suncapital[at]suncapital.pl (+48) 71-707-03-76

RODO - podstawowe informacje dla administratorów

Co zmienia data: 25 maja 2018?

Nowe unijne ustawodawstwo spędza sen z oczu wielu administratorów IT. To od nich zarządy firm będą oczekiwać zabezpieczenia danych przed wyciekiem. A jeśli taki nastąpi, czego nigdy nie należy wykluczać, informatycy powinni udowodnić, że zrobili wszystko, co możliwe, aby działać zgodnie z przepisami.

Których podmiotów dotyczą przepisy?

Mniejsze firmy nie są będą zadowolond z tego, że nowe obostrzenia dotyczące bezpieczeństwa i ewentualne kary dotkną ich w podobnych proporcjach jak największe przedsiębiorstwa. Wszystkim nowe przepisy narzucają, żeby w bardziej dojrzały sposób gromadziły, przechowywały i przetwarzały dane osobowe klientów/petentów.

Dodatkowo od firm zatrudniających więcej niż 250 pracowników oczekuje się wprowadzenia stanowiska specjalisty ds. ochrony danych osobowych (Data Protection Officer, DPO). Dla mnijszych firm zalecane jest, aby także miały do dyspozycji osobę o podobnej funkcji, np. w charakterze konsultanta, zatrudnionego na umowę-zlecenie lub w niepełnym wymiarze godzin.

O czym należy wiedzieć, jakie konkretnie przepisy mogą być problematyczne?

Artykuł 323 dotyczy bezpieczeństwa przetwarzania danych: 
1. Biorąc pod uwagę aktualny stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania danych, a także ryzyko zmiennego prawdopodobieństwa i surowości w odniesieniu do praw i wolności osób fizycznych, administrator i podmiot przetwarzający dane powinni wdrożyć odpowiednie działania techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa właściwego dla ryzyka, włączając w to między innymi stosowną/y: 
(a) Pseudonimizację i szyfrowanie danych osobowych; 
(b) Możliwość zapewnienia ciągłej poufności, integralności, dostępności i wytrzymałości systemów przetwarzania i usług przetwarzających dane osobowe; 
(c) Możliwość przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku zdarzenia fizycznego lub technicznego; 
(d) Proces regularnego sprawdzania i oceny skuteczności technicznej i organizacyjnej działań zapewniających bezpieczeństwo przetwarzania.

W przypadku naruszenia danych osobowych, Artykuł 333 określa, że przedsiębiorstwo w ciągu 72 godzin ma obowiązek powiadomić organ nadzoru po zapoznaniu się z naruszeniem. Jednakże firma może, ale nie jest zobowiązana do powiadomienia osób, których dane zostały naruszone. Artykuł 343 stanowi: 

1. Jeśli naruszenie danych osobowych mogłoby spowodować wysokie ryzyko praw i wolności osób fizycznych, administrator powinien zakomunikować naruszenie danych osobowych bez zbędnej zwłoki. 

2. (...) 

3. Zakomunikowanie osobie, której dane dotyczą, a o których jest mowa w paragrafie 1 nie jest wymagane, jeśli spełniony jest którykolwiek z następujących warunków: 

. (a)  Administrator wdrożył odpowiednio zabezpieczające środki techniczne i organizacyjne, które zostały zastosowane w danych osobowych, dotkniętych naruszeniem, a w szczególności takie, które czynią dane osobowe niezrozumiałymi dla nikogo, kto nie jest upoważniony do ich dostępu, jak na przykład szyfrowanie; 

. (b)  Administrator podjął kolejne kroki, które zagwarantują, że nie istnieje prawdopodobieństwo wystąpienia wysokiego ryzyka praw i wolności osób, których dotyczą dane, o których mowa w paragrafie 1 lub; 

. (c) Wymagałoby to nieproporcjonalnego wysiłku. W takim przypadku zamiast tego, powinien pojawić się komunikat publiczny lub podobny środek, na mocy, którego można przekazać dane w równie skuteczny sposób.

Jakie zagrożenie dla firm, może skutkować niesdostosowanie się do nowych regulacji?

Artykuł 833 w sprawie grzywien administracyjnych określa ewentualną maksymalną sankcję:

1. Naruszenia następujących przepisów, zgodnie z ustawą 2a podlegają grzywnie administracyjnej do maksymalnej wysokości 20 000 000 euro, a w przypadku przedsiębiorstwa aż do 4% całkowitego poprzedniego roku obrotowego, w zależności od tego, który jest wyższy.

*Zagadnienia prawne oparte na dokuemntacji przygotowanej przez firmę SOPHOS