Z GIODO trzeba się będzie liczyć

Przeczytaj także: Rodzina 500 plus a dane osobowe

Rejestr czynności przetwarzania

W Rozporządzeniu zrezygnowano z obowiązku rejestrowania zbiorów danych osobowych. Zastąpiono go jednak obowiązkiem prowadzenia, przez niektórych administratorów danych, rejestru czynności przetwarzania. Będzie on musiał zawierać:

• nazwy oraz dane kontaktowe administratora oraz współadministratorów, inspektora ochrony danych oraz przedstawiciela administratora (jeżeli istnieją),
• cele przetwarzania,
• opis kategorii podmiotów danych oraz kategorii danych osobowych,
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
• planowane terminy usunięcia poszczególnych kategorii danych,
• ogólny opis techniczny i organizacyjny środków bezpieczeństwa,
• informację o przekazaniach danych do państwa trzeciego lub organizacji międzynarodowej.

Właściwe zabezpieczenie danych

Wraz z nowymi przepisami, znacznie zwiększy się nacisk na zapewnienie danym właściwego bezpieczeństwa. Szczególnie istotne będą zabezpieczenia danych przetwarzanych elektronicznie. Każda organizacja będzie zobowiązana do wdrożenia odpowiednich środków, zapewniających poziom bezpieczeństwa, odpowiadający potencjalnym zagrożeniom. Rozporządzenie wymienia katalog czynności, które administrator danych powinien zastosować, w tym zapewnienie możliwości szybkiego przywrócenia dostępności danych w razie incydentu fizycznego lub technicznego. Mowa tu przede wszystkim o zapewnieniu ciągłości działania poprzez stworzenie i wdrożenie odpowiednich procedur awaryjnych i odtworzeniowych. Organizacja będzie także musiała zapewnić regularne testowanie, mierzenie i ocenianie skuteczności wykorzystywanych środków technicznych i organizacyjnych. mających zapewnić bezpieczeństwo przetwarzania. Wymóg ten będzie można spełnić m.in. przez organizowanie regularnych kontroli, audytów czy testów penetracyjnych systemów IT.

Komentarze ekspertów

Najbliższe dwa lata zapowiadają się jako pełne wyzwań tak dla ustawodawcy jak i dla organizacji przetwarzających dane osobowe. Ustawodawca będzie musiał przede wszystkim dostosować przepisy branżowe w zakresie ochrony danych osobowych do rozwiązań ujętych w unijnym Rozporządzeniu. Organizacje z kolei będą musiały odpowiednio dostosowywać funkcjonujący u siebie model przetwarzania danych osobowych. W pierwszej kolejności będą one musiały zająć się takimi kwestiami jak: bezpieczeństwo przetwarzania, wdrożenie stosownych środków organizacyjnych, dostosowanie treści klauzul informacyjnych przekazywanych podczas zbierania danych osobowych, a także zadecydować o konieczności powołania inspektora ochrony danych (Rozporządzenie ustanawia katalog sytuacji, w których będzie to obligatoryjne).

adw. Anna Dmochowska, specjalista ds. ochrony danych

Założeniem europejskiej reformy przepisów o ochronie danych osobowych były wyższe standardy ochrony danych obywateli UE oraz wspólne reguły dla biznesu. To drugie na pewno się udało – takie same przepisy na terenie całej UE, to duże ułatwienie dla biznesu. Czy uda się poprawić standardy ochrony danych, to zależy już od przedsiębiorców przetwarzających te dane. Moim zdaniem tak właśnie się stanie. W końcu GIODO będzie miał zasoby i instrumenty, żeby wymóc na przedsiębiorcach właściwe przetwarzanie danych osobowych na terenie UE.

adw. Marcin Zadrożny, specjalista ds. ochrony danych