OCHRONA DANYCH OSOBOWYCH ELEMENTEM BEZPIECZEŃSTWA INFORMACJI
Anna Słodczyk ©
(żadne niżej wymienione informacje nie stanowią opinii, ani źródła prawa, a ze względu na szybki postęp zmian należy zwracać uwagę na datę)
Wykaz podstawowych, aktualnie obowiązujących wszystkie organizacje i firmy, aktów prawnych dot. ochrony danych osobowych w Polsce:
- Konstytucja rzeczpospolitej Polskiej (art.47, 51);
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane RODO):
Co warto wykorzystać ze starych zrealizowanych obowiązków ochrony danych osobowych – RODO to nie nowość, wiele wymagań obowiązywało od 1997roku i po prostu trzeba je tylko przemodyfikować, uzupełnić, poprawić, znowelizować:
- Pozostawienie znowelizowanego dokumentu „Polityka ochrony danych osobowych”;
- Pozostawienie znowelizowanego dokumentu” Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”;
- Pozostawienie upoważnień pisemnych dla każdej osoby przetwarzającej dane osobowe – nowe wydawać wg nowych zasad i powołując się na nowe przepisy;
- Prowadzenie ewidencji upoważnień dla osób przetwarzających dane osobowe – dobry porządkujący dokument;
- Przetwarzanie danych osobowych tylko i wyłącznie adekwatnie do celu ich przetwarzania i w czasie zgodnym z tym celem;
- Spełnienie obowiązku informacyjnego wobec właścicieli danych osobowych;
- Zapewnienie spełnienia (także w zakresie technicznym) wszystkich wymagań wobec właścicieli danych osobowych;
- Zabezpieczenie techniczno-organizacyjne zgodne z przepisami prawa i adekwatne do występujących zagrożeń oraz rodzaju danych osobowych;
- Udostępnianie danych osobowych zgodnie w przepisami prawa;
- Powierzenie danych osobowych w oparciu o pisemne umowy powierzenia;
- Sprawowanie nadzoru nad ochroną danych osobowych.
Poniżej przedstawiam wybrane nowe obowiązki od 25 maja 2018r. w oparciu o
- Przetwarzanie danych osobowych tylko i wyłącznie pod warunkiem spełnienia jednego z warunków opisanych w art.6 ust.1 RODO;
- Prowadzenie rejestru czynności przetwarzania danych osobowych;
- Prowadzenie bieżącej analizy ryzyka i bazowanie w bezpieczeństwie danych osobowych, tworzeniu procedur i dokumentacji na tej analizie – analiza dotyczy obszaru prywatności osób fizycznych, a nie samej firmy;
- Prowadzenie oceny skutków dla osób fizycznych;
- Powołanie osoby Inspektora ochrony danych – obowiązek dotyczy wybranych organizacji i firm;
- Informowanie o naruszeniu ochrony danych osobowych Organu Nadzoru w ciągu 72 godzin od wystąpienia naruszenia oraz oszacowanie ryzyka i możliwych skutków naruszenia dla osób fizycznych, których naruszenie dotyczy – w przypadku wysokiego ryzyka obowiązek informacyjny także w stosunku do tych osób;
- Prowadzenie rejestru naruszeń;
- Nowe treści zgód na przetwarzanie danych osobowych;
- Nowe rozszerzone treści obowiązku informacyjnego wobec osób, których dane są przetwarzane;
- Nowe znacznie bardziej rozbudowane treści umów powierzenia;
- Większa kontrola nad danymi osobowymi, dostępem do nich, ich przenoszeniem, poprawianiem, usuwaniem, możliwością spełnienia wielu żądań w stosunku do administratora danych;
- Ustalenie czasu przetwarzania poszczególnych rodzajów danych osobowych, tak aby czas ten był uzasadniony, a nie nadmiarowy;
- Modyfikacja aplikacji informatycznych przetwarzających dane osobowe;
- Konsultacje z organem nadzorczym przy planowaniu zastosowania nowych technologii;
- Certyfikacja – dobrowolna;
- Szkolenia, szkolenia i jeszcze raz szkolenia pracowników….
Jednym z najważniejszych wymagań nowych przepisów jest konieczność wykonywania stałej analizy ryzyka
w obszarze danych osobowych. Jako osoba zawodowo zajmująca się zarządzaniem ryzykiem i analizą ryzyka, będąca inżynierem i praktykiem w zakresie ochrony danych osobowych, zachęcam Państwa do współpracy!
Anna Słodczyk (25 maja 2018 r.)
Najnowsze komentarze