25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO).
Jak RODO normuje zabezpieczenia danych?
Jednym z podstawowych celów ogólnego rozporządzenia o ochronie danych było dostosowanie zasad ochrony danych do wyzwań XXI wieku, takich jak internet rzeczy, czytniki RFID czy przetwarzanie danych w chmurze obliczeniowej. Prawo nigdy nie nadąży za rozwojem technologicznym, stąd też wiele przepisów rozporządzenia jest bardzo ogólnych i przede wszystkim technologicznie neutralnych (bez odniesień do konkretnych rozwiązań) – po to aby rozporządzenie zachowało aktualność również za 5 czy 10 lat.
Z powyższych względów przyjęto w rozporządzeniu koncepcja uwzględniania w każdym procesie przetwarzania danych ryzyka dla praw i wolności, jakie może nieść to przetwarzanie i każdorazowe dostosowywanie wykorzystywanych narzędzi zabezpieczających dane to tego ryzyka.
##baner##
Do czego będzie zobowiązany każdy administrator danych?
Każdy administrator danych zobowiązany jest do tego, żeby dane osobowe przetwarzał z poszanowaniem podstawowych zasad.
W kontekście nadchodzących zmian szczególną uwagę warto zwrócić na zasadę integralności i poufności. Rozporządzenie definiuje ją tak: „Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.
Każdy, kto przetwarza dane osobowe, musi więc odpowiednio je zabezpieczyć, tak by uniemożliwić ich nieuprawnione udostępnienie. W ogólnym rozporządzeniu nie znajdziemy jednak szczegółowych wskazówek, jakie środki organizacyjne i techniczne wdrożyć. Rozporządzenie zachęca jedynie do skorzystania z narzędzi pseudonimizacji bądź szyfrowania danych.
W przepisach RODO nie znajdziemy też minimalnych standardów technicznych bezpieczeństwa danych, a w maju 2018 roku przestanie w dodatku obowiązywać rozporządzenie techniczne MSWiA do ustawy o ochronie danych osobowych (gdzie mamy chociażby wskazówki dotyczące częstotliwości zmiany hasła).
Zgodnie z zasadą rozliczalności, to administrator danych – uwzględniając aktualny stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres i cele przetwarzania danych – samodzielnie będzie decydował, jakie środki bezpieczeństwa wdrożyć, żeby zapewnić zgodność przetwarzania danych z wymogami rozporządzenia.
Może zatem uznać, że od maja 2018 r. nadal aktualne pozostaną środki techniczne i organizacyjne wdrożone i udokumentowane w dotychczasowej polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym, bądź też podjąć decyzję o wdrożeniu zupełnie nowych środków.
Jakich ryzyk trzeba się wystrzegać?
Ważne jest, aby oceniając stopień bezpieczeństwa przetwarzanych danych osobowych, uwzględnić przede wszystkim ryzyko wiążące się z przetwarzaniem – wynikające np. z przypadkowego czy niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ryzyko to może prowadzić do kradzieży tożsamości, straty majątkowej, czy też naruszenia dóbr osobistych osoby, których te dane dotyczą.
W sytuacji, gdyby doszło to takiego naruszenia ochrony danych, każdy administrator będzie zobowiązany do zgłoszenia tego faktu do organowi regulacyjnemu, a w szczególnych przypadkach także do osób, których dane zostały naruszone.
W tym aspekcie pomocne może być stosowanie zatwierdzonych przez ten organ po 25 maja 2018 r. kodeksów postępowania. W tych właśnie dokumentach możliwe będzie doprecyzowanie przepisów ogólnego rozporządzenia, także tych dotyczących bezpieczeństwa danych.
Grupa administratorów danych – np. zrzeszonych w izbie czy związku branżowym – może w opracowanym kodeksie zaproponować modelowe rozwiązania techniczne mające na celu zapewnienie poufności i integralności danych, a które będą ponadto bardzo pomocne dla wszystkich administratorów, którzy zobowiążą się do stosowania kodeksu.
Innym rozwiązaniem, dzięki któremu będzie można wykazać wywiązywanie się z obowiązku zabezpieczania danych, będzie stosowanie mechanizmu certyfikacji, a więc uzyskiwanie stosownych certyfikatów i znaków jakości potwierdzających właściwe zabezpieczenie danych osobowych.
Źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy i zarządzania środkami bezpieczeństwa mogą być również, krajowe, europejskie lub międzynarodowe normy, w tym normy ISO.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).
Potrzebujesz porady prawnej?
Jak powołać inspektora ochrony danych?
Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów (...)
Dokumentacja przetwarzania danych osobowych według RODO
Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych (...)
Obowiązki związane z naruszeniami ochrony danych osobowych
Co to jest naruszenie danych osobowych? Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (...)
Na czym polega powierzenie przetwarzania danych osobowych i jakie wiążą się z tym obowiązki?
