Już od maja wchodzą w życie zmiany w ochronie danych osobowych zwane jako RODO co trzeba wiedzieć.
RODO (Rozporządzenie o Ochronie Danych Osobowych,znane też jako GDPR) – to rozporządzenie unijne, które 25 maja będzie obowiązywać we wszystkich krajach członkowskich UE także w Polsce.
Systemy ustawodawcze krajów Unii Europejskiej wprowadzają ujednolicenie przepisów o ochronie danych osobowych. W założeniu ustawodawców to właśnie przepisy RODO mają gwarantować równy poziom ochrony danych osobowych w całej UE.
Nowe przepisy dotyczą wszystkich podmiotów, które w związku z prowadzoną działalnością przetwarzają dane osobowe. Niezależnie od ich wielkości, skali działania i formy prawnej . Nowe rozporządzenie ujednolica zasady wg których dane osobowe mają być chronione, ale nie wskazują na konkretny sposób prowadzenia ochrony.
Podsumowując, nowe przepisy o RODO nie wskazują gotowych rozwiązań jakie mają być wdrożone w firmach w celu wyegzekwowania nowych wymogów prawnych.
Dokument RODO wskazuje na nowe podstawowe zasady, którymi trzeba kierować się przetwarzając dane. Wyróżnia się ich siedem:
Przetwarzanie danych należy ograniczyć do niezbędnego minimum. Rodzaje zbieranych danych mają odpowiadać jasno określonym celom. Ponadto należy je okresowo – zgodnie z ustalonym terminarzem – przeglądać i usuwać.
Przetwarzanie danych musi odbywać się w sposób gwarantujący ich bezpieczeństwo. Dane osobowe muszą być odpowiednio chronione przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą czy zniszczeniem.
Przetwarzanie danych może się odbywać zgodnie z prawem i rzetelnie, zawsze w sposób przejrzysty dla osoby, której dane dotyczą.
Dane mogą być zbierane i przetwarzane w konkretnych i prawnie uzasadnionych celach. Nie mogą też być przetwarzane dalej w sposób niezgodny z tymi celami.
Zgodnie z zasadą prawidłowości danych, muszą zostać zapewnione wszelkie działania, by dane, były prawidłowe i aktualne. Te dane, które nie są prawidłowe w kontekście celów ich przetwarzania, powinny być od razu skorygowane lub usunięte.
Przetwarzane dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą i nie mogą być przechowywane dłużej niż jest to niezbędne do celów, w których są one przetwarzane.
Zezwala się na dłuższe przechowanie gromadzonych danych tylko w celach archiwalnych
w interesie publicznym, do badań naukowych lub historycznych, a także w celach statystycznych (ale wyłącznie pod warunkiem wdrożenia środków technicznych i organizacyjnych w celu ochrony praw tych, których dotyczą).
Administrator przechowywanych danych musi być w stanie wykazać w toku kontroli, że podejmowane przez niego działania są zgodne ze wszystkim wcześniejszymi zasadami.
By pozostać w zgodzie z nowym rozporządzeniem, należy zwrócić szczególną uwagę na uprawnienia, jakie na mocy rozporządzenia posiadają podmioty fizyczne, których dane osobowe podlegają gromadzeniu i przetwarzaniu. Spore znaczenie mają:
Ma to ogromne znaczenie ze względu na fakt, iż intencją ustawodawcy, przepisy RODO opierają się na przekonaniu, że podmiot przetwarzające dane powinien widzieć je nie tylko w kategorii wartości czy źródła przychodu, ale przede wszystkim z perspektywy poszanowania prawa do prywatności.
UWAGA! Ta intencja ustawodawcy podparta jest realnymi sankcjami. Za nieprzestrzeganie zapisów rozporządzenia RODO grozi karami administracyjnymi nawet w wysokości 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku (zastosowanie ma wyższa kwota).
