General Data Protection Regulation - GDPR(Rozporządzenie o Ochronie Danych Osobowych - RODO)

Jak RODO wpłynie na twoje polityki przechowywania danych

Zrób test gotowości RODO POBIERZ BEZPŁATNY PRZEWODNIK

Rozporządzenie GDPR - większa ochrona danych osobowych w UE

GDPR to skrót od General Data Protection Regulation, znanego w Polsce jako Rozporządzenie o Ochronie Danych Osobowych (RODO). Nowe rozporządzenie dotknie każdej firmy i organizacji, która działając na terenie Unii Europejskiej w jakikolwiek sposób przetwarza dane osobowe. Reguły są złożone, a kary za ich nieprzestrzeganie znaczące (nawet do 20 mln EUR).

Ostateczny termin wdrożenia GDPR (RODO) przez unijne podmioty to 25 maj 2018.

Jeśli prowadzisz biznes na terenie UE to o jego spełnieniu warto pomyśleć już teraz.
Jak się do tego zabrać? Dowiesz się właśnie z tej strony!

https://encryption.eset.com/pl/wp-content/uploads/sites/19/2016/11/calendar.png

Pobierz bezpłatny przewodnik po GDPR

Specjaliści firmy ESET przygotowali dokument szczegółowo opisujący wpływy nowej unijnej regulacji na Twoją działalność.

https://encryption.eset.com/pl/wp-content/uploads/sites/19/2016/08/ipad.png

Online compliance check

Zaprojektowaliśmy tę stronę, by pomóc ci bezstresowo wdrożyć wymogi RODO w twojej firmie.

Wymogi GDPR (RODO) krok po kroku

Zapisy Rozporządzenia GDPR są złożone, dlatego wyróżniliśmy trzy grupy środków w rozbiciu na różne obszary zawierające bardziej szczegółowe wyjaśnienia. Kliknij "+" w poniższej tabeli by poznać szczegóły.

+Wymogi GDPR (RODO) - krok po kroku

Niektóre wymogi GDPR stanowią rozwinięcie elementów obecnie działającej dyrektywy DPR (Data Protection Directive).

Rozporządzenie GDPR przenosi odpowiedzialność za jej wdrożenie na administratorów danych . GDPR dodaje też nowe aspekty do istniejących wytycznych ochrony danych.

Zgodność z prawem, rzetelność i przejrzystość – dane osobowe powinny być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą.

Ograniczenie celu – przetwarzanie do celów archiwalnych w interesie publicznym nie będzie uznawane za niezgodne z pierwotnymi celami.

Przechowywanie – dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby której dane dotyczą przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Rozliczalność – administrator danych jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie.

+Wymagania organizacyjne

Rozporządzenie GDPR nakłada obowiązek wdrożenia szeregu środków w celu zapewnienia najwyższej zgodności z jego zapisami. Do koniecznych środków należą: Ocena skutków dla ochrony danych, audyty, przeglądy polityk, rejestry zdarzeń i (opcjonalnie) powołanie Inspektora Ochrony Danych (DPO).

Rozporządzenie GDPR nakłada obowiązek wyznaczenia Inspektora Ochrony Danych (DPO) na Administratorów Danych, którzy spełniają przynajmniej jedną z przesłanek Rozporządzenia. Inspektorem Ochrony Danych może być członek personelu Administratora Danych lub niezależny zewnętrzny Inspektor.

Jeśli Twoja firma posiada rozbudowaną bazę danych klientów, będziesz musiał prawdopodobnie wyznaczyć DPO. Oczekuje się, że każdy organ nadzorczy w danym kraju dostarczy szczegółowych wyjaśnień, kiedy wyznaczenie DPO będzie obligatoryjne.

DPO będzie odpowiedzialny za monitorowanie przestrzegania Rozporządzenia GDPR, udzielania zaleceń co do oceny skutków dla ochrony danych oraz pełnienie funkcji kontaktu dla organu nadzorczego, odpowiedniego dla danego kraju.

Jest to zasada, zgodnie z którą Administrator Danych powinien podlegać nadzorowi tylko jednego krajowego organu ochrony danych , nawet gdy prowadzi działalność w wielu krajach UE.

+Procesy, procedury i polityki

Naruszenie ochrony danych osobowych według Rozporządzenia GDPR oznacza teraz “naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

W przypadku naruszenia ochrony danych osobowych Administrator Danych musi bez zbędnej zwłoki powiadomić właściwy organ nadzorczy, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

Administrator Danych jest zwolniony z zawiadomienia osoby, której dane dotyczą o takim naruszeniu, w przypadku gdy zostały wdrożone odpowiednie środki techniczne i organizacyjne, w szczególności takie jak szyfrowanie.

Ważną częścią stosowania Rozporządzenia GDPR jest ochrona danych w fazie projektowania. Wymusza ona na wszystkich Administratorach Danych obowiązek uwzględnienia ochrony danych na każdym etapie tworzenia technologii obejmującej ich przetwarzanie. Oznacza to, iż zasady ochrony prywatności będą „wbudowane” w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową.

