Definicje RODO

13 Października 2017, 15:55

Rozporządzenie Ochrony Danych Osobowych to w ostatnich miesiącach jeden z bardziej popularnych aktów prawnych, którego wejście w życie nieodwracalnie zmieni zarówno biznes jak i inne sfery naszego życia. Internet  jest pełen ofert szkoleń i usług wsparcia we wdrożeniu nowych zasad – zanim jednak zdecydujemy się na którąkolwiek warto poszukać wiarygodnego partnera w procesie  dostosowywania się do nowych przepisów. 

Jeśli jesteś przedsiębiorcą przygodę z RODO warto zacząć od art. 4 Rozporządzenia, czyli definicji. Co prawda zasadniczy sposób oraz koncepcja definiowania danych nie uległy zmianie na gruncie ogólnego rozporządzenia o ochronie danych, niemniej jednak pojawia się kilka różnic czy całkowicie nowych pojęć tj. prawo do bycia zapomnianym, którego zastosowanie w przypadku danych zdrowotnych już dziś wywołuje spore dyskusje.

Dane szczególne

Rozporządzenie wprowadza definicje poszczególnych kategorii danych osobowych, takich jak „dane biometryczne”, „dane genetyczne” oraz „dane dotyczące zdrowia”. Doprecyzowany został także terytorialny zakres jego stosowania – do tej pory, do przestrzegania przepisów polskiej ustawy o ochronie danych osobowych zobowiązane były podmioty, które mają siedzibę na terytorium Rzeczypospolitej lub podmioty, które wykorzystują tu środki techniczne (urządzenia i serwery). Obecnie, w przypadku Rozporządzenia będzie to nie tylko obszar całej UE, ale również obowiązek stosowania przepisów przez kraje trzecie oferujące usługi lub towary obywatelom krajów unijnej szesnastki.

Obowiązek informowania

Od lat do informowania GIODO o naruszeniach bezpieczeństwa i ochrony danych osobowych zobligowane były firmy telekomunikacyjne – jednakże w sytuacji, gdy incydenty pozwalały na identyfikację osób. W związku z wdrożeniem nowego Rozporządzenia, podobnym obowiązkiem zostaną objęci wszyscy administratorzy danych. Administratorzy będą musieli ocenić czy naruszenie ochrony danych mogło powodować wysokie ryzyko. Obowiązek informowania nie tylko GIODO, ale i osób, których dane zostały naruszone na pewno będzie trudny dla biznesu i ochrony wizerunku. Jak pokazują liczne przykłady – jak np. wyciek danych w szpitalu w Kole – nieumiejętna komunikacja bądź jej brak w sytuacji kryzysowej może mieć bardzo negatywne konsekwencje dla organizacji, łącznie z upadłością. I przeciwnie: odpowiednie zarządzanie incydentami w połączeniu z właściwą komunikacją kryzysową mogą wzmocnić pozycję organizacji na rynku. Tak więc tym, co będzie decydowało o przewadze rynkowej, będzie sposób i czas reakcji na incydenty oraz umiejętność zarządzania sytuacjami kryzysowymi. 

Przetwarzanie czy profilowanie?

Rozporządzenie sporo miejsca poświęca definicji procesu przetwarzania, ograniczenia przetwarzania  i profilowania  a w ślad za tym kwestii doprecyzowania obowiązków i odpowiedzialności administratora, podmiotu przetwarzającego czy odbiorcy. Wejście w życie Rozporządzenia to nowe wymogi, ale i wysokie finansowe sankcje za ich nie stosowanie.

Ze względu na szybki rozwój społeczeństwa informacyjnego i technologii, a także na cyber zagrożenia i terroryzm, wyzwaniem mogą być niedostosowane, zbyt ogólne i nieprecyzyjne, a właściwe niemożliwe do weryfikacji, sposoby uwierzytelniania użytkowników oraz „prawo do bycia zapomnianym”. Dużym wyzwaniem dla administratorów może być brak świadomości użytkowników dotyczący zagrożeń bezpieczeństwa tj. kradzież tożsamości, w tym powiązanych  z nią danych o stanie zdrowia. Dlatego tak ważne jest by dziś w sposób odpowiedzialny podjąć wyzwanie dostosowania się do nowych przepisów. Skorzystanie z profesjonalnych szkoleń może być w tym bardzo pomocne.

Wojtek Piekarski

Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz