RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Podobne dokumenty
1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

I. Postanowienia ogólne

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Nowe przepisy i zasady ochrony danych osobowych

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Monitorowanie systemów IT

Ochrona danych osobowych w biurach rachunkowych

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Wprowadzenie do RODO. Dr Jarosław Greser

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Jak dostosować formularze zgód pacjenta do RODO wraz z gotową checklistą 1

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Spis treści. Wykaz skrótów... Wprowadzenie...

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

rodo. naruszenia bezpieczeństwa danych

SZCZEGÓŁOWY HARMONOGRAM KURSU

PRELEGENT Przemek Frańczak Członek SIODO

Maciej Byczkowski ENSI 2017 ENSI 2017

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Opracował Zatwierdził Opis nowelizacji

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Rewolucja w ochronie danych osobowych?... 1 Precyzyjne zapisy... 2 O tym nie możesz zapomnieć!... 3 Nowe uprawnienia... 5 Podsumowując...

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Ochrona danych osobowych w biurach rachunkowych

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

System bezpłatnego wsparcia dla NGO

POLITYKA PRYWATNOŚCI

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

Al. J. Ch. Szucha 8, Warszawa

ECDL RODO Sylabus - wersja 1.0

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Ochrona danych osobowych

Umowa powierzenia danych

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

POLITYKA PRYWATNOŚCI

Polityka ochrony danych osobowych

Polityka Bezpieczeństwa Danych Osobowych

POLITYKA PRYWATNOŚCI

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Sprawdzenie systemu ochrony danych

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

ZAŁĄCZNIK SPROSTOWANIE

Przykład klauzul umownych dotyczących powierzenia przetwarzania

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Wydawanie upoważnień do przetwarzania danych osobowych 1

EBIS POLITYKA OCHRONY DANYCH

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Bezpieczeństwo danych naszych subskrybentów, klientów i kontrahentów jest dla nas najwyższym priorytetem.

KONFERENCJA SIODO PRZYPADKI"

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Spis treści. Wykaz skrótów... Wprowadzenie...

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

Przetwarzanie danych osobowych pracowników w grupie przedsiębiorstw w świetle zasady rozliczalności

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Ewidencja osób upoważnionych do przetwarzania danych wskazówki jak ją prowadzić i gotowy wzór

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ORAZ POUFNOŚCI INFORMACJI

POLITYKA PRYWATNOŚCI. DELTA - TECHNIKA Lublin ul. Stanisława Lema 26 NIP Obowiązuje od r.

PARTNER.

POLITYKA OCHRONY DANYCH OSOBOWYCH

4 wzory oświadczeń pacjenta, których nie może zabraknąć w dokumentacji medycznej

POLITYKA BEZPIECZEŃSTWA

Zasady powierzenia przetwarzania danych osobowych. Zawarcie umowy powierzenia przetwarzania danych osobowych

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

w Grupie 3S REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

4 wzory oświadczeń pacjenta, których nie może zabraknąć w dokumentacji medycznej

Umowa powierzenia danych osobowych. Zawarcie umowy powierzenia

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

POLITYKA PRYWATNOŚCI

Załącznik Nr 4 do Umowy nr.

Transkrypt:

Jakie obowiązki będzie miał administrator zgodnie z RODO... 1 Przed wdrożeniem zmian należy opracować harmonogram... 2 Należy wskazać kategorie osób, których dane są przetwarzane... 3 Należy zweryfikować, czy dane są przetwarzane zgodnie z RODO... 4 Trzeba sprawdzić, czy zapewnione jest bezpieczeństwo danych osobowych... 5 Należy przygotować się do realizacji praw osób, których dane dotyczą... 5 Trzeba oszacować ryzyko naruszenia bezpieczeństwa danych osobowych... 6 Trzeba prowadzić rejestr czynności przetwarzania danych osobowych... 7 Konieczna będzie współpraca z organem nadzorczym... 8 O naruszeniach ochrony danych trzeba będzie poinformować organ nadzorczy... 8 O naruszeniu trzeba będzie poinformować też osoby, których dane dotyczą... 9 Trzeba będzie ocenić skutki planowanego przetwarzania danych... 9 Niektóre spółki będą musiały wyznaczyć inspektora ochrony danych... 10 Rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o osobowych, RODO) zacznie być stosowane od 25 maja 2018 r. Kilka miesięcy, jakie pozostały do tego czasu, spółki powinny w szczególności wykorzystać na przygotowanie się do wypełniania nowych obowiązków wynikających z tego rozporządzenia. Trzeba bowiem pamiętać, że podmioty prywatne będą musiały się liczyć z karą finansową w wysokości nawet do 20 mln euro lub 4% swojego światowego obrotu za naruszenie przepisów ogólnego rozporządzenia o. W RODO pojęcie administrator danych zostało zastąpione pojęciem administrator. Jest nim osoba fizyczna lub prawna, urząd publiczny, agenda lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych. W przypadku spółki administratorem 1

będzie spółka reprezentowana przez prezesa. Do podstawowych obowiązków i odpowiedzialności administratora zgodnie z RODO będzie w szczególności należało: 1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w rozporządzeniu, 2) wykonywanie obowiązków, które wynikają z praw osób, których dotyczą dane osobowe, 3) zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych, 4) przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych zgodnie z zasadami określonymi w rozporządzeniu jeżeli takie operacje administrator realizuje, 5) wyznaczenie inspektora ochrony danych gdy jest do tego zobowiązany na podstawie art. 37 ust. 1 rozporządzenia. Aby przygotować się do właściwego wypełniania nowych obowiązków, osoby wyznaczone do wdrożenia RODO w spółce muszą opracować dostosowany odpowiednio do celów, zakresu i złożoności prowadzonych operacji przetwarzania danych osobowych szczegółowy harmonogram realizacji zadań, które należy w ramach takiego przygotowania zrealizować. Powinien on określać: osobę lub strukturę organizacyjną, która jest odpowiedzialna za realizację zadania, osoby lub struktury organizacyjne współpracujące podczas realizacji zadania, sposób realizacji zadania oraz opracowania wyników jego realizacji, termin realizacji zadania. Po opracowaniu i zatwierdzeniu harmonogramu należy zorganizować szkolenie poświęcone nowym obowiązkom wynikającym z RODO, w tym w szczególności zadaniom określonym w harmonogramie. Szkoleniem powinny zostać objęte przede wszystkim osoby, które będą realizowały zadania wskazane w harmonogramie. 2

Spółka reprezentowana przez prezesa jako administrator musi przetwarzać dane osobowe zgodnie z podstawowymi zasadami określonymi w RODO. W związku z tym jednym z zadań, jakie należy określić w harmonogramie, aby przygotować się do ogólnego rozporządzenia o, będzie opracowanie wykazu kategorii osób, których dane dotyczą, i określenie celów przetwarzania danych w odniesieniu do poszczególnych kategorii osób oraz kategorii przetwarzanych danych w związku z realizacją poszczególnych celów. Do opracowania wykazu należy wykorzystać dokumentację opisującą sposób przetwarzania danych oraz stosowane środki techniczne i organizacyjne zapewniające ich ochronę oraz zgłoszenia zbiorów danych przekazane do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) lub rejestr zbiorów danych prowadzony przez administratora bezpieczeństwa informacji (ABI) jeśli został w spółce powołany. Wykaz należy uzgodnić ze wszystkimi, którzy uczestniczą w wyznaczeniu celów przetwarzania danych osobowych oraz organizowaniu sposobu ich przetwarzania, w tym ustalaniu zakresu przetwarzanych danych oraz czasu ich przechowywania. WAŻNE Podstawowe zasady przetwarzania danych osobowych zgodnie z ogólnym rozporządzeniem o (art. 5 RODO): 1) zgodność z prawem, rzetelność i przejrzystość, 2) ograniczenie celu, 3) minimalizacja danych, 4) prawidłowość, 5) ograniczenie przechowywania, 6) integralność i poufność oraz 7) rozliczalność zasada mówiąca, że administrator musi być w stanie wykazać w przejrzysty i zrozumiały sposób, że przestrzega zasad wymienionych w pkt 1 6. 3