Ocena skutków dla ochrony danych powinna być dokonywana w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Administrator Danych przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Jeżeli działalność Administratora Danych opiera się na operacjach przekazywania danych do krajów spoza Europejskiego Obszaru Gospodarczego, które nie zapewniają odpowiednich gwarancji ochrony danych osobowych (wydanych przez Komisję Europejską), to po zastosowaniu Rozporządzenia GDPR będzie ona podlegała jeszcze dotkliwszej karze.

+Świadomość zagadnień bezpieczeństwa danych

Nadszedł czas, aby Administrator Danych zaczął uświadamiać swoich pracowników, pod kątem wymagań Rozporządzenia GDPR. Być może już należy opracowywać nowe procedury, a dotychczasowe dostosować do nowych wymogów. Brak odpowiednich działań wdrażających Rozporządzenie GDPR w firmowej sferze IT może za sobą nieść poważne konsekwencje finansowe.

+Rozliczalność – środki techniczne

Rozporządzenie GDPR nakłada na administratorów danych  obowiązek wykazania zgodności w zapewnianiu bezpieczeństwa danych.

Administrator Danych powinien regularnie wykonywać przeglądy i oceny procedur przetwarzania danych aby zapewnić ich przejrzystość i zgodność ze standardami, a także zapewnić odpowiednie bezpieczeństwo fizyczne budynków, w których dane są przetwarzane i okresowo szkolić personel zwiększając wśród pracowników świadomość wykonywanych obowiązków.

+Naruszenie ochrony danych osobowych – środki techniczne

Administrator Danych powinien przygotować się na incydenty związane z naruszeniem ochrony danych osobowych (określone jako “naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”) poprzez wprowadzenie przejrzystych i sprawdzonych procedur, które dadzą pewność, że będzie mógł on reagować i zawiadamiać o incydencie (jeśli wymagane).

Brak zawiadomienia (jeśli było wymagane) może skutkować nałożeniem dodatkowej kary grzywny – obok kary za samo naruszenie ochrony danych osobowych.

+Prawa osób, których dane dotyczą – technicznie

Rozporządzenie GDPR wzmacnia prawa osób których dane dotyczą . Przykładowo daje prawo do żądania informacji o przetwarzanych danych, dostępu do danych w pewnych sytuacjach i poprawiania danych.

Jednym z głównych celów Rozporządzenia GDPR jest wzmocnienie praw osób, których dane dotyczą. W rezultacie ulegną zmianie zasady postępowania z prawem dostępu do danych.

W większości przypadków żądanie osoby, której dane dotyczą będzie wolne od opłat, a Administrator Danych będzie miał obowiązek w terminie miesiącaudzielić informacji o działaniach podjętych w związku z żądaniem.

Prawo do bycia zapomnianym (‘usuwanie’ w terminologii GDPR) umożliwia osobom fizycznym żądania od Administratora Danych usunięcia danych osobowych – bez zbędnej zwłoki, ale tylko w pewnych sytuacjach. Przykładem takich sytuacji jest przetwarzanie danych niezgodnie z prawem lub wycofanie zgody.

Ten sam obowiązek spoczywa także na podmiotach trzecich, którym dane osobowe zostały udostępnione.

Rozporządzenie GDPR rozumie pojęcie profilowania jako “dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. Istnieją jednak wątpliwości, w jaki sposób będą egzekwowane prawa osób do tego, by nie podlegać decyzji opartej na profilowaniu.

Rozporządzenie GDPR wprowadza prawo do przenoszenia danych, dające osobie fizycznej możliwość otrzymywania danych osobowych jej dotyczących w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.

Prawo to posiada jednak pewne ograniczenia dyktowane m.in. automatycznym przetwarzaniem danych.

W ramach wzmocnienia praw osób fizycznych Komisja Europejska przyznaje prawo ograniczenia przetwarzania oraz prawo wniesienia sprzeciwu na marketing bezpośredni, w tym profilowania w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania tych danych do celów marketingu bezpośredniego, to nie wolno już przetwarzać jej danych do takich celów.

Administrator danych ma obowiązek informowania o przysługującym prawie do wniesienia sprzeciwu, w sposób jasny i odrębny od wszelkich innych informacji.

+Informowanie o prywatności (zgody, obowiązek informacyjny)

Administrator Danych będzie musiał przeanalizować w jaki sposób wyszukiwać, pozyskiwać i przechowywać zgody. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Zgoda na przetwarzanie danych osobowych nie może być udzielona poprzez milczenie, domyślnie zaznaczone okienka lub niepodjęcie działania.

Rozporządzenie GDPR zapewnia dodatkową ochronę w sytuacjach przetwarzania danych osobowych dzieci, w szczególności w odniesieniu do komercyjnych usług, jak sieci społecznościowe.

