Ochrona danych osobowych

i

Autor: Shutterstock

Zbieranie i przetwarzanie danych osobowych coraz bardziej ryzykowne. Unia zaostrza przepisy

2017-04-24 9:44

Kary do 20 milionów euro, konieczność prowadzenia oceny, prawo do zapomnienia oraz obowiązkowe prowadzenie rejestru naruszeń – to tylko kilka zmian, które od 25 maja 2018 r. czekają wszystkich przetwarzających dane osobowe.

Tak stanowią nowe, ujednolicone przepisy dotyczące ochrony danych osobowych na obszarze całej Unii. Reguluje je RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady UE z kwietnia ubiegłego roku, które niebawem radykalnie zmieni prawodawstwo. Dokument ten przede wszystkim rozszerza dotychczasowe prawa osób fizycznych.

Każdy z nas, poproszony o podanie danych musi zostać poinformowany o celu, zakresie i czasie ich przetwarzania. Zbierający dane ma również obowiązek zawiadomić o możliwościach dalszego przekazywania danych, czyli tak zwanego podpowierzania. Ponadto RODO wymaga, aby przy zbieraniu danych ograniczyć się do informacji niezbędnych dla sytuacji (np. świadczenia usługi), a przy przetwarzaniu danych uwzględnić ich bezpieczeństwo. Za dane osobowe uznane zostają również "ciasteczka" (cookies) oraz adresy IP, w związku z czym osoby fizyczne będą musiały wyrazić jednoznaczną zgodę na stosowanie ciasteczek, a także stosowanie profilowania i jego skutki.

Obowiązkowi inspektorzy ochrony danych

RODO jasno określa trzy przypadki, w których zaistnieje konieczność powołania Inspektorów Danych Osobowych. Muszą się oni pojawić w instytucjach publicznych (z wyjątkiem sądów), ale również „w jednostkach, których główna aktywność polega na regularnym i automatycznym przetwarzaniu danych osobowych poprzez monitorowanie na dużą skalę osób, których dane są przetwarzane" oraz w jednostkach, zajmujących się przetwarzaniem danych wrażliwych oraz informacji osobowych dotyczących przestępstw i skazań za przestępstwa . A skoro o danych wrażliwych mowa, warto wiedzieć, że ich zakres zostanie poszerzony o dane biometryczne i genetyczne.

- W przypadku ich zbierania – wyjaśnia Marcin Kabaciński, ekspert bezpieczeństwa danych z polskiego oddziału międzynarodowej firmy doradczej Crowe Horwath – osoba musi oczywiście wyrazić na to zgodę, ale nie będzie już obowiązku dokumentowania jej na piśmie. To jedno z nielicznych, przyszłych ułatwień dla przedsiębiorców, na których RODO nakłada trudne nowości.

Należy do nich prawo do zapomnienia, chroniące prywatność osób podających dane osobowe od chwili, gdy cele ich przetwarzania nie mają dłużej zastosowania. Stwierdziwszy ten fakt, możemy żądać ich usunięcia. Poza tym, dla wszystkich przedsiębiorców oprócz firm telekomunikacyjnych, nowością będzie konieczność prowadzenia rejestru naruszeń danych osobowych oraz zgłaszania do GIODO wycieków tych danych w ciągu 72 godzin od momentu ich stwierdzenia. Obowiązkowe będą również oceny ryzyka w procesach przetwarzania danych osobowych mających miejsce w przedsiębiorstwie. Stwierdzenie wysokiego ryzyka oznacza konieczną konsultację z UODO. Najwięcej emocji bez wątpienia budzą wysokie kary.

Za naruszenie dotyczące przetwarzania danych osobowych mogą one sięgnąć 20 milionów euro lub 4 procent rocznego przychodu firmy – w zależności, która kwota będzie wyższa. Co gorsza, organ nakładający karę nie będzie sprawdzał stopnia naruszenia, jedynie stwierdzał jego zaistnienie.

- Zalecam rozpoczęcie przygotowań do wprowadzenia zapisów RODO w przedsiębiorstwach już dziś – dodaje Małgorzata Brańska, Administrator Bezpieczeństwa Informacji w Crowe Horwath. Prace nad rozporządzeniem trwały długo, bo cztery lata i, jak zapewniają jego autorzy, uwzględniły wszelkie aspekty przetwarzania danych osobowych oraz istniejące zagrożenia. To znaczące zmiany w stosunku do obecnego prawodawstwa, które wymagają wyjątkowej przezorności przy zbieraniu i przetwarzaniu danych osobowych.

Player otwiera się w nowej karcie przeglądarki

Nasi Partnerzy polecają