Twoja przeglądarka jest przestarzała i nie kompatybilna z najowszymi standardami.
Zalecane jest użycie alternatywnej przeglądarki niż Internet Explorer.
Pobierz Pobierz Pobierz Pobierz Pobierz

Porady

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH

Publikacja: 29 marca 2018

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH

1. RODO dotyczy wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych (do takich danych należą m. in. I imię i nazwisko, adres, numer pesel itd.).
2. Unijne rozporządzenie nie zawiera wytycznych jak zabezpieczać przechowywane informacje.
3. Przedsiębiorca będzie zobowiązany samodzielnie przeanalizować jakimi danymi osobowymi dysponuje, co konkretnie się z nimi dzieje i jakie ryzyko się z tym wiąże – a ostatecznie dobrać optymalne środki, które to ryzyko zminimalizują. Natomiast oceną tego, czy dane są należycie zabezpieczone, każdorazowo w trakcie kontroli zajmie się pracownik urzędu ochrony danych osobowych.
4. Ochrona danych osobowych będzie wymagała zaprojektowania całego systemu tej ochrony oraz ustanowienia procedur osobno pod wszystkie procesy, jakie działają w firmie i uwzględniają wykorzystanie danych osobowych. W firmie będą musiały zostać dostosowane systemy IT tak, aby mogły sprostać zadaniu tworzenia cyklicznych analiz oceny ryzyka przetwarzania danych. Oznacza to, że należy stworzyć taki system przechowywania i przetwarzania danych, aby zespół IT miał dostęp do wszystkich danych na wszystkich serwerach i urządzeniach, z których korzystają pracownicy.
5. Odpowiednio przygotowany system IT musi spełniać rolę bazy danych, gdzie przechowywane są takie dokumenty jak zgody na przetwarzanie danych osobowych a także realizować obowiązek informacyjny, czyli przekazywać klientom szczegółowe informacje na temat gromadzonych i przetwarzanych danych. Firma prosząc klienta o podanie danych, będzie musiała poinformować o celu, zakresie i czasie ich przetwarzania. Oznacz to, że klauzule dotyczące wykorzystania danych osobowych, które klienci dostają do podpisania, będą jeszcze obszerniejsze.
6. RODO wprowadza analizę ryzyka. Każdy podmiot przetwarzający dane w sposób elektroniczny będzie musiał przeprowadzić taka analizę. Analiza jest podstawą podejmowanych działań zapobiegawczych. Przeprowadzając analizę należy zidentyfikować zagrożenia, z którymi może spotkać się przedsiębiorstwo, zidentyfikować aktywa, które mogą zostać zagrożone, określić prawdopodobieństwo wystąpienia ryzyka a także ewentualny wpływ zdarzenia na aktywa. Na tej podstawie należy podjąć odpowiednie kroki zaradcze. Należy tez pamiętać o okresowych przeglądach i zmianach w analizie, w miarę pojawiania się nowych zagrożeń.
7. RODO wprowadza nowe pojęcie prawo do bycia zapomnianym. Umożliwia ono właścicielowi danych osobowych skorzystanie z prawa usunięcia ich z bazy. Administrator danych musi jak najszybciej spełnić to żądanie jeśli dane osobowe nie są już niezbędne, został wniesiony sprzeciw wobec przetwarzania, przetwarzanie było niezgodne z prawem lub została cofnięta zgoda na przetwarzanie danych.
8. W przypadku wycieku danych z firmy przedsiębiorca ma 72 godziny na zgłoszenie, że nastąpiło naruszenie danych z jego bazy. Zgłoszenie takie następuje do organu nadzorczego jakim jest Generalny Inspektor Danych Osobowych (GIODO) a także trzeba poinformować wszystkie osoby, których dane wyciekły. W przypadku uniemożliwienia poinformowania każdej osoby indywidualnie, konieczne będzie umieszczenie publicznie dostępnej informacji o naruszeniu, która będzie mogła trafić do wszystkich. Będzie trzeba poinformować, jakie to ryzyko za sobą niesie oraz wydać zalecenia, jak zminimalizować skutki wycieku.
Podsumowując: przedsiębiorca ma „otwartą furtkę” w jaki sposób będzie gromadził i przetwarzał dane osobowe oraz je zabezpieczał.
Rozporządzenie RODO stwierdza, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia prawa lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosowanym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych,
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzani.


zapisz się do newsletter’a
Będziesz otrzymywał istotne informacje na temat zmian w prawie podatkowym
oraz promocji naszych usług