Zmiany w przepisach o Ochronie Danych Osobowych

Za daną osobową uważa się każdą informację, na podstawie której możliwe jest zidentyfikowanie osoby. Dana osobowa, obok najbardziej nam znanych, jak imię, nazwisko, adres e-mail, nr telefonu czy adres, to także wizerunek, stan zdrowia, poglądy polityczne, nr IP, nr IMEI oraz wiele innych.

Anna Buczyńska Borowy

Czym jest przetwarzanie danych osobowych?

Przetwarzanie danych osobowych to jakakolwiek operacja wykonana na nich, od zbierania po archiwizowanie, powierzanie, udostępnianie, usuwanie, niszczenie czy animizację informacji o osobie, której dane dotyczą. Dane osobowe stanowią własność osoby i ich bezpieczeństwo gwarantuje Konstytucja RP. Obecna Ustawa o ochronie danych osobowych, pomimo wielu nowelizacji, nie odzwierciedla obecnych procesów zachodzących w otoczeniu biznesu, a mających ogromny wpływ na ochronę naszych danych. Dlatego też, w odpowiedzi na poziom otaczających nas zagrożeń, w zakresie regulacji dotyczących Ochrony Danych Osobowych, we wszystkich krajach członkowskich Unii Europejskiej, w drodze Rozporządzenia i dyrektyw unijnych, 25 maja tego roku wprowadzone zostały bardzo istotne zmiany. Zmiany, o których mowa będą miały ogromny wpływ na realizację procesów biznesowych we wszystkich obszarach działalności firm, zarówno w relacjach B2B, jak i B2C, bez względu na obszar działalności organizacji.

Poważne zmiany

Rozporządzenie, obok zmian w obecnych definicjach w zakresie przetwarzania danych, wprowadza również kary finansowe w wysokości do 20 mln EUR lub 4 proc. globalnych obrotów za rok poprzedni. Zmiany będą dotyczyły również obowiązku powołania Inspektora Ochrony Danych (dawniej ABI) oraz zgłaszania naruszeń do odpowiednich organów ochrony danych osobowych w ciągu 24 lub 72 godzin, zmianę treści obowiązku informacyjnego, a także nowych pojęć, jak Privacy by Design, Privacy by Default, profilowanie. Dla podmiotów mających swoją siedzibę za granicą zostanie wprowadzona zasada terytorialności. Rozporządzenie zawiera, obok już obligatoryjnego sprawdzenia zgodności przetwarzania danych osobowych z wymogami prawa przynajmniej raz w roku, konieczność szacowania ryzyka w obszarach przetwarzania danych oraz zaostrza wymogi w zabezpieczeniach środowiska IT i w systemach informatycznych.

Jak się do tego przygotować?

Ze względu na istotę wprowadzanych w prawie wymogów ważne jest, aby organizacje stosownie przygotowały się do implementacji nadchodzących zmian w procesach biznesowych. To ogromna, wręcz historyczna zmiana, w której, obok zaostrzenia regulacji, wsparcie w ochronie ich danych oraz egzekwowaniu naruszonych praw otrzymają dzieci oraz tzw. osoby fizyczne. Przypominamy, iż obecnie Ustawa o ochronie danych osobowych wymaga od firm: identyfikacji i rejestracji w GIODO zbiorów danych osobowych, posiadania w organizacji Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym, nadania upoważnień do przetwarzania danych, tworzenia wykazu osób upoważnionych, umowy powierzenia danych, zgody i podstawy prawnej na przekazywanie danych do państw trzecich, szkoleń, właściwych klauzul zgody na przetwarzanie danych i treści obowiązku informacyjnego oraz wiele innych. Nie można też zapomnieć o zasadach celowości, czasowości, adekwatności, merytorycznej poprawności, rozliczalności, integralności. Prawidłowe zarządzanie ochroną danych osobowych to budowanie zaufania Klientów, Kontrahentów, to bezpieczeństwo firmy i Zespołów, stanowi i podnosi wymierną wartość dla organizacji. Warto zatem zweryfikować, czy spełniamy wymogi w zakresie ochrony danych osobowych w naszych firmach.

Anna Buczyńska Borowy – Dyrektor Operacyjny/Administrator Bezpieczeństwa Informacji DPAG Data Protection Advisory Group. Absolwentka Akademii Leona Koźmińskiego na kierunku Marketing, Zarządzanie Zasobami Ludzkimi oraz Studiów podyplomowych Uniwersytetu Warszawskiego na Wydziale Psychologii. Uczestniczka Studiów podyplomowych na kierunku Ochrona Danych Osobowych i Informacji Niejawnych Akademii Leona Koźmińskiego w Warszawie. W październiku 2016 planuje dalszą edukację na Wydziale Prawa Uniwersytetu Warszawskiego. Autorka i realizatorka Projektu przeznaczonego dla dzieci i młodzieży „Chronię swoje dane”, którego celem jest podnoszenie edukacji oraz świadomości najmłodszych na temat bezpieczeństwa i ochrony danych osobowych.