8 kwietnia 2016r. Rada UE przyjęła rozporządzenie General Data Protection Regulation (GDPR) czyli Rozporządzenie o Ochronie Danych Osobowych (RODO) i powiązaną z nim Dyrektywę. 14 kwietnia 2016r. Dokument został przyjęty przez Parlament Europejski. Rozporządzenie zacznie obowiązywać od 25 maja 2018 roku.
Rozporządzenie ma na celu:
1) wzmocnienie i ujednolicenie praw dotyczących prywatności w sieci i ochrony danych osób fizycznych na terenie Unii Europejskiej (wspólne rozporządzenie zunifikuje i zastąpi 28 dotychczasowych regulacji poszczególnych państw członkowskich);
2) uproszczenie regulacji bezpieczeństwa dla firm i organizacji obsługujących mieszkańców UE.
GDPR: Co się zmienia?
• Prawo do wiedzy o naruszeniu bezpieczeństwa danych.
– Firmy i organizacje muszą informować kompetentne organy publiczne zajmujące się ochroną danych osobowych o każdym przypadku naruszenia bezpieczeństwa danych w przypadku, gdy może ono narazić osobę, której dane zostały naruszone
– Firmy i organizacje muszą informować o naruszeniu – samych zainteresowanych – tak, by mogli przedsięwziąć odpowiednie kroki bezpieczeństwa. W Polsce organem publicznym zajmującym się ochroną danych jest Generalny Inspektor Ochrony Danych Osobowych – GIODO.
• Silniejsze egzekwowanie zasad bezpieczeństwa. Organy ochrony danych będą mogły karać firmy nie stosujące przepisów UE grzywną w wysokości nawet do 4% ich rocznego globalnego obrotu. Kary administracyjne nie są obligatoryjne, a o ich nałożeniu ma każdorazowo decydować rozpatrzenie indywidualnego przypadku.
• 72 godziny – w takim czasie należy poinformować organ nadzorczy (GIODO) o wykryciu naruszenia bezpieczeństwa danych.
• „Zasada prywatności w ustawieniach domyślnych” i „Zasada prywatności w fazie projektowania”. Ich podstawowym celem jest „wbudowanie” zasad ochrony prywatności w każdy projekt zakładający przetwarzanie danych osobowych tak, by od samego początku jego istnienia ochrona prywatności stanowiła jego część składową.
• Prawa UE muszą być stosowane
– przy przekazywaniu za granicę danych osobowych przez aktywne w UE firmy oferujące swoje produkty i usługi (w tym bezpłatne) obywatelom UE
– gdy firmy te monitorują zachowania osób w UE.
Co to są dane osobowe (osobiste) chronione przez GDPR?
To “informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej” (http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL)
Ochrona danych
Art. 32. RODO poświęcony bezpieczeństwu przetwarzania danych stwierdza:
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne. W celu zapewnienia stopnia bezpieczeństwa odpowiadającemu temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Przykłady zaniedbań podlegające grzywnie
Artykuł 83 stwierdza, że podlega grzywnie:
a) Jeśli Administrator Danych Osobowych (ADO) nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw osób, których dane dotyczą,
b)Jeśli ADO nie uwzględnił ochrony danych w fazie projektowania (na etapie projektowania systemu informatycznego),
c) Jeśli ADO nie zgłosił incydentu w ciągu 72h po stwierdzeniu naruszenia, organowi nadzorczemu. Jeśli incydent skutkował naruszeniem praw lub wolności osób fizycznych.
Lepiej więc chuchać na zimne i już teraz poszukiwać rozwiązań, które pozwolą nam spać spokojnie. Do wiosny 2018 r. 😉
Mamy dla Ciebie podręcznik mówiący o rozporządzeniu GDPR, a w nim:
– Co się właściwie zmienia wraz z datą obowiązywania ustawy?
– Co to są “dane osobowe”?
– Przykłady zaniedbań podlegające grzywnie.
– Przygotowanie polskich firm do RODO.
– Zalecenia dla firm i organizacji
Polecamy!
Redaktorka Net Complex Blog