Polecane artykuły
    praca przy laptopie

    Ochrona danych w internecie – co zmieniło RODO?

    0
    autor dodano Banki danych, Bazy danych, Biuro

    W jaki sposób należy chronić dane osobowe w internecie? W których aspektach RODO zmieniło zasady ochrony danych obowiązujące do tej pory?

    Przetwarzający dane jest bezpośrednio odpowiedzialny

    Zgodnie z przepisami RODO, odpowiedzialność za ochronę danych w internecie spoczywa na przedsiębiorcy, który może zostać pociągnięty do odpowiedzialności w razie zaniedbań. Organizacje, które przetwarzają dane osobowe pochodzące z innych firm w trakcie świadczenia na ich rzecz usług, są bezpośrednio odpowiedzialne w razie złamania zapisów rozporządzenia. To oznacza, że w takim wypadku na organizację może zostać nałożona kara finansowa sięgająca nawet do 20 milionów euro lub 4% rocznego globalnego obrotu — w zależności od tego, która z tych kwot jest wyższa.

    W praktyce przedsiębiorcy działający jako podmioty przetwarzające (np. firmy hostingowe, dostawcy usług chmurowych, podwykonawcy obsługujący systemy IT) muszą zabezpieczyć powierzone im informacje za pomocą odpowiednich środków technicznych i organizacyjnych. Oznacza to wymóg wdrożenia szyfrowania, kontroli dostępu, regularnych kopii zapasowych oraz testowania podatności systemów na ataki. Podmiot przetwarzający nie może również samodzielnie podejmować decyzji o celach i sposobach przetwarzania — te kompetencje pozostają u administratora danych.

    Administrator musi zgłaszać naruszenia

    Jeżeli dojdzie do naruszeń danych, których skutkiem może być zagrożenie praw i swobód osób, których owe dane dotyczą, administrator ma obowiązek zgłosić to do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od wykrycia incydentu. W określonych przypadkach może także istnieć konieczność bezzwłocznego zawiadomienia konkretnej osoby o ryzyku naruszenia jej praw i swobód — to również obowiązek administratora.

    Zgłoszenie do organu nadzorczego musi zawierać szczegółowy opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie. Ponadto należy wskazać osobę kontaktową (np. inspektora ochrony danych), opisać prawdopodobne konsekwencje naruszenia oraz środki zaradcze podjęte lub planowane w celu zaradzenia naruszeniu i złagodzenia jego skutków. Jeśli naruszenie niesie ze sobą wysokie ryzyko dla praw i wolności osób fizycznych, administrator zobowiązany jest także powiadomić bezpośrednio osoby, których dane dotyczą, w jasnym i zrozumiałym języku.

    Nowe prawa obywateli

    RODO wzmacnia prawo dostępu i wglądu obywatela w jego dane oraz rozszerza jego prawo sprzeciwu wobec ich przetwarzania, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych. Każda osoba ma teraz możliwość uzyskania od administratora potwierdzenia, czy przetwarza on dane osobowe jej dotyczące, a jeśli tak — może zażądać dostępu do nich oraz otrzymać kopię przetwarzanych danych.

    Oprócz rozszerzenia pewnych praw, RODO wprowadza też nowe, takie jak prawo do żądania przeniesienia danych oraz prawo do bycia zapomnianym. To ostatnie daje obywatelom możliwość zażądania od konkretnego podmiotu usunięcia ich danych osobowych, jeżeli nie ma już podstawy prawnej do ich dalszego przetwarzania.

    Prawo do przenoszenia danych umożliwia otrzymanie danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. CSV, JSON, XML) oraz przesłanie ich bezpośrednio innemu administratorowi, jeżeli jest to technicznie możliwe. To rozwiązanie ma szczególne znaczenie w kontekście usług cyfrowych — użytkownik może np. zmienić platformę społecznościową lub dostawcę poczty e-mail, zabierając ze sobą swoje dane bez utraty historii czy kontaktów. Prawo do zapomnienia nie ma jednak charakteru absolutnego — administrator może odmówić usunięcia danych, jeśli ich przetwarzanie jest konieczne np. do wywiązania się z obowiązku prawnego, do dochodzenia roszczeń lub do celów archiwalnych w interesie publicznym.

