Pozostało tylko 14 miesięcy do wejścia w życie  nowych przepisów dotyczących ochrony danych osobowych zgodnych z dyrektywą UE RODO. W przypadku ich niestosowania będą wysokie kary.

Celem unijnej dyrektywy jest  stworzenie nowych regulacji prawnych, uwzględniających postęp technologiczny i rozwój społeczeństwa informacyjnego, które mają zapewnić osobom fizycznym lepszą kontrolę nad ich danymi, jak również przyczynią się do rozwoju gospodarki cyfrowej i budowy jednolitego rynku w Unii Europejskiej.

W Dzienniku Urzędowym Unii Europejskiej (L 119 z dnia 4 maja 2016 r.) opublikowano teksty aktów prawnych, które składają się na kompleksową reformę ochrony danych osobowych, tj. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „rozporządzeniem”.

Kolejnym aktem jest dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, zwana dalej „dyrektywą”.

Przyszłe regulacje  będą wymagały nowego podejścia od podmiotów przetwarzających dane w tym JST, które powinny:

• już teraz przeanalizować wszystkie procesy związane z przetwarzaniem danych,
• wdrożyć odpowiednie środki organizacyjne i techniczne takie jak np. szyfrowanie danych jako metoda zabezpieczenia danych,
• wprowadzić nową funkcje tzw. „Inspektora Ochrony Danych” w miejsce dzisiejszego ABI,
• wdrożyć odpowiednie środki bezpieczeństwa oraz dokonać oceny skutków prawnych dla ochrony danych osobowych przed rozpoczęciem przetwarzania.

Zapisy Dyrektywy wskazują na konieczność zmian w obecnie stosowanych procedurach i systemach informatycznych służących do przetwarzania danych osobowych. Instrukcja zarządzania powyższymi  powinna określać między innymi:

• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym,
• wskazanie osoby odpowiedzialnej za te czynności,
• stosowanie metod i środków uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
• procedury tworzenia kopii zapasowych,
• sposób, miejsce i okres przechowywania zarówno elektronicznych nośników informacji zawierających dane osobowe, jak i kopii zapasowych,
• sposób zabezpieczenia systemu informatycznego,
• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Przewidziano też wysoki kary. Dla przykładu za m.in. „brak zastosowania odpowiednich do ryzyk i zagrożeń środków organizacyjnych i technicznych, zabezpieczających przetwarzanie danych w tym braku szyfrowania…” Generalny Inspektor Ochrony Danych Osobowych będzie mógł nakładać kary administracyjne w wysokości odpowiednio do 10 000 000 euro i do 20 000 000 euro, a w przypadku przedsiębiorstwa aż do 4% rocznego światowego obrotu.

Źródło; ikg.org.pl, autrzy: Joanna Bańkowska i Kamil Galicki