czwartek, 29 czerwca 2017

RODO, czyli co?


RODO, czyli polski skrót od rozporządzenia o ochronie danych, a dokładnie od Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 

Do tej pory europejski system ochrony danych osobowych oparty był na dyrektywie (Dyrektywa Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r.), co oznaczało w praktyce, że każdy kraj członkowski ustalał indywidualnie swoje przepisy ochrony danych kierując się wytycznymi zawartymi w tej dyrektywie. Obecnie uchwalone rozporządzenie tym różni się od dyrektywy, że jest stosowane wprost, tzn. bez konieczności wdrażania go w krajowy system prawny. W praktyce zapewni to takie same przepisy ochrony danych osobowych na całym obszarze UE oraz możliwość bezpośredniego powoływania się na nie przed krajowymi organami. Głównym powodem zmian jest próba nadążania za rewolucją technologiczną i dostosowanie przepisów do czasów współczesnych (dyrektywa była uchwalona w latach 90-tych, co jest epoką w świecie cyfrowym).





Kiedy wejdą zmiany? 


Zgodnie z art. 99 RODO, nowe przepisy zaczną obowiązywać od dnia 25 maja 2018 r. Jest więc jeszcze sporo czasu na przystosowanie się do nadchodzących zmian. Podstawą jest jednak wiedza co dokładnie się zmieni?

Jakie zmiany?


Poniżej przedstawiam zmiany istotne tylko z punktu widzenia NGO (znacznie więcej jest tych dotyczących tylko przedsiębiorców). Dla wszystkich nie mających czasu na wnikliwą analizę zapraszam do infografiki na końcu.

  1. Nie będzie już obowiązku ogólnego zawiadamiania GIODO o przetwarzaniu danych osobowych, zamiast którego wprowadzone zostaną procedury ochrony przy konkretnych działaniach na zbiorach danych. Podstawą dla tego będzie analiza ryzyka naruszenia prywatności osób, których dane dotyczą.
  2. Najpoważniejsza praktyczna zmiana będzie dotyczyła dokumentów wewnętrznych, na podstawie których chronione są dane osobowe (dotychczas: polityka bezpieczeństwa informacji i instrukcja zarządzania systemem informatycznym). Rozporządzenie pozostawia kwestię wewnętrznych przepisów do samodzielnego rozstrzygnięcia przez podmiot gromadzący dane. W praktyce oznacza to, że nie będzie już bezwzględnego wymogu wdrażania powyższych dokumentów, a konkretne wewnętrzne przepisy będą zależeć od analizy ryzyka. Administrator danych będzie musiał więc podjąć decyzję jakie rozwiązania wprowadzić, aby dane przez niego chronione były bezpieczne. Może się okazać, że wystarczające będą obowiązujące już dokumenty, po ewentualnych poprawkach.
  3. Rozszerzone zostaną obowiązki względem osób, których dane są gromadzone, o informowanie o okresie, przez który dane osobowe będą przetwarzane (tzw. retencja danych) oraz o danych kontaktowych inspektora ochrony danych, jeśli został ustanowiony.
  4. Nowym uprawnieniem osób, których dane są gromadzone, będzie prawo do przenoszenia danych pozwalające na żądanie przekazania zgromadzonych danych w strukturze w której są przetwarzane lub ich bezpośrednie przekazanie innemu administratorowi.
  5. Zmieniają się przesłanki obowiązkowego powołania Administrator Bezpieczeństwa Informacji, który zyskał nową nazwę: Inspektor Ochrony Danych. Jednak wciąż w zwyczajnej organizacji jego powołanie nie będzie konieczne.
  6. Nowym dokumentem będzie rejestr czynności przetwarzania, który stanie się obowiązkowy dla podmiotów zatrudniających więcej niż 250 pracowników oraz tych, którzy przetwarzają tzw. dane wrażliwe.
  7. Wprowadzony zostanie obowiązek zgłaszania naruszeń ochrony danych do Generalnego Inspektora Ochrony Danych Osobowych. Jednak tylko wówczas, gdy skutkiem naruszenia będzie mogła być kradzież lub fałszowanie tożsamości, ryzyko straty finansowej, naruszenia dobrego imienia albo tajemnic prawnie chronionych. Dodatkowo rozporządzenie wprowadza termin 72 godzin na zgłoszenie.
Warto śledzić wprowadzane zmiany, gdyż część z nich zostanie na pewno doprecyzowana na szczeblu krajowym (rozporządzenia ministerstwa Ministra Spraw Wewnętrznych i Administracji), a pojawiające się w praktyce wątpliwości mogą być częściowo rozstrzygane przez GIODO w postaci wyjaśnień i artykułów na stronie inspektora. Przed samym rozpoczęciem obowiązywania przepisów, na pewno wrócę do tematu – nie tylko by przypomnieć o zmianach raz jeszcze, ale także by sprawdzić je w praktyce.

Infografika ze zmianami:



Brak komentarzy:

Prześlij komentarz