane te są danymi szczególnie chronionymi (dane wrażliwe).

 

Obowiązek samooceny przez administratorów

Samoocena prowadzona przez administratorów danych osobowych jest obowiązkiem, który wprowadzony zostaje przez GDPR / RODO. Proces samooceny prowadzony jest w celu określenia ryzyka wynikającego z przetwarzania danych osobowych, związanych z nim zagrożeń oraz skutków. „Privacy impact assesment” na postawie pozyskanych wyników oceny ma prowadzić do szczegółowego określenia niebezpieczeństw, na które narażone są dane osobowe w jednostce, a w konsekwencji do zapewnienia wymaganych środków bezpieczeństwa mających zapobiegać oraz chronić przetwarzane dane osobowe.

 

Rozszerzenie zakresu stosowania przepisów także na firmy działające poza wspólnotą UE

Zapisy GDPR / RODO poszerzają zakres podmiotów, które zobowiązane są do przestrzegania regulacji. Respektowanie praw dotyczących przetwarzania i ochrony danych osobowych tyczy się nie tylko administratorów i przetwarzających, którzy działają na terenie państw członkowskich Unii Europejskiej. Poszerzone oddziaływanie GDPR / RODO obejmuje również podmioty mające swoje siedziby w krajach poza Unią Europejską, które to jednostki przetwarzają dane osobowe oferując swoje usługi lub towary podmiotom i osobom fizycznym na terenie Unii Europejskiej. Regulacje te obowiązują również podmioty, które monitorują zachowania w UE.

 

Zasada ochrony prywatności już w fazie projektowania „privacy by design”

„Privacy by design” to zasada ochrony prywatności, która obowiązuje na etapie projektowania rozwiązań mających w przyszłości służyć skutecznemu i sprawnemu przetwarzaniu danych osobowych. Ochrona prywatności w fazie projektowania („by design”) rozwiązań musi od razu uwzględniać bezpieczeństwo przechowywanych oraz przetwarzanych danych osobowych. Dlatego też kluczowe jest branie pod uwagę stanu wiedzy technicznej oraz kosztów wdrożenia rozwiązań. Ważne jest również określenie charakteru, zakresu, kontekstu oraz, co niezwykle istotne, celu przetwarzania danych. Projektując rozwiązania zakłada się efekt wprowadzenia wytworzonych środków technicznych i organizacyjnych, które pozwolą na skuteczne i bezpieczne przetwarzanie danych. Należy więc również dokonać oceny ryzyk związanych z przetwarzaniem danych osobowych. Kierując się zasadą prywatności w fazie projektowania można być pewnym najlepszych efektów.

 

Domyślna zasada ochrony prywatności „privacy by default”

„Privacy by default” jest zasadą, w której obowiązuje domyślność ochrony prywatności. Kierując się tą regułą administrator zapewnia wymagane środki przetwarzania oraz bezpieczeństwa danych pozwalające na działanie na konkretnych danych, których przetworzenie jest konieczne w uzyskaniu konkretnego celu. Przeznaczenie przetwarzania tych danych może być związane z ilością pozyskiwanych danych, zakresem prowadzonych na nich działań, okresem ich przechowywania oraz dostępnością do nich. Nadrzędnym celem tej zasady jest oczywiście zagwarantowanie wymaganej ochrony zapewniającej skuteczne przetwarzanie danych osobowych.

 

 

Jak dostosować organizację do wymagań rozporządzenia GDPR/RODO

 

 

integralsolutions

Integral Solutions sp. z o.o.
ul. Wspólna 35 lok. 1
00-519 Warszawa 

22 828 33 05 - Sekretariat

22 692 45 38 - Dział Handlowy

22 692 45 36 - Marketing

22 829 81 32 - HR

      

 biuro@integralsolutions.pl

 

   +48 22 692 45 38
 

22 828 33 05 - Sekretariat

22 692 45 38 - Dział Handlowy

22 692 45 36 - Marketing

22 829 81 32 - HR

 

   biuro@integralsolutions.pl

 

ul. Wspólna 35 lok. 1, 00-519 Warszawa

 

      

 

więcej