Ochrona danych osobowych zgodnie z nowym Rozporządzeniem UE

Ochrona danych osobowych zgodnie z nowym Rozporządzeniem UE

Jedną z ważniejszych zmian wprowadzonych rozporządzeniem jest konieczność uwzględniania ochrony danych już w fazie projektowania oraz domyślna ochrona danych. Oznacza to, że od pierwszych chwil gdy pojawia się w organizacji inicjatywa związana z nowymi formami przetwarzania danych osobowych należy rozpoznać ryzyka wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. A proces ten należy okresowo powtarzać.

Biorąc pod uwagę wyniki przeprowadzonej analizy należy następnie należy wdrożyć odpowiednie środki techniczne i organizacyjne minimalizujące to ryzyko, między innymi poprzez:

a)            pseudonimizację i szyfrowanie danych osobowych;

b)           zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c)            zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d)           regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W  Rozporządzeniu Parlamentu Europejskiego i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych podkreśla się obowiązek ograniczania dostępu danych, konieczność minimalizacji gromadzonych danych, jak również obowiązek określenia okresu, przez który dane osobowe będą przetwarzane. W przypadku wykrycia naruszeń bezpieczeństwa (np. włamań) przedsiębiorca będzie mieć obowiązek poinformowania o fakcie nie tylko organu nadzorczego (np. GIODO), ale i wszystkich osób, których dane zostały ujawnione.

Warto też zaznaczyć, że zgodność z wymaganiami ochrony danych będzie można potwierdzić poprzez wdrożenie i utrzymywanie stosownego certyfikatu. Nie udało mi się jak na razie trafić na szczegółowe wytyczne w tym zakresie, można jednak założyć, że coraz bardziej popularna certyfikacja w zakresie ISO/IEC 27001 będzie traktowana jako wystarczające potwierdzenie zgodności.

Temat ten może być szczególnie interesujący ze względu na pojawiające się co rusz w Rozporządzeniu słowo "wykazać". M.in. " W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne."

A przyznacie chyba sami, że certyfikacja doskonale może pomóc "wykazać" dochowania należytej staranności.