Mazowsze serce Polski nr 2/18
Chroń swoje dane
2018.02.13 09:10 , aktualizacja: 2018.02.13 13:07
Autor: Mateusz Siek (Administrator Bezpieczeństwa Informacji UMWM), Wprowadzenie: Monika Gontarczyk
W maju 2018 r. zaczną obowiązywać nowe przepisy gwarantujące lepszą ochronę danych osobowych – tzw. RODO. Wiemy już, jakie nowe prawa zagwarantują każdemu z nas.
Co to jest RODO?
Rozporządzenie Ogólne o Ochronie Danych Osobowych[1] (General Data Protection Regulation) przyjęte w 2016 r. przez Unię Europejską to nowe wytyczne dotyczące ochrony danych osobowych. Od 25 maja br. mają być stosowane w systemie prawnym każdego państwa członkowskiego UE.
Czemu ma służyć RODO?
Zwiększeniu bezpieczeństwa danych każdego obywatela do tego samego poziomu – niezależnie w którym państwie UE mieszka – ułatwieniu mu dostępu do nich i lepszej kontroli nad wykorzystywaniem ich przez przedsiębiorców i podmioty publiczne.
Czy RODO wymusza zmianę sposobu myślenia o ochronie danych osobowych?
Zdecydowanie tak. Nowe przepisy m.in. kładą akcent na to, aby przetwarzane były tylko te dane, które są niezbędne do realizacji danego celu i tylko w czasie do tego koniecznym. Poza tym RODO wymusza na administratorach analizę, jakie ryzyko związane z przetwarzaniem danych osobowych powstaje dla osoby, której te dane dotyczą. Zwiększony też zostanie obowiązek informacyjny – administrator danych będzie musiał przekazać nam znacznie więcej informacji dotyczących procesu przetwarzania naszych danych i przysługujących nam w związku z tym praw.
Czy każdy będzie mógł się dowiedzieć, jakie jego dane przechowuje firma lub instytucja?
Tak. W większości przypadków można będzie wystąpić do administratora danych osobowych z żądaniem otrzymania ich w formie dokumentu. Przedsiębiorca będzie musiał w tym dokumencie zawrzeć wszystkie informacje na nasz temat, jakimi się posługuje.
Czy będzie można żądać przekazania naszych danych komuś?
Tak. Co do zasady, będzie szansa zlecenia przekazania naszych danych z jednej bazy do bazy innego podmiotu, np. z jednego banku do drugiego, w którym chcemy wziąć kredyt. Ma to ułatwić obywatelowi kompletowanie koniecznych dokumentów. Możemy też choćby zażądać przekazania wyników badań od jednego lekarza do drugiego. Co ważne, to wszystko nie będzie dotyczyć danych przetwarzanych przez podmioty publiczne (w ramach sprawowania władzy publicznej).
Czy będzie można żądać usunięcia naszych danych z bazy?
Tak, ale nie zawsze. Każdy zyska prawo żądania od administratora niezwłocznego usunięcia dotyczących go danych osobowych, a administrator bez zbędnej zwłoki je usunie. Jest to tzw. prawo bycia zapomnianym. Możliwość skorzystania z niego jest jednak ograniczona i dotyczy przede wszystkim przetwarzania opartego na zgodzie osoby, której dane dotyczą. W bazie pozostaną informacje, do których zbierania upoważnia ustawa. Również wtedy z nowego uprawnienia nie będzie można skorzystać w przypadku danych przetwarzanych przez urzędy lub w celach archiwalnych.
Czy nowe przepisy zmieniają zakres chronionych danych osobowych?
Tak. Poszerzają go o tzw. identyfikator internetowy (czyli m.in. pliki cookies czy adres IP urządzeń, z których korzystamy). Katalog danych wzbogacono m.in. o definicję danych genetycznych i biometrycznych.
Czy RODO zobowiązuje do szybszego ujawniania przypadków naruszenia bezpieczeństwa danych?
Tak. Według nowych przepisów każdy przedsiębiorca czy instytucja musi niezwłocznie – w terminie nieprzekraczającym 72 godzin – powiadomić o każdym zdarzeniu grożącym bezpieczeństwu przechowywania danych. Chodzi głównie o włamania – dzisiaj rzadziej oznaczające fizyczne wtargnięcie do pomieszczeń firmy, a częściej ataki hakerskie z wykorzystaniem najnowocześniejszych technologii internetowych. Dodatkowo administrator może być zobowiązany do zawiadomienia osoby, której dane dotyczą. Chodzi o ochronę praw i wolności osób fizycznych oraz umożliwienie im ich obrony.
