Nowe zasady ochrony danych osobowych RODO, zwane również GDPR, wejdą w życie 25 maja 2018 r. Nowe zasady ochrony danych osobowych RODO, zwane również GDPR, wejdą w życie 25 maja 2018 r. Będą one dotyczyć każdego podmiotu przetwarzającego dane osobowe w sposób automatyczny i manualny. Zmiany mają charakter rewolucyjny. Rozporządzenie zarówno na administratora danych, jak i na podmiot przetwarzający nakłada nowe obowiązki związane z zapewnieniem bezpieczeństwa przetwarzania danych osobowych. I tak, podmioty te powinny m.in.:
- szyfrować dane osobowe,
- regularnie sprawdzać i oceniać skuteczność bezpieczeństwa systemów, w których dane są przetwarzane,
- wprowadzać procedury, które pozwolą na zwiększenie poziomu bezpieczeństwa przetwarzania danych,
- do zadań ADO należeć będzie ocena bezpieczeństwa przetwarzania danych oraz wdrożenie odpowiednich rozwiązań, które pozwolą na wyeliminowanie zagrożeń związanych z ich przetwarzaniem.
- ADO powinien stale czuwać nad tym, aby systemy, w których dane osobowe są przetwarzane, spełniały wymogi bezpieczeństwa wynikające z rozporządzenia,
- nie będzie już konieczna rejestracja zbiorów danych osobowych przez GIODO, pojawia się w zamian obowiązek prowadzenia rejestru czynności przetwarzania wewnątrz organizacji,
- nowym bardzo ważnym obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód,
- BARDZO WAŻNE – Zmianie ulegnie statusu i roli ABI.
Jest to znacząca zmiana w kontekście podziału obowiązków pracowniczych i rozwiązań kadrowych. Obecnie nie ma obowiązku powoływania administratora bezpieczeństwa informacji (ABI), a unijne rozporządzenie to zmienia. Obowiązek ten nałożony został zwłaszcza na jednostki sektora publicznego. Zmieni się jednocześnie nazewnictwo – ABI od maja 2018 zostaje Inspektorem Ochrony Danych (IOD). Osoby, których dane będą przetwarzane będą miały prawo kontaktować się z nim w sprawach dotyczących przetwarzania danych osobowych. IOD będzie miał też obowiązek współpracy z GIODO.
Nadto, przepisami RODO wprowadzone zostaje:
- „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte),
- uprawnienie do żądania przeniesienia danych,
- oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane.
Jednocześnie system kar za naruszenie zasad przestrzegania bezpieczeństwa przetwarzania danych osobowych (np. Brak dokumentacji lub IODO) został znacząco rozbudowany i górna ich granica to 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku. Wydaje się to być naprawdę solidną motywacją do zabezpieczenia.
Z opisanych powyżej powodów warto już teraz zadbać o przygotowanie podmiotu do zmian. Ponieważ zmiany mają rewolucyjny charakter przygotowanie obejmuje:
1. Audyt:
Wykonujemy inwentaryzację danych, przeprowadzamy audyty w zakresie procedur i infrastruktury informatycznej i instytucjonalnej, kontrolujące stan ochrony danych.
2. Zarządzanie:
Zarządzanie obejmuje kontrolę procedur jak i zawiera zalecenia dotyczące bezpieczeństwa.
3. Monitoring:
Prowadzimy monitoring bezpieczeństwa oparty o informacje administratora danych osobowych i zapewniamy informowanie instytucji nadrzędnych o wycieku danych w ciągu 72 h od zgłoszenia.
4. Raportowanie:
Tworzymy raporty bezpieczeństwa zarówno dla instytucji nadrzędnych, GIODO.
5. Szkolenie w przedmiocie RODO.
6. Opracowanie lub dostosowanie istniejącej niezbędnej dokumentacji do wymagań RODO.
7. Wprowadzenie IODO (Inspektora Ochrony Danych Osobowych – obecnie ABI) w ramach zlecenia do jednostki organizacyjnej.
Cena ustalana jest po indywidualnych konsultacjach w oparciu o informacje przekazane przez Administratora Danych Osobowych ADO.