Ochrona danych osobowych


Zmiany w prawie europejskim dotyczące ochrony danych osobowych

Od 25 maja 2018 r. zaczęły obowiązywać nowe przepisy europejskie z zakresu ochrony danych osobowych:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW

Nowe wymagania m.in. rozszerzają pojęcie danych osobowych oraz obowiązki Administratorów Danych, wprowadzają pojęcie Inspektora Danych Osobowych w miejsce Administratora Bezpieczeństwa Informacji, rozszerzają zadania w ramach obowiązku informacyjnego i szereg innych zmian.

Co to są dane osobowe?

Zgodnie z art.4 ust.1 RODO za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Danymi osobowymi będą zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie które nie pozwalają na jej natychmiastową identyfikację, ale są przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Daną osobową będzie informacja, która pozwala na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładu, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Przykłady najczęściej występujących danych osobowych to np.:

  • imię i nazwisko + PESEL,
  • imię i nazwisko + adres,
  • imię i nazwisko + NIP,
  • adres e-mail klienta dodany do biuletynu.

Nowe podejście do ochrony danych osobowych

Nowe prawo dotyczące ochrony danych osobowych zmienia sposób podejścia do ochrony poprzez wprowadzenie nowych zasad. Zasady te zwiększają samodzielność i odpowiedzialność administratorów.

Przestał obowiązywać obowiązek zgłaszania do Urzędu Nadzoru przetwarzania danych osobowych – np. obowiązek zgłaszania zbiorów. W zamian za to ogólne rozporządzenie wprowadza skuteczne procedury i mechanizmy koncentrujące się na tych operacjach przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W praktyce oznacza to np., że obecne przepisy przewidujące ogólny obowiązek zawiadamiania GIODO o przetwarzaniu danych osobowych (obowiązek zgłaszania zbiorów do rejestracji) przestają obowiązywać. W ich miejsce RODO wprowadza skuteczne procedury i mechanizmy koncentrujące się na tych operacjach przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Podejście oparte na ryzyku jest kolejną zmianą w ochronie danych osobowych. Przetwarzając dane osobowe musimy analizować ryzyko, jakie może to spowodować dla prywatności osób, których te dane dotyczą.

Kolejną nową zasadą wprowadzoną przez RODO jest zasada rozliczalności. Wprowadza ona dodatkowe obowiązki dla administratora danych osobowych. Są nimi wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność z wymogami rozporządzenia (np. procedura opisująca sposób realizacji praw osób, których dane dotyczą). Rozporządzenie nie narzuca konkretnych rozwiązań ani nie określa minimalnych standardów dla ochrony danych osobowych. W zamian za to wskazane zostały instrumenty z których administrator może skorzystać przy wdrażaniu zabezpieczeń. Mogą nimi być kodeksy postępowania, mechanizm certyfikacji, wytyczne Europejskiej Rady Ochrony Danych, sugestie inspektora ochrony danych czy np. normy ISO (np. ISO 27001). W ramach rozliczalności administrator jest zobowiązany wykazać przestrzeganie prawa w postaci np. udokumentowanej informacji dotyczących przeprowadzenia oceny skutków dla ochrony danych.

Źródło: fragment poradnika: “Czy jesteś gotowy na RODO”

Zobacz również: DEMO szkolenia e-learningowego Ochrona Danych Osobowych

Czy Twoja firma jest już gotowa do spełnienia nowych wymagań ochrony danych osobowych?

wyślij wiadomość
Jeśli masz pytanie dotyczące wdrożenia PBI i zapewnienia zgodności z przepisami prawa w zakresie ochrony danych osobowych, kliknij na kopertę lub tutaj, a następnie na formularzu kontaktowym wpisz pytanie i wyślij je do nas. Postaramy się odpowiedzieć jak najszybciej.