GDPR/RODO – czym jest i jak się do niego przygotować?

25 maja 2018 wchodzi w życie nowa regulacja UE o nazwie GDPR (General Data Protection Regulation) i będzie obowiązywała we wszystkich krajach UE. Większość firm w Polsce będzie objętych tą regulacją.Proponujemy chwilę refleksji: czy Państwa organizacja (przedsiębiorstwo) jest przygotowana na nadchodzące zmiany dotyczące ochrony danych osobowych?

 Kogo dotyczą zmiany prawne objęte regulacją GDPR?

Regulacja o nazwie GDPR, a w Polsce nosząca nazwę RODO (Rozporządzenie o Ochronie Danych osobowych) dotyczyć będzie ochrony danych osobowych, które są gromadzone i/lub przetwarzane przez organizacje (firmy lub instytucje publiczne) działające na terenie UE.

 Szczegółowe normy i wymogi formalne dotyczące przetwarzania danych osobowych w odniesieniu do regulacji EU oraz różnice w stosunku do aktualnej regulacji GIODO.

Wymogi formalne  określone w regulacji są opisane bardzo obszernie, najważniejsze z nich to:

 1.       Zgodności z prawem (warunki określające zasady gromadzenia i przetwarzania danych):

  • gdy jest zgoda osoby, której dane mają być przetwarzane,
  • gdy jest to niezbędne do wykonania umowy – dane są wymagane do np. realizacji zlecenia umowy kupna-sprzedaży,
  • gdy jest to niezbędne ze względu na inne prawo – instytucje publiczne,
  • gdy jest to niezbędne dla interesu publicznego – policja, wojsko, służby itd.

2.       Rzetelność i prawidłowość przetwarzania danych osobowych.

Podstawową kwestią związaną z ochroną gromadzonych oraz przetwarzanych danych osobowych jest ich  poprawność i aktualność a przetwarzanie powinno przebiegać bez zakłóceń. Innymi słowy regulacja nakłada na organizację wymóg posiadania wdrożonych środków technicznych i organizacyjnych pozwalających na modyfikacje/korektę danych, zmniejszenie ryzyka błędów oraz usunięcie nieprawidłowych danych.

3.       Ograniczenia celu przetwarzania danych osobowych.

Dane osobowe mogą być zbierane tylko i wyłączenie w ściśle określonym celu, na który zgodę wyraża osoba, której dane będą przetwarzane. Każdy nowy cel przetwarzania danych osobowych, który nie był zawarty w bieżącej umowie pomiędzy stronami wymaga uzyskania kolejnej akceptacji.
Powyższe wymagania dotyczą również zgód marketingowych i profilowania danych.

4.       Minimalizacji danych.

Zakres pozyskiwanych danych musi być adekwatny i ograniczony do minimum niezbędnego dla realizacji wskazanego celu: ma zawierać tylko niezbędne dane do realizacji danego celu oraz powinien zostać zdefiniowany zakres czasowy, w którym będą przetwarzane dane osobowe.

5.       Integralności i poufności.

Zasada integralności i poufności danych osobowych bezpośrednio odnosi się do bezpieczeństwa danych osobowych, które są przetwarzane przez organizacje.

Aby organizacja spełniała założenia regulacji powinna:

  • zagwarantować odpowiedni poziom bezpieczeństwa przetwarzanych danych osobowych,
  • zagwarantować, że dane nie zostaną w sposób nieautoryzowany usunięte, dodane, zmodyfikowane czy ujawnione,
  • gwarantować domyślną ochronę danych.

6.       Rozliczalności.

Administrator danych osobowych powinien byś w stanie wykazać, że stosowane przez niego metody (wdrożone środki techniczne i/lub organizacyjne) są zgodne z rozporządzeniem oraz są skuteczne. Jedna z podstawowych ale nie najbardziej efektywnych metod jest tworzenie skrupulatnej dokumentacji, lecz w przypadku złożonych infrastruktur należałoby się zastanowić nad wdrożeniem odpowiednich mechanizmów pozwalających usprawnić ten proces.

7.       Przejrzystości umów.

Umowy dotyczące przetwarzania danych osobowych powinny być sformułowane prostym i zrozumiałym językiem, domyślnie oznacza to iż umowy mają zawierać krótkie komunikaty i nie mogą zawierać informacji umieszczonych tak zwanym „drobnym drukiem”.

Konsekwencje nie przyporządkowania się nowym regulacjom.

Aktualna ustawa o ochronie danych osobowych pozwala nałożyć na organizację za pośrednictwem GIODO jednorazowej maksymalnej kary w wysokości 50 tys. zł.

Nowa ustawa będzie zawierała znaczące kary za niespełnienie jej wymagań. Najwyższa karą za nieprzestrzeganie wymagań ustawy GDPR/RODO to 20 mln EUR lub 4% globalnych obrotów przedsiębiorstwa.

Uwaga:

Więcej informacji podaliśmy w artykule zamieszczonym przez nas stronie Computerworld – Link

2017-10-05T11:41:38+00:00

Zostaw komentarz