Bezpieczeństwo danych osobowych wg RODO

W maju tego roku, po dwuletnim okresie przejściowym, weszło w życie RODO, czyli unijne rozporządzenie o ochronie danych osobowych, które nakłada szereg nowych obowiązków na administratorów danych osobowych oraz między innymi firmy przetwarzające dane w ich imieniu, tzw. procesorów.

RODO to powszechnie używany skrót na określenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które od dnia 25 maja 2018 r., zgodnie z ogólną zasadą prawa Unii Europejskiej będzie bezpośrednio stosowane we wszystkich państwach członkowskich UE i od tego dnia stanie się częścią prawa krajowego.

Przepisy RODO dotyczą niemal wszystkich podmiotów przetwarzających dane osobowe: podmiotów publicznych jak i prywatnych przedsiębiorstw, a nawet osób fizycznych prowadzących działalność gospodarczą na niewielką skalę, jeśli przetwarzają one dane osobowe innych osób fizycznych (np.  kandydatów do pracy, pracowników, dostawców, klientów oraz osób współpracujących) i przez to stają się administratorem tych danych.

Przedsiębiorcy powinni dostosować dotychczasową dokumentację ochrony danych osobowych, jeżeli taką posiadają, do nowych wymagań. To dostosowanie będzie dotyczyło np. analizy ryzyka, rejestru czynności przetwarzania (jeżeli dotyczy), zgody na przetwarzanie danych osobowych, klauzul informacyjnych, upoważnień osób do przetwarzania danych osobowych, rejestru naruszeń ochrony danych osobowych, czy umów powierzenia przetwarzania danych.

Jednakże, podstawą RODO niezmiennie jest:

  • identyfikacja zbiorów zawierających dane osobowe,
  • analiza ryzyka,
  • dostosowanie zabezpieczeń (informatycznych ale nie tylko) do wyników tej analizy.

Nowym wyzwaniem dla przedsiębiorców, poza dokumentacją, jest nałożony na administratorów w art. 33 RODO, obowiązek zgłaszania naruszenia ochrony danych osobowych niezwłocznie, nie później jednak niż w 72 godziny od stwierdzenia takiego naruszenia, do odpowiedniego organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.

Ponadto przedsiębiorcy, zgodnie z art. 32 RODO, winni wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia ochrony danych, w tym między innymi w stosownym przypadku, przedsiębiorca winien zapewnić:

  • pseudonimizację (rozumianą jako przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji),
  • szyfrowanie danych osobowych,
  • ciągłe zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zapewnienie zdolności posiadanych systemów do szybkiego przywrócenia dostępności danych osobowych.

Jakie mają być te odpowiednie środki, aby osiągnąć cel RODO? Niestety na to pytanie RODO już nam nie odpowiada. RODO charakteryzuje się bardzo wysokim stopniem ogólności i nie daje żadnych szczegółowych wskazówek, w jaki sposób chronić dane osobowe. Nie daje ani środków technicznych, ani też organizacyjnych. Sam przedsiębiorca musi zapewnić – dostosowane do profilu swojej działalności i zakresu przetwarzania danych – środki techniczne i organizacyjne, aby w pełni zabezpieczyć te dane.

Oferujemy kompleksową usługę opracowania i wdrożenia Systemu Bezpieczeństwa Danych Osobowych, zgodnie z wymaganiami RODO, począwszy od inwentaryzacji aktywów, poprzez analizę ryzyka i dobór zabezpieczeń adekwatnych do zagrożeń, po implementację odpowiednich procedur i polityk bezpieczeństwa.

Ciekawe artykuły:

Kara w wysokości 600.000 zł. za zgubienie pendrive’a?

Przetwarzanie danych pracowników – gdzie leży granica?

Wątpliwości wokół poradnika Urzędu Ochrony Danych Osobowych dla pracodawców.

Praktyczny Przewodnik po Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (RODO).