Zgoda osoby sprawującej władzę rodzicielską jest wymagana na przetwarzanie danych osobowych dzieci poniżej 13 roku życia. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.  Jeśli własne zasady przetwarzania danych nie zostaną wprowadzone, zgoda osoby sprawującej władzę rodzicielską na przetwarzanie danych osobowych będzie wymagana w stosunku do dzieci, które nie ukończyły 16 roku życia.

W rezultacie, należy rozpocząć rozważania nad wdrożeniem systemów informatycznych, umożliwiających weryfikację wieku osób fizycznych oraz możliwość zbierania zgód na przetwarzanie danych osobowych, przez osoby sprawujące władzę rodzicielską.

Wyrażenie zgody musi być możliwe do zweryfikowania a komunikaty powinny być sformułowane jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.

Rozporządzenie GDPR poszerzy obowiązek informacyjny wobec osób których dane dotyczą . Należeć do niego będą m.in. podstawa prawna przetwarzania, okres, przez który dane będą przechowywane oraz prawo do wniesienia skargi do organu nadzorczego. Wszelkie komunikaty związane z przetwarzaniem danych osobowych będą musiały być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

+Ochrona danych (integralność i poufność)

Rozporządzenie GDPR określa zasady ochrony danych na poziomie podobnym jak obowiązująca dyrektywa, włączając: rzetelność, zgodność z prawem i przejrzystość; ograniczenie celu; minimalizacja danych; jakość danych; bezpieczeństwo, integralność i poufność.

Administrator Danych musi mieć pewność, że dane osobowe przetwarzane są w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem: “administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”.

Rozporządzenie zaleca szereg środków bezpieczeństwa do osiągnięcia odpowiedniego poziomu zabezpieczenia danych, w tym: pseudonimizacja i szyfrowanie danych osobowych; zapewnienie ciągłości poufności, integralności, dostępności i odporności systemów i usług służących do przetwarzania danych osobowych; zdolność przywrócenia dostępu do danych osobowych w razie incydentu; okresowe, regularne przeprowadzanie testów i oceny skuteczności środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych.

Rozporządzenie GDPR określa szyfrowanie jako jeden ze środków zapewniających zgodność z jego zapisami. To quote from the regulation:

Cytując Artykuł 32 – Bezpieczeństwo przetwarzania:

“1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator  oraz  podmiot przetwarzający  wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: (a) pseudonimizację i szyfrowanie danych osobowych; […]”.

Artykuł 34 – Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

“3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach: (a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; […]”

+Dokumentacja, podstawy prawne i audyty

Administrator Danych zobligowany jest do stworzenia dokumentacji, która będzie zawierała informacje na temat przechowywanych danych osobowych, ich źródła pochodzenia oraz ich ewentualnego dalszego udostępniania.

Jeśli udostępniasz nieprawidłowe/nieaktualne dane osobowe podmiotom trzecim, zgodnie z Rozporządzeniem GDPR musisz powiadomić o tym fakcie podmioty trzecie, aby to one dokonały niezbędnych poprawek w odpowiednich rekordach. Ta czynność będzie wymagała przeprowadzenia wewnętrznego audytu w organizacji Administratora Danych.

Rozporządzenie GDPR stawia wymagania dotyczące weryfikacji tego, w jaki sposób dane osobowe są przetwarzane oraz jakie przesłanki legalności zezwalają Administratorowi Danych na ich przetwarzanie. Jest to bardzo ważne z punktu widzenia ADO, ponieważ po rozpoczęciu stosowania Rozporządzenia GDPR, niektóre prawa osób fizycznych ulegną zmianie. Przykładem jest wzmocnienie prawa do żądania usunięcia danych, gdzie przesłanką legalności do przetwarzania danych była zgoda osoby, której dane dotyczyły. Udzielona zatem zgoda na przetwarzanie, jako jedna z przesłanek legalności, nie zawsze będzie najlepszym sposobem na przetwarzanie danych, zgodne z prawem (ponieważ zgoda może być wycofana).

Informacje podane na tej stronie nie stanowią opinii prawnej, a użytkownicy nie powinni polegać na nich przy podejmowaniu decyzji finansowych i biznesowych. ESET nie ponosi odpowiedzialności za skutki wynikające z takich działań. Zawsze należy zasięgnąć niezależnej porady prawnej.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Blisko 80% firm nie jest gotowych na RODO

Wyniki najnowszego badania organizacji IDC przeprowadzonego wśród 700 specjalistów pokazują, że większość europejskich firm sektora MŚP nie jest przygotowana na RODO, a zrozumienie jego wytycznych i konsekwencji jest na stosunkowo niskim poziomie.

Chcesz wiedzieć więcej? Pobierz pełen raport IDC udostępniony przez ESET:

Zrozumienie znaczenia RODO

25% brak | 52% ograniczone | 22% pełne

W ramach naszej witryny stosujemy pliki cookies. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza zgodę na ich zapis lub wykorzystanie. Możesz dokonać zmiany ustawień cookies w każdym czasie. Więcej szczegółów w naszej "Polityce Prywatności" (w j. angielskim). Zobacz więcej.

Nie pokazuj mi więcej tego komunikatu