LexDigital

Utrzymanie zgodności z RODO

Rozporządzenie ogólne o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) kładzie nacisk na to, aby zapewnianie bezpieczeństwa danych osobowych stanowiło proces, który trwa w organizacji przez cały czas jej funkcjonowania. Administratorzy danych i podmioty przetwarzające dane w ich imieniu powinni nieustannie dążyć do zwiększania poziomu bezpieczeństwa danych.

Utrzymanie zgodności z RODO

Ochrona danych osobowych w firmie jako proces

Dotychczasowe przepisy ustawy o ochronie danych osobowych, uchwalonej w roku 1997 koncentrowały się na obowiązkach administratorów danych związanych ze spełnieniem określonych wymagań formalnych. Administrator danych osobowych był zobowiązany do wdrożenia zabezpieczeń wskazanych w treści rozporządzenia wykonawczego do ustawy, przygotowania dokumentacji (zwłaszcza polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym), której treść również była szczegółowo regulowana przez przepisy ustawy i rozporządzenia wykonawczego. Dodatkowo konieczne było zgłoszenie posiadania zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych. Stanowiło to kłopotliwe wymogi formalne, będące utrudnieniem dla wielu przedsiębiorców. Eksperci krytykowali te rozwiązania, wskazując że konieczność przygotowywania dokumentacji w oderwaniu od charakteru działalności biznesowej organizacji nie przyczynia się do poprawy bezpieczeństwa danych, a zgłaszanie zbiorów do GIODO pozostaje bez znaczenia dla realizacji praw osób, których dane dotyczą.

Przepisy RODO zmieniają podejście do ochrony danych osobowych. Nie wskazują na konkretne rozwiązania, które muszą być wdrożone aby doprowadzić do odpowiedniego zabezpieczania danych. Likwidują również wymóg zgłaszania zbiorów baz danych do organów nadzorczych. Dodatkowo, dokumentacja dotycząca ochrony danych osobowych, obowiązująca w przedsiębiorstwie nie jest objęta sztywnymi wymaganiami i możliwe jest jej stworzenie w taki sposób aby była ona dopasowana do charakteru konkretnej organizacji.

Zapobieganie incydentom bezpieczeństwa

Zgodnie z przepisami RODO, celem stosowania regulacji dot. ochrony danych osobowych jest ochrona praw i wolności osób fizycznych, których dane są przetwarzane. Powinno to obejmować zapobieganie ewentualnym incydentom bezpieczeństwa. Należy tutaj wskazać, że przez naruszenie ochrony danych osobowych rozumie się nie tylko wyciek danych z organizacji, ale także np. przetwarzanie ich przez nieupoważnionego pracownika, utratę dostępu do danych, uszkodzenie nośnika z danymi czy też zdarzenie losowe, które uniemożliwia operacje na danych osobowych (np. pożar). Zadaniem administratora danych osobowych jest ochrona danych przed tego rodzaju zagrożeniami.

Rozporządzenie wskazuje, że celem każdego z administratorów i podmiotów przetwarzających jest wdrożenie odpowiednich środków technicznych i organizacyjnych tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. Administratorzy powinni przy tym uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst oraz cele przetwarzania danych osobowych. Na tej podstawie konieczna jest ocena ryzyka związanego z przetwarzaniem danych osobowych, uwzględniającego ewentualne naruszenia poufności, integralności lub dostępności danych osobowych.

Rozporządzenie zawiera w swojej treści zasadę privacy by design, oznaczającą, że administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. Należy więc podkreślić, że ochrona danych osobowych nie jest działaniem jednorazowym a ciągłym procesem. Kwestia bezpieczeństwa danych musi być wzięta pod uwagę już na etapie planowania działalności, a następnie – powinna stanowić istotny element działalności organizacji przez cały czas jej trwania. Stąd też konieczne jest ciągłe badanie potencjalnych (nowych) zagrożeń dla bezpieczeństwa danych i dostosowywanie do nich ewentualnych zabezpieczeń. Rozporządzenie wskazuje, że elementem wdrażania odpowiednich technicznych i organizacyjnych zabezpieczeń danych może być m.in. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Inspektor Ochrony Danych

Osobą, która może na bieżąco brać udział w kontrolowaniu przestrzegania zasad dot. ochrony danych osobowych w organizacji jest Inspektor Ochrony Danych. Jego powołanie jest obligatoryjne w trzech przypadkach:

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  1. Gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  2. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Nie istnieją natomiast jakiekolwiek przeszkody, które uniemożliwiałyby powołanie Inspektora Ochrony Danych przez inne podmioty, nawet w sytuacji gdy nie są one do tego zobowiązane na gruncie przepisów RODO. W takim przypadku jego powołanie jest dobrowolne.

Warto tutaj podkreślić, że zgodnie z przepisami RODO jednym z zadań Inspektora Ochrony Danych jest monitorowanie przestrzegania przepisów RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych jak również polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Tym samym Inspektor Ochrony Danych może być osobą, która odpowiada za bieżące kontrolowanie przestrzegania przepisów RODO w danej organizacji. Może w tym zakresie również kierować określone wskazówki, uwagi oraz zalecenia do administratora danych. Należy wskazać, że administrator nie może wywierać na Inspektora Ochrony Danych nacisków, które mogłyby prowadzić do zmiany jego opinii. Ponadto konieczne jest podkreślenie, że Inspektor Ochrony Danych nie odpowiada za przestrzeganie przepisów RODO w organizacji – stanowi to bowiem obowiązek administratora, który nie może być scedowany na Inspektora. Inspektor jest jedynie organem doradczym w tym zakresie.

Umowy powierzenia przetwarzania danych osobowych

Konieczne jest wskazanie, że w przypadku gdy administrator powierza do przetwarzania dane osobowe w swoim imieniu na rzecz podmiotu trzeciego, powinien zawrzeć z nim stosowną umowę powierzenia przetwarzania danych osobowych. Również w takiej umowie powinny znaleźć się zapisy dotyczące prowadzenia przez podmiot przetwarzający ciągłych działań mających na celu zwiększanie bezpieczeństwa przetwarzanych danych osobowych i minimalizowanie ryzyka wycieków danych oraz uzyskania dostępu do nich przez osoby postronne. Należy przy tym pamiętać że administrator powinien mieć w umowie powierzenia przetwarzania danych osobowych zagwarantowane określone uprawnienia kontrolne i audytowe, które umożliwiają mu sprawdzenie tego, czy podmiot przetwarzający wprowadził odpowiednie organizacyjne i techniczne środki bezpieczeństwa danych. Podmiot przetwarzający również powinien uwzględnić przy tym ryzyko naruszenia praw i wolności osób fizycznych oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych. Dzięki temu administrator może zwiększyć poziom bezpieczeństwa swoich danych osobowych również w zakresie w jakim dostęp do nich ma podmiot przetwarzający. Dochodzi więc do przeniesienia części odpowiedzialności na inną organizację.


Sprawdź również:

Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.