Czy RODO dokładnie określa procedury ochrony danych?
Nie. Mają przede wszystkim minimalizować ryzyko ich ujawnienia. W obawie przed nienadążaniem przepisów za szybko rozwijającą się technologią pozostawiono każdemu przetwarzającemu dane zaprojektowanie systemu ich ochrony, dostosowanego do firmy lub instytucji. Dlatego zbiory i ich zabezpieczenia mogą się różnić.
Czy każdy podmiot przechowujący dane będzie musiał powołać Inspektora Ochrony Danych (IOD)?
Nie. Głównie przetwarzający dane wrażliwe na dużą skalę oraz organy i podmioty publiczne. Grupa przedsiębiorców lub kilka urzędów będą mogły wyznaczyć wspólnego IOD. Tam, gdzie dotąd działali Administratorzy Bezpieczeństwa Informacji (jak w Urzędzie Marszałkowskim Województwa Mazowieckiego w Warszawie), do 1 września 2018 r. automatycznie mają pełnić funkcję IOD. Ma to przedłużyć czas na zgłoszenie ich w nowej roli.
Czy osobom naruszającym bezpieczeństwo danych grożą surowsze kary?
Tak i w myśl nowego prawa są one bardzo wysokie. Organ nadzorczy może nałożyć na administratora danych osobowych karę w wysokości do 10 mln euro lub do 2 proc. rocznego, światowego obrotu przedsiębiorstwa, a w przypadku szczególnie rażących pogwałceń prawa – nawet do 20 mln euro lub do 4 proc. całkowitego obrotu firmy. Przy określaniu wysokości kary organ weźmie pod uwagę m.in charakter, wagę i czas trwania naruszenia, umyślność, podjęte działania minimalizujące, stopień odpowiedzialności, recydywę, współpracę z organem nadzorczym, stosowanie kodeksów postępowania lub mechanizmów certyfikacji. W tej sytuacji trudno wyobrazić sobie zastosowanie kary w maksymalnym wymiarze.
Czy urzędy też będą płacić takie horrendalne kary?
W przypadku organów i podmiotów publicznych ustawodawca w Polsce zamierza ustanowić górną granicę odpowiedzialności w wysokości 100 tys. zł.
Gdzie należy zgłaszać przypadki podejrzenia naruszenia ochrony danych osobowych?
Oczywiście najpierw administratorowi tych danych. W razie dalszych wątpliwości organem państwowym, który rozpatruje skargi w tych sprawach, jest Generalny Inspektor Ochrony Danych Osobowych, a po 25 maja jego miejsce zająć ma Urząd Ochrony Danych Osobowych.
---
DANE OSOBOWE PODLEGAJĄCE OCHRONIE
Wszystkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować. W szczególności według RODO są to: imię i nazwisko, adres zamieszkania, data urodzenia, numery ewidencyjne, opis cech fizjologicznych czy umysłowych, adresy poczty internetowej, identyfikator internetowy i dane lokalizacyjne. Niektóre z nich same w sobie stanowią już daną osobową (np. numer PESEL), inne dopiero w powiązaniu z dodatkową informacją (np. karta zniżkowa w powiązaniu z adresem klienta) pozwalającą zidentyfikować konkretną osobę. Część informacji to dane szczególnie wrażliwe. Są to m.in. informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności do związków zawodowych, dane genetyczne, biometryczne, o stanie zdrowia, seksualności lub orientacji seksualnej czy naruszeniach prawa.
---
LICZBY
2610 skarg na naruszenie przepisów o ochronie danych osobowych wpłynęło do GIODO w 2016 r. To o 354 więcej niż rok wcześniej. W ich efekcie wydano 1205 decyzji administracyjnych – prawie 2 razy więcej niż w 2015 r. (tylko 646).
147 kontroli przeprowadził GIODO w 2016 r., w ich efekcie złożono 3 zawiadomienia o popełnieniu przestępstwa i podjęto 44 decyzje administracyjne
676 decyzji GIODO w 2016 r. podlegało egzekucji administracyjnej. 75 proc. z nich wydano na skutek postępowania zainicjowanego skargą. 56 decyzji zostało wykonanych.
36 zawiadomień o przestępstwie złożył w sumie GIODO w 2016 r.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Liczba wyświetleń: 415
powrótSzanowni Państwo, jeżeli opublikowany artykuł nie jest prawidłowo odczytany przez czytnik ekranu, prosimy o przesłanie uwag do artykułu wraz z podaniem linka do informacji, której dotyczy pytanie. Postaramy się udostępnić bardziej czytelny plik.