DNV GL w Polsce

Breadcrumbs

RODO (GDRP) dla większej ochrony danych osobowych

Kontakt:

Jesteś zainteresowany tą usługą?

Zapytaj o ofertę

Chcesz otrzymywać Newsletter DNV GL?

Zapisz się
UDOSTĘPNIJ:
DRUKUJ:
RODO Ochrona danych osobowych DNV GL

GDPR to angielski skrót dla nowego Rozporządzenia o Ochronie Danych Osobowych (RODO), przyjętego przez Parlament Europejski w kwietniu 2016 r., które wchodzi w życie 25 maja 2018 r.

Celem rozporządzenia jest ujednolicenie podejścia do ochrony danych osobowych w ramach całej Unii Europejskiej. Jest to jednocześnie odpowiedź na dynamiczny rozwój użytkowania technologii informatycznych w ostatnich dziesięcioleciach. Zarządzenie GDPR obejmuje wszystkie organizacje przetwarzające jakiekolwiek dane osobowe i określa zasady ochrony, które organizacje mają obowiązek wprowadzić. 

Podstawowe zasady RODO 


Podstawową zasadą jest określenie praw podmiotu danych - osoby fizycznej, której dane są przetwarzane (np. pracownik lub klient). Zgodnie z podstawowym prawem, przetwarzanie danych osobowych wymaga wcześniejszego wyrażenia zgody. Zgoda ta nie jest jednak potrzebna w sytuacjach, gdy przetwarzanie jest niezbędne do realizacji podstawowych obowiązków pracodawcy, co określa kodeks pracy. We wszystkich pozostałych przypadkach warunkiem przetwarzania jest udokumentowana zgoda.
Inne prawa podmiotu danych wg RODO: 

  • prawo dostępu podmiotu do danych, które są objęte przetwarzaniem
  • prawo do korekty nieprawidłowych danych lub ich usunięcia, w tym prawo do bycia "zapomnianym"
  • prawo do ograniczenia przetwarzania niedokładnych lub niepotrzebnych danych
  • prawo do przenoszenia przetwarzanych danych w uporządkowanej postaci itp.

Obowiązki związane z ochroną danych osobowych pełnią: 

  • administratorzy danych (tj. podmioty, które określają cel i środki przetwarzania danych osobowych - np. lekarz, prowadzący dokumentację medyczną swoich pacjentów)
  • podmioty przetwarzające (tj. podmioty, które przetwarzają dane osobowe dla administratorów - np. firma, która pomaga lekarzowi w obsłudze komputera, na którym zapisano dokumentację medyczną).

Główne obowiązki organizacji wg. RODO 


Administratorzy i podmioty przetwarzające mają obowiązek zapewnić niezbędny poziom ochrony danych osobowych i utrzymywać dokumentację dotyczącą celu ich przetwarzania, działań związanych z przetwarzaniem oraz podjętych środków technicznych i organizacyjnych w zakresie ochrony danych osobowych. 

Do nowych obowiązków administratorów i podmiotów przetwarzających te dane należy obowiązek zgłaszania naruszenia bezpieczeństwa danych osobowych, o którym należy niezwłocznie zawiadomić urząd nadzoru (do 72 godzin) od momentu stwierdzenia problemu.Jeżeli przetwarzanie danych osobowych może stanowić duże zagrożenie dla praw i wolności osób fizycznych, administrator ma obowiązek przeprowadzić tzw. ocenę wpływu na ochronę danych osobowych (analizę ryzyka), co oznacza przeprowadzenie szczegółowego zmapowania celów i metod przetwarzania, określenie możliwego ryzyka i zaproponowanie odpowiednich środków zminimalizowania takiego ryzyka. Ocenę wpływu na ochronę danych osobowych należy obowiązkowo wykonać w przypadkach systematycznej analizy danych osobowych (np. w zakładach ubezpieczeń), przetwarzania w większym zakresie wrażliwych danych osobowych (np. dokumentacji medycznej w szpitalach), lub monitorowania na dużą skalę przestrzeni publicznej.

Kolejnym obowiązkiem administratora i podmiotu przetwarzającego jest wyznaczenie tzw. pełnomocnika ochrony danych osobowych. Musi go wyznaczyć każdy administrator i podmiot przetwarzający, który jest częścią urzędu administracji publicznej lub którego główna działalność polega na systematycznym monitorowaniu danych osobowych lub przetwarzaniu wrażliwych danych osobowych na dużą skalę. W praktyce oznacza to, że pełnomocnika musi na przykład wyznaczyć szpital, ale w małych przychodniach nie jest to konieczne. Do głównych zadań pełnomocnika należy udzielanie porad w zakresie ochrony danych osobowych, monitorowanie zgodności i współpraca z urzędami nadzorującymi.

Wysokie kary finansowe 


Do tej pory za naruszenie przepisów ustawy o ochronie danych osobowych groziła odpowiedzialność administracyjna, karna, cywilna i dyscyplinarna. RODO wprowadza dość dotkliwe kary finansowe, które mogą wynieść nawet 10 milionów EUR lub 2% obrotu spółki w przypadkach zaniedbania obowiązków administratora lub podmiotu przetwarzającego. W sytuacjach naruszenia zasad ochrony, naruszenia praw podmiotu danych lub niewykonania poleceń organów nadzorujących, kary mogą wynieść nawet 20 milionów EURO lub 4% obrotu, co stanowi znaczną sumę. 

Przepisy RODO stanowią istotną zmianę, która wpłynie na wszystkie firmy działające na polskim rynku. Doświadczenie pokazuje, że przygotowania do zapewnienia zgodności na tak dużą skalę mają miejsce głównie w większych organizacjach i skupiają się przede wszystkim na problematyce legislacyjnej (optymalizacja zgód na przetwarzanie danych osobowych lub kontrola umów między administratorami i podmiotami przetwarzającymi). Aktualnie oczekujemy opublikowania zaleceń związanych z realizacją środków technicznych i organizacyjnych. Mamy nadzieję, że zalecenia te będą oparte na dobrych praktykach, które w zakresie bezpieczeństwa informacji są nierozłącznie związane z normą ISO/IEC 27001 która już dziś stanowi skuteczną instrukcję, jak przetrwać RODO/GDPR.

Wyślij wiadomość Kontakt z Business Assurance Chcesz wiedzieć więcej na powyższy temat lub masz inne pytania?