Kolejnym zadaniem, jakie stoi przed spółką jest i które należy określić w harmonogramie, będzie przeprowadzenie sprawdzenia (analizy i oceny), czy dane osobowe są przetwarzane zgodnie z zasadami przetwarzania danych określonymi w ogólnym rozporządzeniu o. Będzie trzeba również przygotować uzasadnienie, w którym zostanie wykazane, że te zasady są przestrzegane. Taką analizę i ocenę powinny przeprowadzić osoby, które mają istotny wpływ na określenie celów przetwarzania danych osobowych oraz zorganizowanie procesu ich przetwarzania w spółce. Wytyczne do przeprowadzenia takiej analizy i oceny powinien przygotować administrator bezpieczeństwa informacji. Po przeprowadzeniu tej analizy i oceny, dla każdej kategorii osób i celu przetwarzania danych dotyczących danej kategorii osób, należy: 1) określić, jaki warunek jest podstawą prawną do przetwarzania danych, 2) określić, jaki warunek jest podstawą prawną do przetwarzania szczególnych kategorii danych osobowych, 3) uzasadnić jasnym i prostym językiem, przejrzystym dla osób, których dane dotyczą, że dane są przetwarzane rzetelnie, 4) potwierdzić i ewentualnie uzasadnić, że dane zbierane do konkretnych celów są adekwatne oraz niezbędne do osiągania tych celów oraz nie są dalej przetwarzane niezgodnie z tymi celami, 5) określić działania, które są prowadzone, aby zapewnić, że dane, które są nieprawidłowe w świetle celów ich przetwarzania, są niezwłocznie usuwane lub korygowane, 6) potwierdzić i ewentualnie uzasadnić, że przetwarzane dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane. 4

Kolejnym zadaniem, które należy określić w harmonogramie, jest przeprowadzenie sprawdzenia (analizy i oceny), czy dane osobowe są przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, czyli czy jest przestrzegana zasada integralność i poufność. Taką analizę powinny przeprowadzić osoby odpowiedzialne w spółce za projektowanie, wdrażanie, funkcjonowanie oraz ocenę skuteczności środków technicznych i organizacyjnych, których zadaniem jest zapewnienie odpowiedniego bezpieczeństwa danych osobowych. Po przeprowadzeniu analizy, administrator bezpieczeństwa informacji powinien ocenić, czy bezpieczeństwo danych osobowych jest zapewnione na odpowiednim poziomie. Biorąc pod uwagę prawa osób, których dotyczą przetwarzane przez spółkę dane, przygotowując się do stosowania przepisów ogólnego rozporządzenia o, osoby odpowiedzialne w spółce za wdrożenie RODO powinny podjąć działania, dzięki którym ustalą: które z praw i w jakim zakresie będą przysługiwały osobom, których dotyczą dane, które z praw oraz wynikające z tych praw obowiązki należy ograniczyć polskim aktem prawnym, kto, w jakim zakresie i w jaki sposób będzie realizował obowiązki wynikające z praw osób, których dotyczą dane. Informacje te powinien ustalić zespół, w którego w skład powinni wejść: administrator bezpieczeństwa informacji jeżeli został powołany, prawnicy świadczący usługi w zakresie obsługi prawnej, osoby, które mają istotny wpływ na określenie celów przetwarzania danych osobowych oraz zorganizowanie procesu ich przetwarzania w spółce. 5

