Pozostało tylko 14 miesięcy do wejścia w życie nowych przepisów dotyczących ochrony danych osobowych zgodnych z dyrektywą UE RODO. W przypadku ich niestosowania będą wysokie kary.
Celem unijnej dyrektywy jest stworzenie nowych regulacji prawnych, uwzględniających postęp technologiczny i rozwój społeczeństwa informacyjnego, które mają zapewnić osobom fizycznym lepszą kontrolę nad ich danymi, jak również przyczynią się do rozwoju gospodarki cyfrowej i budowy jednolitego rynku w Unii Europejskiej.
W Dzienniku Urzędowym Unii Europejskiej (L 119 z dnia 4 maja 2016 r.) opublikowano teksty aktów prawnych, które składają się na kompleksową reformę ochrony danych osobowych, tj. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „rozporządzeniem”.
Kolejnym aktem jest dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, zwana dalej „dyrektywą”.
Przyszłe regulacje będą wymagały nowego podejścia od podmiotów przetwarzających dane w tym JST, które powinny:
- już teraz przeanalizować wszystkie procesy związane z przetwarzaniem danych,
- wdrożyć odpowiednie środki organizacyjne i techniczne takie jak np. szyfrowanie danych jako metoda zabezpieczenia danych,
- wprowadzić nową funkcje tzw. „Inspektora Ochrony Danych” w miejsce dzisiejszego ABI,
- wdrożyć odpowiednie środki bezpieczeństwa oraz dokonać oceny skutków prawnych dla ochrony danych osobowych przed rozpoczęciem przetwarzania.
Zapisy Dyrektywy wskazują na konieczność zmian w obecnie stosowanych procedurach i systemach informatycznych służących do przetwarzania danych osobowych. Instrukcja zarządzania powyższymi powinna określać między innymi:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym,
- wskazanie osoby odpowiedzialnej za te czynności,
- stosowanie metod i środków uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych,
- sposób, miejsce i okres przechowywania zarówno elektronicznych nośników informacji zawierających dane osobowe, jak i kopii zapasowych,
- sposób zabezpieczenia systemu informatycznego,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Przewidziano też wysoki kary. Dla przykładu za m.in. „brak zastosowania odpowiednich do ryzyk i zagrożeń środków organizacyjnych i technicznych, zabezpieczających przetwarzanie danych w tym braku szyfrowania…” Generalny Inspektor Ochrony Danych Osobowych będzie mógł nakładać kary administracyjne w wysokości odpowiednio do 10 000 000 euro i do 20 000 000 euro, a w przypadku przedsiębiorstwa aż do 4% rocznego światowego obrotu.
Źródło; ikg.org.pl, autrzy: Joanna Bańkowska i Kamil Galicki