Ogólne rozporządzenie o ochronie danych osobowych (RODO) będziemy stosować od 25 maja 2018 r. Oznacza to, że wszystkie materialne przepisy RODO, od tej daty, będą bezpośrednio obowiązywać i mieć bezpośredni skutek. GIODO przygotował zestaw 17 pytań, które mają pozwolić administratorowi danych ocenić stan przygotowania do RODO. GIODO publikuje także odpowiedzi. W niniejszym artykule przedstawiamy informacje dotyczące bezpieczeństwa danych osobowych i zgodność z RODO.

Bezpieczeństwo danych osobowych i zgodność z RODO

Jednym z podstawowych celów ogólnego rozporządzenia o ochronie danych było dostosowanie zasad ochrony danych do wyzwań XXI w., takich jak internet rzeczy, czytniki RFID czy przetwarzanie danych w chmurze obliczeniowej. Prawo nigdy nie nadąży za rozwojem technologicznym, stąd też wiele przepisów rozporządzenia jest bardzo ogólnych i przede wszystkim technologicznie neutralnych (bez odniesień do konkretnych rozwiązań) – po to, aby rozporządzenie zachowało aktualność także za 5 czy 10 lat. Efektem takiego myślenia jest przyjęta w rozporządzeniu koncepcja uwzględniania w każdym procesie przetwarzania danych ryzyka dla praw i wolności, jakie może nieść to przetwarzanie i każdorazowe dostosowywanie wykorzystywanych narzędzi zabezpieczających dane to tego ryzyka.

Każdy administrator danych zobowiązany jest, żeby dane osobowe przetwarzał z poszanowaniem podstawowych zasad. W kontekście nadchodzących zmian szczególną uwagę warto zwrócić na zasadę integralności i poufności. Rozporządzenie definiuje ją następująco: Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Każdy, kto przetwarza dane osobowe, musi więc odpowiednio je zabezpieczyć, tak by uniemożliwić ich nieuprawnione udostępnienie.

W ogólnym rozporządzeniu nie znajdziemy jednak szczegółowych wskazówek, jakie środki organizacyjne i techniczne wdrożyć. Rozporządzenie zachęca jedynie do skorzystania z narzędzi pseudonimizacji czy też szyfrowania danych. W przepisach nie znajdziemy również minimalnych standardów technicznych bezpieczeństwa danych, a w maju przyszłego roku przestanie w dodatku obowiązywać rozporządzenie techniczne MSWiA do ustawy o ochronie danych osobowych (gdzie mamy chociażby wskazówki dotyczące częstotliwości zmiany hasła).

Zgodnie z zasadą rozliczalności, to administrator danych – uwzględniając aktualny stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres i cele przetwarzania danych – samodzielnie będzie decydował, jakie środki bezpieczeństwa wdrożyć, by zapewnić zgodność przetwarzania danych z wymogami rozporządzenia. Może więc uznać, że od maja 2018 r. nadal aktualne pozostaną środki techniczne i organizacyjne wdrożone i udokumentowane w dotychczasowej polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym albo też podjąć decyzję o wdrożeniu zupełnie nowych środków.

Ważne, by – oceniając stopień bezpieczeństwa przetwarzanych danych osobowych – uwzględnić przede wszystkim ryzyko wiążące się z przetwarzaniem, wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ryzyko to może prowadzić do kradzieży tożsamości, straty majątkowej czy też naruszenia dóbr osobistych osoby, których te dane dotyczą. W sytuacji, kiedy doszłoby to takiego naruszenia ochrony danych, każdy administrator będzie zobowiązany do zgłoszenia tego faktu do GIODO, a w szczególnych przypadkach także do osób, których dane zostały naruszone.

W tym aspekcie pomocne może być stosowanie zatwierdzonych przez GIODO po 25 maja 2018 r. kodeksów postępowania. W tych właśnie dokumentach możliwe będzie doprecyzowanie przepisów ogólnego rozporządzenia, także tych dotyczących bezpieczeństwa danych. Grupa administratorów danych, np. zrzeszonych w izbie czy związku branżowym, może w opracowanym kodeksie zaproponować modelowe rozwiązania techniczne mające na celu zapewnienie poufności i integralności danych, a które będą ponadto bardzo pomocne dla wszystkich administratorów, którzy zobowiążą się do stosowania kodeksu.

Innym rozwiązaniem, dzięki któremu będzie można wykazać wywiązywanie się z obowiązku zabezpieczania danych, będzie stosowanie mechanizmu certyfikacji, czyli uzyskiwanie stosownych zaświadczeń i znaków jakości potwierdzających właściwe zabezpieczenie danych osobowych.

Źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy i zarządzania środkami bezpieczeństwa mogą być też, krajowe, europejskie lub międzynarodowe normy, w tym normy ISO.

Możesz zobaczyć ten artykuł, jak i wiele innych w naszym portalu Controlling 24. Wystarczy, że klikniesz tutaj.

Źródło: ksiegowosc.infor.pl

Zobacz również

Ministerstwo Finansów pracuje nad zmianami w pkpir od 1 stycznia 2025 r.

Minister Finansów przygotował projekt rozporządzenia w sprawie zmian w pkpir. Proponowane zmiany są związane z koniecznością dostosowania pkpir do wprowadzanego od 1 stycznia 2025 r. kasowego PIT.

Czytaj więcej

Kiedy pracodawca odpowiada za faktury sfałszowane przez pracownika?

Kiedy pracodawca odpowiada za faktury sfałszowane przez pracownika?

Odpowiedzialność podatników VAT za „puste” lub fałszywe faktury to wciąż gorący temat. W praktyce zdarzają się sytuacje, gdy takie faktury wystawi pracownik, bez wiedzy i zgody pracodawcy. Pojawia się wówczas pytanie, kto w takich przypadkach obowiązany jest do zapłaty kwoty podatku wskazanej na fakturze – pracodawca czy pracownik?

Czytaj więcej

Polecamy

Przejdź do

Partnerzy

Reklama

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.