Ochrona danych osobowych – zmiany od maja 2018
Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO). RODO wprowadzi wiele istotnych zmian w zakresie ochrony danych osobowych – w tym i w kolejnym newsletterze przedstawiamy najistotniejsze z nich.
Przepisy RODO dotyczą każdego podmiotu, który przetwarza dane osobowe osób fizycznych. W praktyce oznacza to, że RODO powinno zostać wdrożone przez niemal wszystkich przedsiębiorców (a na pewno tych zatrudniających pracowników), ale także stowarzyszenia i fundacje, organy administracji publicznej, szkoły, przedszkola, podmioty lecznicze itd.
Aby wprowadzić RODO, każdy administrator danych osobowych powinien, w pierwszej kolejności, przeprowadzić analizę ryzyka przetwarzania danych osobowych. Celem analizy jest zapewnienie wykazania się starannością co do poprawności przetwarzania danych, szczególnie przed organem nadzorczym w momencie kontroli. Prawidłowo wykonana analiza powinna również dać odpowiedź na pytania np. o konieczność powołania Inspektora Ochrony Danych czy prowadzenia rejestru naruszeń.
Inspektor Ochrony Danych (IOD), to nowa osoba w organizacji, która jest odpowiedzialna za bezpieczeństwo danych osobowych, ale też za raportowanie naruszeń do urzędu kontroli. Powołanie IDO jest obligatoryjne tylko dla niektórych administratorów danych osobowych, tj. tych podmiotów, które prowadząc swoją działalność, przetwarzają takie rodzaje danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych.
Powołanie IDO jest obowiązkowe m.in. w organach i podmiotach publicznych oraz firmach, które regularnie i systematycznie przetwarzają i monitorują dane osobowe (np. firmach telekomunikacyjnych). IOD powinien posiadać wiedzę ekspercką w zakresie ochrony danych osobowych, aby odpowiednio kierować polityką bezpieczeństwa danych w organizacji.
Oprócz powołania IDO, administratorzy danych osobowych są również zobowiązani do opracowania i wdrożenia procedur oraz środków zapewniających bezpieczeństwo przetwarzanych danych osobowych, w tym metod regularnego testowania i oceny ich skuteczności. Co istotne, RODO nie wskazuje wprost jakie dokumenty, procedury i polityki należy wdrożyć, zakładając, że to administrator danych osobowych musi się wykazać starannością w zabezpieczeniu procesów przewarzania danych osobowych, tak aby nie doszło do nieprawidłowości.
Ponadto rozszerzona została klauzula informacyjna, którą administratorzy są zobowiązani przekazać osobom, których dane przetwarzają. Powinna ona obejmować dodatkowo m.in. informacje o podstawie prawnej przetwarzania danych, spodziewanym okresie przechowywania danych, prawie do ich przenoszenia, prawie wniesienia skargi do organu nadzorczego, możliwości cofnięcia zgody na przetwarzanie danych w dowolnym momencie itp.
Dalsze zmiany omawiam w kolejnym artykule.
Nasza oferta RODO.
Lista Klientów, u których wdrożyliśmy RODO.