Powierzenie przetwarzania danych innemu podmiotowi jest uregulowane w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2015.2135 z późn. zm.) – dalej „u.o.d.o.” Zgodnie z art. 31. u.o.d.o. 1. Administrator danych może powierzyć innemu (...)
Dokumentacja papierowa zawierająca dane osobowe a praca zdalna
Pracodawca w wyjątkowych sytuacjach może zezwolić pracownikom na korzystanie w pracy zdalnej z dokumentacji papierowej zawierającej dane osobowe. Wiąże się to jednak z większym ryzykiem naruszenia bezpieczeństwa danych osobowych oraz związaną z nim koniecznością (...)
Ocena skutków dla ochrony danych
Kto ma obowiązek oceny skutków dla ochrony danych? RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności (...)
Zasady RODO - nowe podejście do ochrony danych osobowych
W swym założeniu RODO ma na celu wzmocnienie podstawowych praw obywateli w epoce cyfrowej oraz ułatwienie przedsiębiorstwom i organizacjom działania na wspólnym rynku (gdyż gwarantuje jednolitą ochronę danych osobowych w Unii Europejskiej). RODO ma zastosowanie od 25 maja 2018 r. Nowe (...)
Przetwarzanie danych przy rekrutacji pracowników a RODO
Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać? Rekrutacja po nowemu 25 maja 2018 roku we wszystkich (...)
RODO w pracy - przetwarzanie danych w miejscu pracy.
Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych. Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony (...)
Nowa ustawa o ochronie danych osobowych!
Ustawa o ochronie danych osobowych w założeniu ma zapewnić lepszą ochronę danych osobowych. Nowe regulacje wynikają z konieczności zapewnienia w Polsce skutecznego stosowania rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie (...)
Ewidencjonowanie wejść i wyjść a obowiązek informacyjny
Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO. Utrwalanie danych w ewidencji wejść i wyjść nie zawsze musi mieć miejsce, jeżeli jednak (...)
Skład podatkowy - jak go otworzyć?
Skład podatkowy - czyli co? Skład podatkowy to miejsce określone w zezwoleniu, w którym wyroby akcyzowe są produkowane, magazynowane lub przeładowywane w procedurze zawieszenia poboru akcyzy. Skład podatkowy to także miejsce, do którego wymienione wyroby są wprowadzane bądź (...)
Ustawa wdrażająca dyrektywę „policyjną” już obowiązuje
6 lutego 2019 r. weszła w życie ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125), wdrażająca do polskiego porządku prawnego dyrektywę 2016/680, zwana (...)
Mniej wolności i prywatności dla większego bezpieczeństwa...
Bezpieczeństwo bez kompromisów Łatwiejszy dostęp organów ścigania do informacji finansowych osób podejrzanych o terroryzm, dane biometryczne we wszystkich dowodach tożsamości, nowa lista zakazanych substancji, które mogą być wykorzystywane do produkcji (...)
Opodatkowanie akcyzą płynu do papierosów elektronicznych i wyrobów nowatorskich
Przeczytaj ważne informacje na temat prawidłowego prowadzenia działalności gospodarczej w zakresie płynu do papierosów elektronicznych i wyrobów nowatorskich. Opodatkowanie akcyzą Podstawowym aktem prawnym dotyczącym podatku akcyzowego w Polsce jest ustawa o podatku akcyzowym, która (...)
Dane dzieci bezpieczne w Internecie
Wraz z rozwojem nowych technologii liczba zagrożeń związanych z utratą danych stale rośnie. Najbardziej narażone na nie są dzieci. Dostęp do nieodpowiednich treści to niewątpliwie jedno z największych zagrożeń, jakie czyha na najmłodszych użytkowników. Niestety, większość (...)
Zasady przetwarzania danych osobowych oraz ich zabezpieczanie
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, nadto administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych (...)
Nowelizacja ustawy o ochronie danych osobowych
Sejm znowelizował ustawę o ochronie danych osobowych. Zmiany mają na celu dostosowanie tej regulacji do prawa unijnego.Doprecyzowano m. in. słowniczek ustawowy. Zgodnie z nowelą, za administratora danych osobowych rozumieć należy organ, jednostkę organizacyjną lub osobę, do której zastosowanie (...)
Transfer danych UE-USA: ważny wyrok
Ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej - wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał wyrok w sprawie C-311/18 - Data Protection Commissioner przeciwko (...)
Szykuje się skuteczniejszy pobór abonamentu RTV
Abolicja dla osób posiadających zaległości z tytułu nieuiszczania opłat abonamentowych, uproszczona rejestracja odbiorników i poprawa skuteczności poboru abonamentu RTV, a tym samym wsparcie dla misji pełnionej przez media publiczne – to główne założenia proponowanej (...)