General Data Protection Regulation (RODO)
Znika obowiązek rejestrowania w GIODO baz danych który do tej pory przedsiębiorcy wykonywali. W jego miejsce wchodzi obowiązek zbudowania systemu ochrony danych osobowych zgodnie z wymogami RODO. Musi on uwzględniać następujące zasady:
Wymóg zatrudnienia Inspektora Ochrony Danych będą miały firmy o liczbie pracowników powyżej 250. Zastąpi on dotychczasowego Administratora Bezpieczeństwa Informacji. Inspektor Ochrony Danych prowadzić będzie stały nadzór nad zgodnością prowadzonych działań z prawem, na nim będzie też ciążyć obowiązek kontaktów z Urzędem Ochrony Danych Osobowych. Inspektorem może zostać zarówno pracownik firmy (także wcześniejszy ABI), zespół osób pod kierownictwem, jak i pracownik firmy zewnętrznej.
Nowe przepisy o RODO wymagają optymalizacji całego środowiska pracy i procedur działania przedsiębiorstwa. Począwszy od zdefiniowania przechowywania dokumentacji papierowej, po przez gromadzoną na nośnikach przenośnych, aż po dane gromadzone elektronicznie. Bez właściwej organizacji danych w firmie nie da się zagwarantować zgodność z przepisami RODO.
Oprogramowanie dostarczane przez nas, systemy Streamsoft – gotowe jest w zakresie ochrony danych przechowywanych w systemie, w zakresie możliwości technicznych związanych z wypełnianiem obowiązków RODO.
Poruszyliśmy najczęstsze kwestie, z którymi firmy spotkają się przy wdrożeniu procedur RODO. Przypominamy raz jeszcze, że rozporządzenie określa ramy, a nie konkretnie właściwe dla danej firmy działania. Z czego to wynika?
Otóż każda organizacja czy firma ma swoją odrębną specyfikę, która wyraża się w odmiennych procesach i procedurach obecnych w związku z przetwarzaniem danych osobowych. To właśnie ta specyfika decyduje w jakim zakresie podjąć działania, by w pełni spełnić wymagania RODO.
Jeśli kierownictwo i management firmy mają problem z ustaleniem wytycznych co do procedur związanych z RODO, warto rozważyć współpracę ze specjalistyczną firmą wdrożeniową jak IXION, która wspomoże zarząd we wdrażaniu procedur i oprogramowania. Po przeprowadzeniu audytu, pomożemy przygotować całość struktury firmy na wejście w życie nowych przepisów.
Mechanizmy zapewniają zgodność z wymogami rozporządzenia RODO pod względem tworzenia silnych haseł na odpowiednim poziomie bezpieczeństwa
zezwala na jednolity opis wszystkich procesów – czynności zachodzących w przedsiębiorstwie – w których obecne są dane wrażliwe
umożliwia utworzenie zestawień jakim osobom nadano dostęp do jakich danych. Spis rejestruje także cofnięcie dostępu
czyli możliwość sprawnej lokalizacji podmiotów i osób, którym udostępniono dane oraz informacje o powodzie, a także na jaki okres nastąpiło udostępnienie
rejestr ten pozwala zapisać ewentualny wyciek danych wrażliwych, o których właściciel danych i organ państwowy muszą być powiadomieni w ciągu 72h
nowy mechanizm, który umożliwia trwałe zamazanie danych osobowych w bazie. Odbywa się ono na żądanie osoby uprawnionej, pod warunkiem zgodności z prawem
umożliwia rejestrowanie informacji o źródle i dacie pozyskania wszystkich danych osobowych, do których firma zyskuje dostęp. Pozwala informować właścicieli danych jak i kiedy zostały one nabyte
umożliwia prowadzenie ewidencji wszystkich działań, jakich dokonują operatorzy systemu w zakresie przetwarzania danych osobowych,
np. jakich zmian czy wydruków dokonali
pozwala określić do jakiego poziomu danych osobowych w systemie posiada dostęp dany operator oraz do jakich działań z związanych z nimi jest uprawniony
opis architektury i struktur danych systemu, ułatwiający orientację gdzie i jaki rodzaj danych jest przetwarzany, wspomaga opracowanie strategii zabezpieczenia
Jeżeli dalej masz problem i nie wiesz czy twoja firma jest gotowa na wejście przepisów o RODO, skontaktuj się z nami i wypełnij formularz.