LexDigital

Utrzymanie zgodności z RODO

Rozporządzenie ogólne o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) kładzie nacisk na to, aby zapewnianie bezpieczeństwa danych osobowych stanowiło proces, który trwa w organizacji przez cały czas jej funkcjonowania. Administratorzy danych i podmioty przetwarzające dane w ich imieniu powinni nieustannie dążyć do zwiększania poziomu bezpieczeństwa danych.

Utrzymanie zgodności z RODO

Ochrona danych osobowych w firmie jako proces

Dotychczasowe przepisy ustawy o ochronie danych osobowych, uchwalonej w roku 1997 koncentrowały się na obowiązkach administratorów danych związanych ze spełnieniem określonych wymagań formalnych. Administrator danych osobowych był zobowiązany do wdrożenia zabezpieczeń wskazanych w treści rozporządzenia wykonawczego do ustawy, przygotowania dokumentacji (zwłaszcza polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym), której treść również była szczegółowo regulowana przez przepisy ustawy i rozporządzenia wykonawczego. Dodatkowo konieczne było zgłoszenie posiadania zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych. Stanowiło to kłopotliwe wymogi formalne, będące utrudnieniem dla wielu przedsiębiorców. Eksperci krytykowali te rozwiązania, wskazując że konieczność przygotowywania dokumentacji w oderwaniu od charakteru działalności biznesowej organizacji nie przyczynia się do poprawy bezpieczeństwa danych, a zgłaszanie zbiorów do GIODO pozostaje bez znaczenia dla realizacji praw osób, których dane dotyczą.

RODO, zgodność z RODO, przetwarzanie danych osobowych

Przepisy RODO zmieniają podejście do ochrony danych osobowych. Nie wskazują na konkretne rozwiązania, które muszą być wdrożone aby doprowadzić do odpowiedniego zabezpieczania danych. Likwidują również wymóg zgłaszania zbiorów baz danych do organów nadzorczych. Dodatkowo, dokumentacja dotycząca ochrony danych osobowych, obowiązująca w przedsiębiorstwie nie jest objęta sztywnymi wymaganiami i możliwe jest jej stworzenie w taki sposób aby była ona dopasowana do charakteru konkretnej organizacji.

Zapobieganie incydentom bezpieczeństwa

Zgodnie z przepisami RODO, celem stosowania regulacji dot. ochrony danych osobowych jest ochrona praw i wolności osób fizycznych, których dane są przetwarzane. Powinno to obejmować zapobieganie ewentualnym incydentom bezpieczeństwa. Należy tutaj wskazać, że przez naruszenie ochrony danych osobowych rozumie się nie tylko wyciek danych z organizacji, ale także np. przetwarzanie ich przez nieupoważnionego pracownika, utratę dostępu do danych, uszkodzenie nośnika z danymi czy też zdarzenie losowe, które uniemożliwia operacje na danych osobowych (np. pożar). Zadaniem administratora danych osobowych jest ochrona danych przed tego rodzaju zagrożeniami.

Rozporządzenie wskazuje, że celem każdego z administratorów i podmiotów przetwarzających jest wdrożenie odpowiednich środków technicznych i organizacyjnych tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. Administratorzy powinni przy tym uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst oraz cele przetwarzania danych osobowych. Na tej podstawie konieczna jest ocena ryzyka związanego z przetwarzaniem danych osobowych, uwzględniającego ewentualne naruszenia poufności, integralności lub dostępności danych osobowych.

Rozporządzenie zawiera w swojej treści zasadę privacy by design, oznaczającą, że administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. Należy więc podkreślić, że ochrona danych osobowych nie jest działaniem jednorazowym a ciągłym procesem. Kwestia bezpieczeństwa danych musi być wzięta pod uwagę już na etapie planowania działalności, a następnie – powinna stanowić istotny element działalności organizacji przez cały czas jej trwania. Stąd też konieczne jest ciągłe badanie potencjalnych (nowych) zagrożeń dla bezpieczeństwa danych i dostosowywanie do nich ewentualnych zabezpieczeń. Rozporządzenie wskazuje, że elementem wdrażania odpowiednich technicznych i organizacyjnych zabezpieczeń danych może być m.in. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Inspektor Ochrony Danych

Osobą, która może na bieżąco brać udział w kontrolowaniu przestrzegania zasad dot. ochrony danych osobowych w organizacji jest Inspektor Ochrony Danych. Jego powołanie jest obligatoryjne w trzech przypadkach:

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  1. Gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  2. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Nie istnieją natomiast jakiekolwiek przeszkody, które uniemożliwiałyby powołanie Inspektora Ochrony Danych przez inne podmioty, nawet w sytuacji gdy nie są one do tego zobowiązane na gruncie przepisów RODO. W takim przypadku jego powołanie jest dobrowolne.

Warto tutaj podkreślić, że zgodnie z przepisami RODO jednym z zadań Inspektora Ochrony Danych jest monitorowanie przestrzegania przepisów RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych jak również polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Tym samym Inspektor Ochrony Danych może być osobą, która odpowiada za bieżące kontrolowanie przestrzegania przepisów RODO w danej organizacji. Może w tym zakresie również kierować określone wskazówki, uwagi oraz zalecenia do administratora danych. Należy wskazać, że administrator nie może wywierać na Inspektora Ochrony Danych nacisków, które mogłyby prowadzić do zmiany jego opinii. Ponadto konieczne jest podkreślenie, że Inspektor Ochrony Danych nie odpowiada za przestrzeganie przepisów RODO w organizacji – stanowi to bowiem obowiązek administratora, który nie może być scedowany na Inspektora. Inspektor jest jedynie organem doradczym w tym zakresie.

Umowy powierzenia przetwarzania danych osobowych

Konieczne jest wskazanie, że w przypadku gdy administrator powierza do przetwarzania dane osobowe w swoim imieniu na rzecz podmiotu trzeciego, powinien zawrzeć z nim stosowną umowę powierzenia przetwarzania danych osobowych. Również w takiej umowie powinny znaleźć się zapisy dotyczące prowadzenia przez podmiot przetwarzający ciągłych działań mających na celu zwiększanie bezpieczeństwa przetwarzanych danych osobowych i minimalizowanie ryzyka wycieków danych oraz uzyskania dostępu do nich przez osoby postronne. Należy przy tym pamiętać że administrator powinien mieć w umowie powierzenia przetwarzania danych osobowych zagwarantowane określone uprawnienia kontrolne i audytowe, które umożliwiają mu sprawdzenie tego, czy podmiot przetwarzający wprowadził odpowiednie organizacyjne i techniczne środki bezpieczeństwa danych. Podmiot przetwarzający również powinien uwzględnić przy tym ryzyko naruszenia praw i wolności osób fizycznych oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych. Dzięki temu administrator może zwiększyć poziom bezpieczeństwa swoich danych osobowych również w zakresie w jakim dostęp do nich ma podmiot przetwarzający. Dochodzi więc do przeniesienia części odpowiedzialności na inną organizację.


Sprawdź również:

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk