LexDigital

Utrzymanie zgodności z RODO

Rozporządzenie ogólne o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) kładzie nacisk na to, aby zapewnianie bezpieczeństwa danych osobowych stanowiło proces, który trwa w organizacji przez cały czas jej funkcjonowania. Administratorzy danych i podmioty przetwarzające dane w ich imieniu powinni nieustannie dążyć do zwiększania poziomu bezpieczeństwa danych.

Utrzymanie zgodności z RODO

Ochrona danych osobowych w firmie jako proces

Dotychczasowe przepisy ustawy o ochronie danych osobowych, uchwalonej w roku 1997 koncentrowały się na obowiązkach administratorów danych związanych ze spełnieniem określonych wymagań formalnych. Administrator danych osobowych był zobowiązany do wdrożenia zabezpieczeń wskazanych w treści rozporządzenia wykonawczego do ustawy, przygotowania dokumentacji (zwłaszcza polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym), której treść również była szczegółowo regulowana przez przepisy ustawy i rozporządzenia wykonawczego. Dodatkowo konieczne było zgłoszenie posiadania zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych. Stanowiło to kłopotliwe wymogi formalne, będące utrudnieniem dla wielu przedsiębiorców. Eksperci krytykowali te rozwiązania, wskazując że konieczność przygotowywania dokumentacji w oderwaniu od charakteru działalności biznesowej organizacji nie przyczynia się do poprawy bezpieczeństwa danych, a zgłaszanie zbiorów do GIODO pozostaje bez znaczenia dla realizacji praw osób, których dane dotyczą.

Przepisy RODO zmieniają podejście do ochrony danych osobowych. Nie wskazują na konkretne rozwiązania, które muszą być wdrożone aby doprowadzić do odpowiedniego zabezpieczania danych. Likwidują również wymóg zgłaszania zbiorów baz danych do organów nadzorczych. Dodatkowo, dokumentacja dotycząca ochrony danych osobowych, obowiązująca w przedsiębiorstwie nie jest objęta sztywnymi wymaganiami i możliwe jest jej stworzenie w taki sposób aby była ona dopasowana do charakteru konkretnej organizacji.

Zapobieganie incydentom bezpieczeństwa

Zgodnie z przepisami RODO, celem stosowania regulacji dot. ochrony danych osobowych jest ochrona praw i wolności osób fizycznych, których dane są przetwarzane. Powinno to obejmować zapobieganie ewentualnym incydentom bezpieczeństwa. Należy tutaj wskazać, że przez naruszenie ochrony danych osobowych rozumie się nie tylko wyciek danych z organizacji, ale także np. przetwarzanie ich przez nieupoważnionego pracownika, utratę dostępu do danych, uszkodzenie nośnika z danymi czy też zdarzenie losowe, które uniemożliwia operacje na danych osobowych (np. pożar). Zadaniem administratora danych osobowych jest ochrona danych przed tego rodzaju zagrożeniami.

Rozporządzenie wskazuje, że celem każdego z administratorów i podmiotów przetwarzających jest wdrożenie odpowiednich środków technicznych i organizacyjnych tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. Administratorzy powinni przy tym uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst oraz cele przetwarzania danych osobowych. Na tej podstawie konieczna jest ocena ryzyka związanego z przetwarzaniem danych osobowych, uwzględniającego ewentualne naruszenia poufności, integralności lub dostępności danych osobowych.

Rozporządzenie zawiera w swojej treści zasadę privacy by design, oznaczającą, że administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. Należy więc podkreślić, że ochrona danych osobowych nie jest działaniem jednorazowym a ciągłym procesem. Kwestia bezpieczeństwa danych musi być wzięta pod uwagę już na etapie planowania działalności, a następnie – powinna stanowić istotny element działalności organizacji przez cały czas jej trwania. Stąd też konieczne jest ciągłe badanie potencjalnych (nowych) zagrożeń dla bezpieczeństwa danych i dostosowywanie do nich ewentualnych zabezpieczeń. Rozporządzenie wskazuje, że elementem wdrażania odpowiednich technicznych i organizacyjnych zabezpieczeń danych może być m.in. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Inspektor Ochrony Danych

Osobą, która może na bieżąco brać udział w kontrolowaniu przestrzegania zasad dot. ochrony danych osobowych w organizacji jest Inspektor Ochrony Danych. Jego powołanie jest obligatoryjne w trzech przypadkach:

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  1. Gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  2. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Nie istnieją natomiast jakiekolwiek przeszkody, które uniemożliwiałyby powołanie Inspektora Ochrony Danych przez inne podmioty, nawet w sytuacji gdy nie są one do tego zobowiązane na gruncie przepisów RODO. W takim przypadku jego powołanie jest dobrowolne.

Warto tutaj podkreślić, że zgodnie z przepisami RODO jednym z zadań Inspektora Ochrony Danych jest monitorowanie przestrzegania przepisów RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych jak również polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Tym samym Inspektor Ochrony Danych może być osobą, która odpowiada za bieżące kontrolowanie przestrzegania przepisów RODO w danej organizacji. Może w tym zakresie również kierować określone wskazówki, uwagi oraz zalecenia do administratora danych. Należy wskazać, że administrator nie może wywierać na Inspektora Ochrony Danych nacisków, które mogłyby prowadzić do zmiany jego opinii. Ponadto konieczne jest podkreślenie, że Inspektor Ochrony Danych nie odpowiada za przestrzeganie przepisów RODO w organizacji – stanowi to bowiem obowiązek administratora, który nie może być scedowany na Inspektora. Inspektor jest jedynie organem doradczym w tym zakresie.

Umowy powierzenia przetwarzania danych osobowych

Konieczne jest wskazanie, że w przypadku gdy administrator powierza do przetwarzania dane osobowe w swoim imieniu na rzecz podmiotu trzeciego, powinien zawrzeć z nim stosowną umowę powierzenia przetwarzania danych osobowych. Również w takiej umowie powinny znaleźć się zapisy dotyczące prowadzenia przez podmiot przetwarzający ciągłych działań mających na celu zwiększanie bezpieczeństwa przetwarzanych danych osobowych i minimalizowanie ryzyka wycieków danych oraz uzyskania dostępu do nich przez osoby postronne. Należy przy tym pamiętać że administrator powinien mieć w umowie powierzenia przetwarzania danych osobowych zagwarantowane określone uprawnienia kontrolne i audytowe, które umożliwiają mu sprawdzenie tego, czy podmiot przetwarzający wprowadził odpowiednie organizacyjne i techniczne środki bezpieczeństwa danych. Podmiot przetwarzający również powinien uwzględnić przy tym ryzyko naruszenia praw i wolności osób fizycznych oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych. Dzięki temu administrator może zwiększyć poziom bezpieczeństwa swoich danych osobowych również w zakresie w jakim dostęp do nich ma podmiot przetwarzający. Dochodzi więc do przeniesienia części odpowiedzialności na inną organizację.


Sprawdź również:

Polecane

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Popularne

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineJULAFibar GroupPixersWykop.plGPD AgencyNetguruTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.