Dane pod ścisłym nadzorem
Rozporządzenie o Ochronie Danych Osobowych (RODO), czyli unijny akt prawny to nowość. Określa zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w nieco inny sposób niż dotychczas. Nowe przepisy wprowadzają szereg obowiązków, nowe rodzaje odpowiedzialności, ale też kary finansowe sięgające nie tysięcy złotych, jak dotąd, a milionów … euro! Na przedsiębiorców padł blady strach, ale czy słusznie? - Nie taki diabeł straszny – przekonuje Henryk Kowalski z Europejskiego Centrum Bezpieczeństwa Pracy w Elblągu.
Od 25 maja 2018 r. przepisy dotyczące ochrony danych osobowych będą ujednolicone dla 28 państw Unii Europejskiej. Dotyczyć będą tak naprawdę wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Mogą to być zarówno duże korporacje – na przykład firmy ubezpieczeniowe czy banki, ale i placówki służby zdrowia, a także niewielkie rodzinne przedsiębiorstwa - sklep internetowy czy salon fryzjerski.
- Jeśli dysponujemy takim danymi i mamy zamiar je przetworzyć to naszym obowiązkiem jest je chronić – mówi Henryk Kowalski z Europejskiego Centrum Bezpieczeństwa Pracy w Elblągu, Inspektor Ochrony Danych. - Jednocześnie mamy obowiązek chronić klienta, który ma prawo do wycofania swoich danych (jeśli chce „być zapomnianym”). W tym celu musimy stworzyć taką infrastrukturę – bezpieczne pomieszczenia, odpowiednio zabezpieczone stanowiska pracy, by dane, a szczególnie dane wrażliwe „nie wyciekły”.
RODO, czyli unijne rozporządzenie, które zacznie obowiązywać już za kilka tygodni budzi niepokój wśród przedsiębiorców. Czy słusznie?
- Na początku, gdy wprowadza się coś nowego, występuje opór, bo przeszkadza, bo jest to niewygodnie – twierdzi Henryk Kowalski. - I faktycznie, tak jest, ale jak już się rozpędzi procedury to wszystko wykonywane jest mechanicznie. Dlatego wprowadzanie procedur powinno być maksymalnie uproszczone, instrukcje sformułowane w prostych zdaniach nakazowych, żeby strony, która będzie je wykonywać, nie zmuszać do dużego wysiłku.
- RODO nie pokazuje palcem, co mamy chronić i w jaki sposób – zaznacza ekspert – dlatego, że każda firma będzie miała inny sektor zagrożeń. Innych zabezpieczeń wymaga sektor ubezpieczeniowych, innych bankowy, a jeszcze innych służby zdrowia. Wdrożenie nowych regulacji będzie wymagało od przedsiębiorców kreatywności i wyczucia.
Procedur wymagać będzie np. wypłata wynagrodzenia w pomieszczeniu firmy (podczas realizacji tego zadania obecny może być tylko pracodawca i pracownik), sprzątanie pomieszczeń firmy po godzinach urzędowania (szafy i szuflady z dokumentami muszą być zamknięte na klucz), jak również korespondencja prowadzona drogą elektroniczną (laptop musi być zabezpieczony hasłem, a osoby zaangażowane w proces przetwarzania danych mają obowiązek ich szyfrowania, stosowania środków kryptograficznych w przypadku przesyłania danych przez sieć publiczną).
Jeśli jednak doszło do wycieku informacji o klientach, pacjentach, podopiecznych (w zależności od sektora) administrator danych ma 72 godziny na wdrożenie procedur: zgłoszenie organowi nadzorczemu incydentu godzącego w bezpieczeństwo przetwarzania danych; podanie danych kontaktowych do osoby odpowiedzialnej za utrzymanie zasad bezpieczeństwa; poinformowanie o środkach, które mają zapobiec takim problemom w przyszłości; podanie informacji o działaniach, które zostały podjęte, aby problem już istniejący zlikwidować).
Zabezpieczenia, podobnie jak procedury są bardzo istotne, bo ich brak bądź niezastosowanie może skutkować sankcjami finansowymi. I to nie, jak dotychczas, liczonymi w tysiącach złotych, ale sięgającymi nawet 20 mln euro (!).
A co w sytuacji, gdy doszło do wycieku danych, ale procedury zostały wdrożone - czy przedsiębiorca musi liczyć się z karą?
- To zostanie ustalone indywidualnie, na podstawie oceny zachowania – wyjaśnia Inspektor Danych Osobowych.