Obowiązki spółki reprezentowanej przez prezesa jako administratora, których realizacja ma na celu zapewnienie odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych, oraz wskazówki, w jaki sposób taki cel należy osiągać, są określone w art. 32 oraz motywie (83) preambuły RODO. Zgodnie z nimi poziom bezpieczeństwa przetwarzanych danych osobowych powinien być odpowiedni do zidentyfikowanego ryzyka naruszenia praw i wolności osób fizycznych wiążącego się z przetwarzaniem danych. UWAGA Aby zapewnić odpowiedni poziom bezpieczeństwa danych, spółka musi wdrożyć odpowiednie środki techniczne i organizacyjne, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Ogólne rozporządzenie o wprost nie nakłada na spółkę obowiązku zarządzania ryzykiem naruszenia praw i wolności osób fizycznych, które wiąże się z przetwarzaniem danych, jednak z treści i logiki przepisów RODO wynika, że właściwą drogą do zapewnienia odpowiedniego do tego ryzyka poziomu bezpieczeństwa jest zarządzanie tym ryzykiem. Jednocześnie w art. 32 ust. 1 lit. a, b, c oraz d RODO znajduje się zalecenie, zgodnie z którym w stosownym przypadku należy wdrażać następujące środki techniczne i organizacyjne, które zapewniają stopień bezpieczeństwa odpowiadający zarządzanemu ryzyku: 1) pseudonimizację i szyfrowanie danych osobowych, 2) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, 3) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, 4) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania. 6

UWAGA Spółka reprezentowana przez prezesa jako administrator powinna wypracować odpowiednie dla siebie podejście do zarządzania ryzykiem naruszenia praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych uwzględniające swoje środowisko, specyfikę prowadzonej działalności oraz posiadane doświadczenie, a w szczególności charakter, zakres oraz cele i sposób przetwarzania danych osobowych. Jednym z obligatoryjnych środków ochrony danych osobowych zawartym w ogólnym rozporządzeniu o jest prowadzenie rejestru czynności przetwarzania danych osobowych, który obejmuje informacje wymienione w art. 30 ust. 1 RODO. Rejestr ten można opracować, wykorzystując w szczególności: 1) posiadaną przez spółkę dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, 2) prowadzony przez administratora bezpieczeństwa informacji rejestr zbiorów danych, 3) zgłoszenia zbiorów danych przekazane do rejestracji GIODO, 4) ustalenia wypracowane w wyniku realizacji zadań wyszczególnionych w harmonogramie. UWAGA Jeżeli w spółce został powołany administrator bezpieczeństwa informacji, to on powinien opracować rejestr czynności przetwarzania danych osobowych. Od 25 maja 2018 r. rejestr może prowadzić inspektor ochrony danych, jeżeli zostanie wyznaczony taką rekomendację przedstawiła Grupa Robocza Art. 29 w wytycznych dotyczących inspektora ochrony danych. 7

Kolejnym środkiem bezpieczeństwa, jaki wskazuje ogólne rozporządzenie o, jest współpraca z organem nadzorczym na jego żądanie oraz w ramach wykonywanych przez niego zadań. Zgodnie z art. 39 ust. 1 pkt d RODO współpraca z organem nadzorczym należy do jednych z podstawowych zadań inspektora ochrony danych. Jeśli inspektor ochrony danych nie zostanie w spółce wyznaczony, trzeba będzie oddelegować zespół własnych pracowników do współpracy z organem nadzorczym. Każdy z takich pracowników powinien mieć jasno określony zakres współpracy, w której będzie odgrywał wiodącą rolę i ponosił za nią odpowiedzialność. Do środków bezpieczeństwa danych, wskazanych przez ogólne rozporządzenie o, trzeba zaliczyć też obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. Pojęcie naruszenie ochrony danych osobowych zasługuje na szczególną uwagę w związku z tym, że zostało zdefiniowane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. WAŻNE Do organu nadzorczego nie trzeba będzie zgłaszać naruszeń, jeśli administrator oceni, że jest mało prawdopodobne, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych. Przy pomocy administratora bezpieczeństwa informacji (jeżeli został w spółce powołany) należy wypracować zasady i sposób: 1) oceny i kwalifikowania stwierdzonych naruszeń ochrony danych osobowych jako naruszeń, które z dużym prawdopodobieństwem mogą skutkować ryzykiem naruszenia praw i wolności osób fizycznych, 2) zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. 8

