RODO – na czym polegają zmiany?
Zmiany w legislacji dotyczące ochrony danych osobowych wchodzą w maju 2018 roku i stanowią dziś przedmiot ożywionego dyskursu. Czym jest owo tajemnicze RODO i czemu wzbudza takie wzburzenie? Dowiedz się, jak przy użyciu intuicyjnego narzędzia poradzić sobie z tym tematem!
RODO – ten czteroliterowy skrót pojawia się dziś w każdej rozmowie na temat bezpieczeństwa IT. Jest to zrozumiałe – zmiany w polityce ochrony danych osobowych ciągną ze sobą poważne konsekwencje w postaci zarówno konieczności wyszkolenia pracowników, jak i pojawienia się perspektywy poniesienia ogromnych kosztów – sięgających nawet 20 mln euro – w przypadku zaniedbania implementacji nowych procedur.
Poważne podejście do tego tematu jest czymś oczywistym; patrząc jednak na narastający chaos wokół RODO, łatwo popaść w spiralę wątpliwości. Dlatego też warto uporządkować sobie podstawowe pojęcia dotyczące tego tematu i usprawnić wdrożenie niezbędnych procedur.
Oto najważniejsze pojęcia dotyczące RODO:
Skrót RODO oznacza Rozporządzenie o Ochronie Danych Osobowych. Jest to zestaw procedur sformułowanych po to, by zapewnić danym osobowym przetwarzanym w firmie maksimum bezpieczeństwa. Rozporządzenie wchodzi w życie 25 maja 2018 roku i – wbrew pozorom – ma na celu rozjaśnienie wątpliwości dotyczących całokształtu procesu obróbki danych.
Według RODO, w definicji danych osobowych mieszczą się wszelkie informacje na temat danej osoby – od numeru dowodu osobistego po informacje udostępniane na wizytówkach. Przykładami danych osobowych są również linie papilarne, wzór siatkówki oka, kod genetyczny, e-mail, czy numer telefonu. Dane, które są najczęściej udostępniane publicznie, to e-mail, numer telefonu czy loginy do portali społecznościowych.
Niemniej jednak, należy mieć na uwadze, że raz udostępnione, dane osobowe mogą pojawiać się we wszystkich zakątkach Internetu. Dlatego też należy postępować z nimi rozważnie.
Istnieje również pojęcie “szczególnych danych osobowych”. Są to bardziej szczegółowe informacje dotyczące danej osoby, takie jak jej stan zdrowia czy majątku. RODO przewiduje, że ogólnie rzecz ujmując, ich przetwarzanie jest zabronione, jednak ostatecznie dopuszcza się ten proces po spełnieniu określonych warunków.
ADO, czyli Administrator Danych Osobowych, jest organem, jednostką organizacyjną, podmiotem lub osobą fizyczną, której zadaniem jest decyzja o celach i środkach przetwarzania danych w różnych instytucjach. Co ciekawe, nie jest to osoba, która przetwarza dane w celach prywatnych lub domowych.
Dzisiejszy ABI, czyli Administrator Bezpieczeństwa Informacji, jest osobą fizyczną współpracującą lub zatrudnioną z ADO. RODO dopuszcza możliwość współpracy z ABI w postaci outsourcingu. Zajmuje się on:
- przygotowaniem wdrożenia i aktualizacji dokumentów potrzebnych do implementacji zmian w zakresie ochrony danych osobowych
- szkoleniem pracowników w zakresie RODO,
- przyjmowaniem zgłoszeń o incydentach dotyczących ochrony danych osobowych,
- minimalizowaniem strat w wypadku incydentu związanego z ochroną danych.
Według ustaleń RODO, kompetencje ABI ma przejąć IODO, czyli Inspektor ds. Ochrony Danych Osobowych. Wiąże się to również z nałożeniem na niego dodatkowych funkcji, które mają odpowiadać założeniom zawartym w rozporządzeniu.
ASI – Administrator Systemu Informatycznego – w zasadzie jest informatykiem zajmującym się zarządzaniem infrastrukturą IT. Do jego zadań należą:
- Nadzór nad bezpieczeństwem danych osobowych,
- Dodawanie bądź edycja danych osobowych,
- Konfiguracja sprzętu (komputerów, laptopów, tabletów, telefonów) służących do przetwarzania danych.
W hierarchii ADO zatrudnia zarówno ABI, jak i ASI. Obowiązki ABI i ASI równoważą się, zatem są zobowiązani do współpracy w zakresie ochrony danych. Jednakże, RODO dopuszcza możliwość, w której ADO nie decyduje się na zatrudnienie wyspecjalizowanego ASI. W takim przypadku, ABI przejmuje obowiązki ASI.
Jakie prawa ma osoba, której dane są przetwarzane?
- Prawo dostępu do danych
Każda osoba, której dane ulegają przetwarzaniu, ma do nich prawnie zapewniony dostęp.
- “Prawo do bycia zapomnianym”
Na administratorze ciąży obowiązek natychmiastowego usunięcia informacji na życzenie osoby, której dotyczy procedura przetwarzania.
- Prawo do przenoszenia danych
Osoba, której dane ulegają przetwarzaniu, ma prawo otrzymać od ADO wszystkie dane w formacie, który nadaje się do odczytu maszynowego. Dodatkowo, administrator ma obowiązek ułatwienia podmiotowi przeniesienia danych w wypadku, gdyby sobie tego zażyczyła. Przeniesienie ma odbywać się:
- Na podstawie zgody,
- Przy zawartej umowie pomiędzy osobą a ADO,
- Gdy dane są przetwarzane w sposób zautomatyzowany.
Jest to główne źródło chaosu panującego wokół tematu RODO i nie ma w tym nic dziwnego – za zaniedbanie implementacji procedur może grozić kara finansowa nałożona na przedsiębiorstwo, która może sięgać nawet do 20 milionów euro. Dopuszcza się również nałożenie kary równej 4% całkowitego światowego obrotu z poprzedniego roku obrotowego. Wymiar finansowy kary zależy od tego, która kwota okazuje się większa.
W niedalekiej przyszłości, każdy program do zarządzania IT będzie musiał spełniać standardy RODO, aby być przydatnym na rynku.
Profesjonalne oprogramowanie, które dotyka problematyki w sposób kompleksowy ma za zadanie nie tylko spełniać funkcje zawarte w Rozporządzeniu; powinno ono maksymalnie ułatwiać jego implementację poprzez automatyzację procesów. Uproszczenie procedur gwarantuje przejrzystość i intuicyjność obsługi – przez co RODO okaże się niczym więcej, jak urozmaiceniem rutyny pracy administratora IT.
Czytaj więcej na http://fakty.interia.pl