Od 25 maja 2018 r. zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Ogólne rozporządzenie o ochronie danych osobowych (RODO, ang. GDPR) dla podmiotów publicznych, instytucji i organizacji gospodarczych oznacza konieczność poniesienia ogromnego wysiłku organizacyjnego, technicznego i finansowego we wdrożeniu regulacji.
Co to oznacza dla obywateli? Na pewno wzmocnienie ochrony wobec podmiotów, które przetwarzają ich dane; prawo dostępu do własnych danych, prawo do przenoszenia danych, prawo sprzeciwu wobec profilowania oraz „prawo do bycia zapomnianym", tj. możliwość żądania usunięcia danych.
Co oznacza dla Jednostek Samorządu Terytorialnego? Obowiązki, obowiązki, obowiązki; konieczność uporządkowania i wzmocnienia kontroli nad przetwarzanymi danymi osobowymi.
Rozporządzenie określa mnóstwo nowych obowiązków administratora danych, którymi są niewątpliwie Jednostki Samorządu Terytorialnego, w zakresie realizacji praw i wolności osób, których dane dotyczą oraz realizacji obowiązków wobec organu nadzorującego (aktualnie GIODO).
Obecne wymagania dotyczące opracowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz powołania ABI, RODO rozszerza o stworzenie, zarejestrowanie, opublikowanie i stosowanie kodeksu postępowania (pod nadzorem innego podmiotu akredytowanego do kontroli przestrzegania kodeksu). Dalej: konieczne będzie przeprowadzanie oceny skutków dla ochrony danych osobowych dla każdego nowego rodzaju operacji ich przetwarzania (art. 35), powołanie (w miejsce ABI) inspektora ochrony danych, którego niezależność (patrz np. art. 38, ust. 3) oznacza również niestety, że nie można mu wprost zlecać zadań i go z nich rozliczać. Może to zmuszać Jednostki Samorządu Terytorialnego, by do przeprowadzenia powyższej oceny wykorzystywać innych – merytorycznie przygotowanych pracowników, albo… firmy zewnętrzne.
RODO wprowadza obowiązek uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych (Data protection by design and by default) (art. 25) wymagające od Jednostek Samorządu Terytorialnego:
- pseudonimizacji (red. – tj. ograniczenia możliwości tworzenia powiązań zbioru danych z prawdziwą tożsamością osoby, której dane dotyczą) i szyfrowania danych osobowych;
- zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Jednostka Samorządu Terytorialnego będzie zobligowana, aby:
- zweryfikować zakres gromadzonych przez siebie danych osobowych, na jakiej podstawie zostały one zebrane oraz do jakich celów. W razie stwierdzenia, że dane te nie są niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, konieczne jest potwierdzenie, że JST przetwarza je na podstawie zgody.
- ocenić system przetwarzania danych pod kątem wykorzystania ich do celów, do których zostały zebrane,
- zbadać treści uchwał, formularzy, instrukcji i regulaminów związanych z przetwarzaniem danych w celu określenia, czy spełniają wymagania stawiane przez nowe przepisy. Będzie dotyczyć to w szczególności obowiązków informacyjnych w stosunku do mieszkańców.
Wdrożenie właściwych środków organizacyjnych i technicznych oraz wykazanie ich zgodności z ogólnym rozporządzeniem będzie sporym wyzwaniem. Żeby mu sprostać, warto rozważyć skorzystanie z usług wyspecjalizowanej Firmy.
Rozbudowany katalog zadań inspektora ochrony danych wymaga, by taka osoba posiadała fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Zadbaj o odpowiedzialny wybór, zadbaj o bezpieczeństwo!
Zapraszamy do kontaktu z naszymi specjalistami!
Dodaj komentarz