Archiwa tagu: UE

GDPR – co trzeba wiedzieć

 Co należy wiedzieć o GDPR?

8 kwietnia 2016r. Rada UE przyjęła rozporządzenie General Data Protection Regulation (GDPR) czyli Rozporządzenie o Ochronie Danych Osobowych (RODO) i powiązaną z nim Dyrektywę. 14 kwietnia 2016r. Rozporządzenie i Dyrektywa zostały przyjęte przez Parlament Europejski. Rozporządzenie zacznie obowiązywać od 25 maja 2018 roku.

Rozporządzenie ma na celu:

1) wzmocnienie i ujednolicenie praw dotyczących prywatności w sieci i ochrony danych osób fizycznych na terenie Unii Europejskiej (wspólne rozporządzenie zunifikuje i zastąpi 28 dotychczasowych regulacji poszczególnych państw członkowskich);
2) uproszczenie regulacji bezpieczeństwa dla firm i organizacji obsługujących mieszkańców UE.

Co się zmienia?

Prawo do wiedzy o naruszeniu bezpieczeństwa danych.
– Firmy i organizacje muszą informować kompetentne organy publiczne zajmujące się ochroną danych osobowych o każdym przypadku naruszenia bezpieczeństwa danych w przypadku, gdy może ono narazić osobę, której dane zostały naruszone
– Firmy i organizacje muszą informować o naruszeniu – samych zainteresowanych – tak, by mogli przedsięwziąć odpowiednie kroki bezpieczeństwa. W Polsce organem publicznym zajmującym się ochroną danych jest Generalny Inspektor Ochrony Danych Osobowych – GIODO.

Silniejsze egzekwowanie zasad bezpieczeństwa. Organy ochrony danych będą mogły karać firmy nie stosujące przepisów UE grzywną w wysokości nawet do 4% ich rocznego globalnego obrotu. Kary administracyjne nie są obligatoryjne, a o ich nałożeniu ma każdorazowo decydować rozpatrzenie indywidualnego przypadku.

72 godziny – w takim czasie należy poinformować organ nadzorczy (GIODO) o wykryciu naruszenia bezpieczeństwa danych.

„Zasada prywatności w ustawieniach domyślnych” i „Zasada prywatności w fazie projektowania”. Ich podstawowym celem jest „wbudowanie” zasad ochrony prywatności w każdy projekt zakładający przetwarzanie danych osobowych tak, by od samego początku jego istnienia ochrona prywatności stanowiła jego część składową.

• Prawa UE muszą być stosowane
– przy  przekazywaniu za granicę danych osobowych przez aktywne w UE firmy oferujące swoje produkty i usługi (w tym bezpłatne) obywatelom UE
– gdy firmy te monitorują zachowania osób w UE.

 

Co to są dane osobowe (osobiste) chronione przez GDPR?

To „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej” (http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL)

 

Ochrona danych

Art. 32. RODO poświęcony bezpieczeństwu przetwarzania danych stwierdza:

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a)  pseudonimizację i szyfrowanie danych osobowych;

b)  zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c)  zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d)  regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

 

Przykłady zaniedbań podlegające grzywnie

Artykuł 83 stwierdza, że podlega grzywnie:

a) Jeśli Administrator Danych Osobowych (ADO) nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw osób, których dane dotyczą,

b)Jeśli ADO nie uwzględnił ochrony danych w fazie projektowania (na etapie projektowania systemu informatycznego),

c) Jeśli ADO nie zgłosił incydentu w ciągu 72h po stwierdzeniu naruszenia, organowi nadzorczemu (jeśli incydent skutkował naruszeniem praw lub wolności osób fizycznych).

Lepiej więc chuchać na zimne i już teraz poszukiwać rozwiązań, które pozwolą nam spać spokojnie. Do wiosny 2018 r. 😉

Mamy dla Ciebie podręcznik mówiący o rozporządzeniu GDPR, a w nim:
– Co się właściwie zmienia wraz z datą obowiązywania ustawy?
– Co to są „dane osobowe”?
– Przykłady zaniedbań podlegające grzywnie.
– Przygotowanie polskich firm do RODO.
– Zalecenia dla firm i organizacji

Polecamy!