    Ograniczenie profilowania

    Profilowanie to zjawisko, polegające na tym, że informacje o konsumencie są zbierane na podstawie jego zachowań w sieci. W ten sposób można pozyskać dane między innymi o czyichś zainteresowaniach, lokalizacji, często odwiedzanych miejscach, sytuacji ekonomicznej czy stanie zdrowia. RODO definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, polegającą na wykorzystaniu danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

    RODO nakłada na ten proceder pewne ograniczenia. Jeżeli profilowanie odbywa się w celu marketingu bezpośredniego, mamy prawo zgłosić sprzeciw wobec takiego wykorzystania naszych danych. Firmy mają obowiązek informować o profilowaniu na etapie zbierania danych osobowych oraz na wniosek osoby fizycznej. Ponadto osoba, której dane dotyczą, ma prawo nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa. Wyjątkiem są sytuacje, gdy decyzja taka jest niezbędna do zawarcia lub wykonania umowy, jest dozwolona prawem Unii lub prawem krajowym, albo opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

    Inspektor Danych Osobowych

    Niektóre firmy kontrolujące i przetwarzające dane osobowe zostały obarczone obowiązkiem wyznaczenia Inspektora Ochrony Danych Osobowych (ang. Data Protection Officer, DPO). Obowiązek ten trzeba wypełnić, gdy przetwarzania dokonuje podmiot publiczny (wyjątek obejmuje sądy działające w ramach sprawowania wymiaru sprawiedliwości) oraz główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, a także jeśli rzecz dotyczy przetwarzania na dużą skalę szczególnych kategorii danych osobowych, na przykład medycznych, dotyczących wyroków skazujących i czynów zabronionych czy danych biometrycznych.

    Do zadań Inspektora Ochrony Danych należy informowanie administratora i pracowników o spoczywających na nich obowiązkach wynikających z RODO i innych przepisów o ochronie danych, monitorowanie przestrzegania tych przepisów oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Inspektor jest również punktem kontaktowym dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw wynikających z RODO, a także współpracuje z organem nadzorczym i pełni funkcję punktu kontaktowego dla tego organu w kwestiach związanych z przetwarzaniem. Co ważne, inspektor powinien działać niezależnie — nie może otrzymywać poleceń dotyczących wykonywania swoich zadań ani nie może zostać odwołany lub ukarany za wykonywanie swoich zadań.

    Inwentaryzacja danych

    Podmioty kontrolujące i przetwarzające dane osobowe są na mocy RODO zobowiązane do przygotowania i utrzymania rejestrów czynności przetwarzania. Rejestry te powinny uwzględniać między innymi nazwę i dane kontaktowe administratora, inspektora ochrony danych (jeśli został wyznaczony), cele przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, kategorii odbiorców danych, informacje o przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej (włącznie z udokumentowaniem odpowiednich zabezpieczeń), oraz tam gdzie to możliwe — przewidywane terminy usunięcia poszczególnych kategorii danych, a także ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

    Rejestry mają mieć formę pisemną, w tym w formie elektronicznej, i muszą być udostępniane organowi nadzorczemu na żądanie. Prowadzenie takiego rejestru pozwala administratorowi na bieżącą kontrolę zgodności przetwarzania z wymogami RODO, ułatwia przeprowadzanie analiz ryzyka oraz ocenę skutków dla ochrony danych, a także wspiera procesy audytowe i weryfikacyjne. Rejestr stanowi również narzędzie zarządzania ryzykiem — systematyczne dokumentowanie wszystkich operacji przetwarzania pozwala szybko zidentyfikować obszary wymagające poprawy zabezpieczeń lub aktualizacji dokumentacji.

    Ocena wpływu ochrony danych

    Przed podjęciem działań wysokiego ryzyka, takich jak chociażby profilowanie na dużą skalę, systematyczne monitorowanie publicznie dostępnego obszaru na dużą skalę (np. monitoring wizyjny), wykorzystanie danych szczególnych kategorii (np. dotyczących zdrowia, przekonań religijnych, orientacji seksualnej) lub danych dotyczących wyroków skazujących i czynów zabronionych, obowiązkowo należy wykonać ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych (ang. Data Protection Impact Assessment, DPIA).

    Ocena ta powinna zawierać co najmniej systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym uzasadnionego interesu realizowanego przez administratora, ocenę konieczności i proporcjonalności operacji przetwarzania w odniesieniu do celów, ocenę ryzyka dla praw i wolności osób, których dane dotyczą, oraz środki planowane w celu zaradzenia tym ryzykom, w tym zabezpieczenia, środki bezpieczeństwa i mechanizmy zapewniające ochronę danych osobowych oraz wykazanie zgodności z przepisami RODO, z uwzględnieniem praw i uzasadnionych interesów osób, których dane dotyczą, oraz innych osób, których to dotyczy. W przypadku stwierdzenia, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego ograniczenia, przed rozpoczęciem przetwarzania administrator zasięga opinii organu nadzorczego.

    pokaż znajomym

    dodaj komentarz