Pod uwagę brana będzie m.in.: waga i czas trwania naruszenia przepisów RODO, liczba osób poszkodowanych, których dane dotyczą, rozmiar poniesionej przez nie szkody, a także charakter naruszenia – umyślny lub nieumyślny.
Wysokość kary ustali GIODO.
Europejskie Centrum Bezpieczeństwa Pracy
ul. Stanisława Wyspiańskiego 4
tel. 55 233-56-80
szkolenia-bhp@wp.pl
---------------------reklama-----------------------
- Jeśli dysponujemy takim danymi i mamy zamiar je przetworzyć to naszym obowiązkiem jest je chronić – mówi Henryk Kowalski z Europejskiego Centrum Bezpieczeństwa Pracy w Elblągu, Inspektor Ochrony Danych. - Jednocześnie mamy obowiązek chronić klienta, który ma prawo do wycofania swoich danych (jeśli chce „być zapomnianym”). W tym celu musimy stworzyć taką infrastrukturę – bezpieczne pomieszczenia, odpowiednio zabezpieczone stanowiska pracy, by dane, a szczególnie dane wrażliwe „nie wyciekły”.
RODO, czyli unijne rozporządzenie, które zacznie obowiązywać już za kilka tygodni budzi niepokój wśród przedsiębiorców. Czy słusznie?
- Na początku, gdy wprowadza się coś nowego, występuje opór, bo przeszkadza, bo jest to niewygodnie – twierdzi Henryk Kowalski. - I faktycznie, tak jest, ale jak już się rozpędzi procedury to wszystko wykonywane jest mechanicznie. Dlatego wprowadzanie procedur powinno być maksymalnie uproszczone, instrukcje sformułowane w prostych zdaniach nakazowych, żeby strony, która będzie je wykonywać, nie zmuszać do dużego wysiłku.
- RODO nie pokazuje palcem, co mamy chronić i w jaki sposób – zaznacza ekspert – dlatego, że każda firma będzie miała inny sektor zagrożeń. Innych zabezpieczeń wymaga sektor ubezpieczeniowych, innych bankowy, a jeszcze innych służby zdrowia. Wdrożenie nowych regulacji będzie wymagało od przedsiębiorców kreatywności i wyczucia.
Procedur wymagać będzie np. wypłata wynagrodzenia w pomieszczeniu firmy (podczas realizacji tego zadania obecny może być tylko pracodawca i pracownik), sprzątanie pomieszczeń firmy po godzinach urzędowania (szafy i szuflady z dokumentami muszą być zamknięte na klucz), jak również korespondencja prowadzona drogą elektroniczną (laptop musi być zabezpieczony hasłem, a osoby zaangażowane w proces przetwarzania danych mają obowiązek ich szyfrowania, stosowania środków kryptograficznych w przypadku przesyłania danych przez sieć publiczną).
Jeśli jednak doszło do wycieku informacji o klientach, pacjentach, podopiecznych (w zależności od sektora) administrator danych ma 72 godziny na wdrożenie procedur: zgłoszenie organowi nadzorczemu incydentu godzącego w bezpieczeństwo przetwarzania danych; podanie danych kontaktowych do osoby odpowiedzialnej za utrzymanie zasad bezpieczeństwa; poinformowanie o środkach, które mają zapobiec takim problemom w przyszłości; podanie informacji o działaniach, które zostały podjęte, aby problem już istniejący zlikwidować).
Zabezpieczenia, podobnie jak procedury są bardzo istotne, bo ich brak bądź niezastosowanie może skutkować sankcjami finansowymi. I to nie, jak dotychczas, liczonymi w tysiącach złotych, ale sięgającymi nawet 20 mln euro (!).
A co w sytuacji, gdy doszło do wycieku danych, ale procedury zostały wdrożone - czy przedsiębiorca musi liczyć się z karą?
- To zostanie ustalone indywidualnie, na podstawie oceny zachowania – wyjaśnia Inspektor Danych Osobowych.
Pod uwagę brana będzie m.in.: waga i czas trwania naruszenia przepisów RODO, liczba osób poszkodowanych, których dane dotyczą, rozmiar poniesionej przez nie szkody, a także charakter naruszenia – umyślny lub nieumyślny.
Wysokość kary ustali GIODO.
Europejskie Centrum Bezpieczeństwa Pracy
ul. Stanisława Wyspiańskiego 4
tel. 55 233-56-80
szkolenia-bhp@wp.pl
---------------------reklama-----------------------