Zgodnie z ogólnym rozporządzeniem o o naruszeniu ochrony danych będzie trzeba niezwłoczne zawiadomić osoby, których dane dotyczą. Administrator będzie miał ten obowiązek, tylko jeśli uzna, że naruszenie będzie mogło spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Z pomocą administratora bezpieczeństwa informacji (jeżeli został w spółce powołany) należy opracować zasady i sposób wykrywania i dokonywania oceny naruszeń ochrony danych osobowych oraz: 1) kwalifikowania ich jako naruszeń, które z wysokim prawdopodobieństwem mogą skutkować ryzykiem naruszenia praw i wolności osób fizycznych, 2) ustalania, czy są spełnione warunki, o których mowa w art. 34 ust. 3 RODO, i w rezultacie jest wymagane lub nie zawiadomienie osoby, której dane dotyczą, o stwierdzonym naruszeniu, 3) zawiadamiania osób, których dane dotyczą, o stwierdzonym naruszeniu ochrony danych osobowych. Kolejnym z obowiązków spółki reprezentowanej przez prezesa jako administratora zgodnie z RODO, którego realizacja ma zapewnić bezpieczeństwo danych, jest przeprowadzanie oceny skutków planowanych operacji przetwarzania danych osobowych przed rozpoczęciem przetwarzania, jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Z pomocą administratora bezpieczeństwa informacji (jeżeli został w spółce powołany) należy opracować zasady i sposób: 1) przeprowadzania analizy planowanych operacji przetwarzania danych osobowych i oceniania, czy mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, 9

2) oceniania skutków dla ochrony danych planowanych operacji przetwarzania danych osobowych, w szczególności z użyciem nowych technologii, 3) prowadzenia konsultacji z organem nadzorczym przed rozpoczęciem planowanych operacji przetwarzania danych. Niektóre spółki jako administratorzy będą miały obowiązek wyznaczenia inspektora ochrony danych o odpowiednich kwalifikacjach zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, a także wspierania go w wypełnianiu przez niego zadań. WAŻNE W opinii GIODO funkcję inspektorów ochrony danych będą mogli pełnić jako kontynuację dotychczas pełnionej funkcji administratorzy bezpieczeństwa informacji zarejestrowani przed 25 maja 2018 r. w ogólnokrajowym, jawnym rejestrze. Takie rozwiązanie GIODO uzasadnia tym, że obecny status i kompetencje administratorów bezpieczeństwa informacji, który obowiązuje od 1 stycznia 2015 r., miał na celu przygotowanie tej grupy do wymogów określonych ogólnym rozporządzeniem o ochronie danych, jak również związaną z tym postępującą profesjonalizacją osób pełniących tę funkcję. Z tym stanowiskiem nie zgadza się jednak środowisko administratorów bezpieczeństwa informacji. Podstawa prawna: ustawa z 29 sierpnia 1997 r. o osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922), rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ). Autor: Tomasz Błoński, zastępca administratora bezpieczeństwa informacji w Zakładzie Ubezpieczeń Społecznych, w latach 2000 2015 naczelnik wydziału w Departamencie Zarządzania Bezpieczeństwem Informacji, wieloletni członek Stowarzyszenia Administratorów Bezpieczeństwa Informacji 10

Redaktor: Wioleta Szczygielska ISBN: 978-83-269-7057-3 E-book nr: Wydawnictwo: Adres: Kontakt: 2HH0668 Wiedza i Praktyka sp. z o.o. 03-918 Warszawa, ul. Łotewska 9a Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl NIP: 526-19-92-256 Numer KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego: 200.000 zł Copyright by: Wiedza i Praktyka sp. z o.o. Warszawa 2018 11