пропозиції роботи
Leszek
K.
Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.
Temat: Najważniejsze zmiany w przepisach o ochronie danych...
Drodzy Państwo,poniżej przedstawiam zestawienie 10 najważniejszych zmian, jakie pojawiają sie z nowym rozporządzeniem europejskim dotyczącym ochrony danych osobowych, które w życie miałoby wejść w 2018 r.
===========================================
1. Przystępny język, zrozumiały dla przeciętnego odbiorcy.
Częścią rozporządzenia jest preambuła, rzadko spotykana w polskich aktach prawnych, która wyjaśnia powody wprowadzenia poszczególnych przepisów oraz wyraźnie definiuje ich cel. Taki wstęp pomaga zrozumieć kontekst całego rozporządzenia. Co warto zaznaczyć, w dalszej części dokumentu język również jest bardzo przystępny, przez co każdy z łatwością zrozumie, jakie ma prawa, obowiązki i jaka odpowiedzialność na nim ciąży.
2. Przetwarzanie danych przez grupy przedsiębiorstw
W rozporządzeniu pojawia się pojęcie współadministratorów danych. Wcześniej podmioty te występowały jako odrębni administratorzy danych, z tymi samymi prawami i obowiązkami. Dzięki nowym przepisom, możliwy jest podział obowiązków pomiędzy dwa (lub więcej) podmioty. Co więcej, rozporządzenie dostrzega w końcu grupy kapitałowe (grupy przedsiębiorstw) i ułatwia im przetwarzanie danych, w tym międzynarodową wymianę danych osobowych. Nawiasem mówiąc współadministratorzy pojawili się wraz z programem 500+ - tu była na ten temat ciekawa dyskusja.
3. Zgoda na przetwarzanie danych dzieci
W rozporządzeniu uregulowano zasady przetwarzania danych dzieci, korzystających z tzw. usług społeczeństwa informacyjnego, takich jak Facebook czy Google. Dotąd jedyną podstawą prawną przetwarzania ich danych była zgoda, ograniczana przez przepisy Kodeksu cywilnego, teraz wiemy, że dzieci mogą wyrazić korzystać z usług jeśli skończyły 16 lat (w Polsce), w przeciwnym wypadku rodzice muszą wyrazić zgodę, a przetwarzający dane ma obowiązek tego dopilnować.
4. Zgłaszanie incydentów do GIODO
Nowością jest obowiązek zgłaszania wycieku danych do GIODO w czasie do 72 godzin od jego wystąpienia. Jeśli naruszenie jest poważne, o naruszeniu należy też poinformować osoby, których dane są przetwarzane w ramach danego podmiotu. Takie przepisy już obowiązywały wcześniej w Polsce np. przedsiębiorców telekomunikacyjnych
5. Dopasowanie wymagań do skali przedsiębiorstwa
Rozporządzenie, jako jeden z nielicznych aktów prawnych, uzależnia stawiane przedsiębiorstwom wymogi od ich wielkości i rodzaju prowadzonej działalności. Przykładowo, małe organizacje nie muszą powoływać inspektora ochrony danych ani prowadzić tzw. rejestru przetwarzania. To jest szalenie dobra zmiana, dzisiaj przecież wymagania tak samo musiał spełniać mały sklepikarz jak duży bank czy międzynarodowa korporacja.
6. Prywatność od początku - koncepcja „privacy by design”
Podczas projektowania systemu ochrony danych osobowych należy wdrażać takie środki, by od samego początku chronić przetwarzane dane oraz prywatność osób, których dane dotyczą (tzw. "privacy by design"). Zgodne z tym wymogiem, ustawienia aplikacji czy serwisów społecznościowych domyślnie powinny udostępniać minimalną ilość informacji o użytkowniku. Poszerzenie zakresu udostępnianych danych może nastąpić jedynie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Wcześniej takie zagadnienia nie były uregulowane w polskim prawie. Najlepszym przykładame może byc ściana (wall) Facebook'a - stosując tę koncepcję wpisy powinny być widoczne tylko dla znajomych bądź nawet dla nikogo, a ich "większa" widoczność - jeśli życzy sobie tego użytkownik - powinna być ustawiona przez niego samego.
7. Rejestrowanie czynności przetwarzania | rezygnacja z rejestracji zbiorów
Rozporządzenie wprowadza obowiązek prowadzenia przez przedsiębiorców dokumentacji czynności przetwarzania. Muszą oni przeprowadzać ocenę skutków przetwarzania i jeśli przetwarzanie niosłoby duże zagrożenie dla prywatności osób, to przed rozpoczęciem przetwarzania powinni skonsultować się z GIODO, który udzieli porady. Proces ten miałby zastąpić obecny proces rejestracji zbiorów, który jak na razie stanowi swojego rodzaju ocenę skutków przetwarzania, tyle że dokonywany przez GIODO.
8. Większe kary
Rozporządzenie wprowadza nowe, dużo wyższe niż obecnie, kary za nieprzestrzeganie przepisów dotyczących ochrony danych. Sankcje mogą sięgać 20 mln euro lub 4% światowego obrotu przedsiębiorstwa. Każdy przypadek ma być jednak rozpatrywany indywidualnie, w zależności od stopnia winy, naprawienia (lub nie) szkody, tego , czy podobne sytuacje w danym przedsiębiorstwie miały już miejsce w przeszłości, itp. W zasadzie gwoli ścisłości można by powiedzieć, że do tej pory nie było kar... bo grzywny wynikające z przepisów karnych to ogromna rzadkość, zaś egzekucja to jednak inny temat.
9. Inspektor ochrony danych zamiast administratora bezpieczeństwa informacji
Rozporządzenie wprowadza nową nazwę dla administratora bezpieczeństwa informacji, który stanie się inspektorem ochrony danych. Absolutną nowością jest to, że osoby, których dane przetwarza się mogą kontaktować się z inspektorem ochrony danych osobowych. W tym celu jego dane należy podawać m.in. podczas zbierania danych osobowych. Inspektor będzie też musiał współpracować z GIODO.
10. Łatwiejsze i bezpłatne składanie i rozpatrywanie skarg
Dzisiaj aby złożyć skargę do GIODO należało wnieść opłatę skarbową w wysokości 10 zł. Rozporządzenie likwiduje jakiekolwiek opłaty za możliwość złożenia skargi. Co więcej – skarga może być przekazana przez GIODO do innego organu w innym państwie, jeśli sprawa tego wymaga. Skargę można złożyć w każdym organie będącym odpowiednikiem naszego GIODO, i tak zostanie przekazana do odpowiedniego organu i rozpatrzona, bo mają one obowiązek współpracować ze sobą.
===========================================
Jak myślicie, jakie jeszcze istotne zmiany wprowadzaja nowe przepisy? Co sądzicie o tych zmianach?Ten post został edytowany przez Autora dnia 16.04.16 o godzinie 09:43
