Ochrona danych osobowych

OCHRONA DANYCH OSOBOWYCH  ELEMENTEM BEZPIECZEŃSTWA INFORMACJI                                                              ochrona danych osobowych w praktyce

Anna Słodczyk ©

(żadne niżej wymienione informacje nie stanowią opinii, ani źródła prawa, a ze względu na szybki postęp zmian należy zwracać uwagę na datę)

Wykaz podstawowych, aktualnie obowiązujących wszystkie organizacje i firmy, aktów prawnych dot. ochrony danych osobowych w Polsce:

  1. Konstytucja rzeczpospolitej Polskiej (art.47, 51);
  2. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane RODO):

Co warto wykorzystać ze starych zrealizowanych obowiązków ochrony danych osobowych – RODO to nie nowość, wiele wymagań obowiązywało od 1997roku i po prostu trzeba je tylko przemodyfikować, uzupełnić, poprawić, znowelizować:

  1. Pozostawienie znowelizowanego dokumentu „Polityka ochrony danych osobowych”;
  2. Pozostawienie znowelizowanego dokumentu” Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”;
  3. Pozostawienie upoważnień pisemnych dla każdej osoby przetwarzającej dane osobowe – nowe wydawać wg nowych zasad i powołując się na nowe przepisy;
  4. Prowadzenie ewidencji upoważnień dla osób przetwarzających dane osobowe – dobry porządkujący dokument;
  5. Przetwarzanie danych osobowych tylko i wyłącznie adekwatnie do celu ich przetwarzania i w czasie zgodnym z tym celem;
  6. Spełnienie obowiązku informacyjnego wobec właścicieli danych osobowych;
  7. Zapewnienie spełnienia (także w zakresie technicznym) wszystkich wymagań wobec właścicieli danych osobowych;
  8. Zabezpieczenie techniczno-organizacyjne zgodne z przepisami prawa i adekwatne do występujących zagrożeń oraz rodzaju danych osobowych;
  9. Udostępnianie danych osobowych zgodnie w przepisami prawa;
  10. Powierzenie danych osobowych w oparciu o pisemne umowy powierzenia;
  11. Sprawowanie nadzoru nad ochroną danych osobowych.

Poniżej przedstawiam wybrane nowe obowiązki od 25 maja 2018r. w oparciu o

  1. Przetwarzanie danych osobowych tylko i wyłącznie pod warunkiem spełnienia jednego z warunków opisanych w art.6 ust.1 RODO;
  2. Prowadzenie rejestru czynności przetwarzania danych osobowych;
  3. Prowadzenie bieżącej analizy ryzyka i bazowanie w bezpieczeństwie danych osobowych, tworzeniu procedur i dokumentacji na tej analizie – analiza dotyczy obszaru prywatności osób fizycznych, a nie samej firmy;
  4. Prowadzenie oceny skutków dla osób fizycznych;
  5. Powołanie osoby Inspektora ochrony danych – obowiązek  dotyczy wybranych organizacji i firm;
  6. Informowanie o naruszeniu ochrony danych osobowych Organu Nadzoru w ciągu 72 godzin od wystąpienia naruszenia oraz oszacowanie ryzyka i możliwych skutków naruszenia dla  osób fizycznych, których naruszenie dotyczy – w przypadku wysokiego ryzyka obowiązek informacyjny także w stosunku do tych osób;
  7. Prowadzenie rejestru naruszeń;
  8. Nowe treści zgód na przetwarzanie danych osobowych;
  9. Nowe rozszerzone treści obowiązku informacyjnego wobec osób, których dane są przetwarzane;
  10. Nowe znacznie bardziej rozbudowane treści umów powierzenia;
  11. Większa kontrola nad danymi osobowymi, dostępem do nich, ich przenoszeniem, poprawianiem, usuwaniem, możliwością spełnienia wielu żądań w stosunku do administratora danych;
  12. Ustalenie czasu przetwarzania poszczególnych rodzajów danych osobowych, tak aby czas ten był uzasadniony, a nie nadmiarowy;
  13. Modyfikacja aplikacji informatycznych przetwarzających dane osobowe;
  14. Konsultacje z organem nadzorczym przy planowaniu zastosowania nowych technologii;
  15. Certyfikacja – dobrowolna;
  16. Szkolenia, szkolenia i jeszcze raz szkolenia pracowników….

Jednym z najważniejszych wymagań nowych przepisów jest konieczność wykonywania stałej analizy ryzyka
w obszarze danych osobowych. Jako osoba zawodowo zajmująca się zarządzaniem ryzykiem i analizą ryzyka, będąca inżynierem i praktykiem w zakresie ochrony danych osobowych, zachęcam Państwa do współpracy!

Anna Słodczyk (25 maja 2018 r.)