Bezpieczeństwo danych osobowych wg RODO

W maju tego roku wchodzi w życie RODO, czyli unijne rozporządzenie o ochronie danych osobowych, które nakłada szereg nowych obowiązków na administratorów danych osobowych oraz między innymi firmy przetwarzające dane w ich imieniu.

RODO to powszechnie używany skrót na określenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które od dnia 25 maja 2018 r., zgodnie z ogólną zasadą prawa Unii Europejskiej będzie bezpośrednio stosowane we wszystkich państwach członkowskich UE i od tego dnia stanie się częścią prawa krajowego.

Przepisy RODO dotyczą niemal wszystkich podmiotów przetwarzających dane osobowe: podmiotów publicznych jak i prywatnych przedsiębiorstw, a nawet osób fizycznych prowadzących działalność gospodarczą na niewielką skalę, jeśli przetwarzają one dane osobowe innych osób fizycznych (np.  kandydatów do pracy, pracowników, dostawców, klientów oraz osób współpracujących) i przez to stają się administratorem tych danych.

Przedsiębiorcy powinni dostosować dotychczasową dokumentację ochrony danych osobowych, jeżeli taką posiadają, do nowych wymagań. To dostosowanie będzie dotyczyło np. zgody na przetwarzanie danych osobowych, ewidencji osób upoważnionych do przetwarzania danych oraz upoważnień osób do przetwarzania danych osobowych. Ogólnie rzecz biorąc będą to dokumenty dużo bardziej rozbudowane niż dotychczas. Ponadto RODO wskazuje obowiązkowe, nowe dokumenty, takie jak:

  • rejestr czynności przetwarzania danych osobowych,
  • rejestr naruszeń ochrony danych osobowych,
  • umowy powierzenia danych (o ile mają zastosowanie).

Dokumenty te każdy przedsiębiorca winien stworzyć i na bieżąco uzupełniać. Daleko idącym nowym wyzwaniem, poza dokumentacją, jest nałożony na administratorów danych, w art. 33 RODO, obowiązek zgłaszania naruszenia ochrony danych osobowych niezwłocznie, nie później jednak niż w 72 godziny od stwierdzenia naruszenia, do odpowiedniego organu nadzorczego, którym w Polsce, zgodnie z projektem nowej ustawy o ochrony danych osobowych, będzie Prezes Urzędu Ochrony Danych Osobowych.

Ponadto przedsiębiorcy, zgodnie z art. 32 RODO, winni wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia ochrony danych, w tym między innymi w stosownym przypadku: przedsiębiorca winien zapewnić:

  • pseudonimizację (rozumianą jako przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji),
  • szyfrowanie danych osobowych,
  • ciągłe zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zapewnienie zdolności posiadanych systemów do szybkiego przywrócenia dostępności danych osobowych.

Jakie mają być te odpowiednie środki, aby osiągnąć cel RODO? Niestety na to pytanie RODO już nam nie odpowiada, co należy podkreślić: RODO charakteryzuje się bardzo wysokim stopniem ogólności i nie daje żadnych szczegółowych wskazówek, w jaki sposób chronić dane osobowe, nie daje ani środków technicznych ani też organizacyjnych. Sam przedsiębiorca musi stworzyć dostosowane do profilu swojej działalności i zakresu przetwarzania danych takie środki techniczne i organizacyjne, aby w pełni zabezpieczyć te dane.


Oferujemy kompleksową usługę opracowania i wdrożenia Systemu Bezpieczeństwa Danych Osobowych, począwszy od inwentaryzacji aktywów, poprzez analizę ryzyka i dobór zabezpieczeń adekwatnych do zagrożeń, po implementację odpowiednich procedur i polityk bezpieczeństwa.