Blog

Zarówno prawo polskie, jak również prawo europejskie nie wskazują na jakikolwiek akt wewnętrzny Organizacji dotyczący wyznaczenia osoby do pełnienia funkcji Inspektora Ochrony Danych. Niemniej jednak, sugeruje się, aby taki dokument o wyznaczeniu danej osoby (np. w formie uchwały, zarządzenia) potwierdzał jej powołanie, w tym wskazywał datę rozpoczęcia pełnienia przez nią tej funkcji.

Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej: „RODO”) nakłada na Administratorów danych obowiązek odpowiedzialnego podejścia do ochrony danych osobowych, innymi słowy dbania o wolności i prawa osób, których dane dotyczą, a w konsekwencji  ustawicznego doskonalenia systemu ochrony danych osobowych i uwzględniania ryzyka naruszeń tych praw.

RODO uznaje, że szyfrowanie (motyw 83 RODO) i pseudonimizacja (motyw 28 RODO) to środki minimalizujące ryzyko naruszenia praw i wolności osób, których dane dotyczą. Rodzi się pytanie, czy zawsze należy je stosować, czy też któryś z nich?

Jednym z trzech sposobów ochrony danych osobowych, jakie wymienia RODO jest m. in. szyfrowanie.

Przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej: „RODO”) wymieniają wprost jedynie trzy techniczne sposoby ochrony danych osobowych. Są to: pseudonimizacja, anonimizacja i szyfrowanie. W niniejszym artykule skupimy uwagę na dwóch pierwszych.

RODO wprowadziło nową instytucję Inspektora Ochrony Danych (IOD). Z dniem 25 maja 2018 roku wyżej wymieniona instytucja zastąpiła dotychczasową instytucję Administratora Bezpieczeństwa Informacji (ABI).

W określonych sytuacjach wskazanych w RODO, Administrator danych oraz Podmiot przetwarzający są zobowiązane wyznaczyć Inspektora Ochrony Danych. Niemniej jednak, RODO daje państwom członkowskim Unii Europejskiej wolną rękę w decydowaniu o możliwości rozszerzenia katalogu podmiotów, które mogłyby zostać objęte obowiązkiem powołania IOD. 

IOD odgrywa główną rolę w systemie ochrony danych osobowych w firmie będącej Administratorem danych lub Podmiotem przetwarzającym. Powyższe stanowisko podziela także Zespół Roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, będący niezależnym organem doradczym w sprawach ochrony danych i prywatności powołanym na mocy art. 29 dyrektywy 95/46/WE RODO (GR Art. 29). W swoich wytycznych GR Art. 29 rekomenduje powołanie Inspektora Ochrony Danych nawet wówczas, gdy RODO bezpośrednio nie nakłada na daną firmę takiego obowiązku.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zwane dalej „RODO” wprowadza kilka nowych zasad dotyczących przetwarzania danych osobowych, do których stosowania zobowiązani są także przedsiębiorcy.

Zasady przetwarzania danych osobowych wskazane w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanym dalej „RODO” w odniesieniu do aktualnie obowiązujących przepisów prawnych różnią się nieznacznie.

Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 roku (zwane dalej: „RODO”), którego bezwględny obowiązek stosowania Administratorzy Danych będą mieli od dnia 25 maja 2018 roku, wprowadza nowe pojęcie zgody oraz dodaje nieznane dotychczas pojęcie danych pseudonimicznych.

Zgodnie z aktualnie obowiązującą Ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (t.j. Dz.U. z 2015 r. poz. 2135 ze zm.) – zwaną dalej: „Ustawą” - obowiązkiem Administratora Danych Osobowych (zwanego dalej: „ADO”) jest należyte zabezpieczenie danych osobowych. W myśl art. 36 ust. 1 wyżej wskazanej ustawy „Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”.

Unijne Rozporządzenie dotyczące ochrony danych osobowych (RODO) wprowadza wiele zmian do systemu ochrony danych osobowych. Jedną z kluczowych jest zastąpienie dotychczasowej funkcji Administratora Bezpieczeństwa Informacji (ABI) stanowiskiem Inspektora Ochrony Danych (IOD). Ponieważ ta kwestia wzbudza wiele obaw, zwłaszcza wśród osób, które w tej chwili pełnią funkcję ABI postaramy się przybliżyć tutaj najważniejsze różnice.

Zgodnie z obowiązującymi przepisami prawa regulowanymi przez Ustawę o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922.) i rozporządzenia wykonawcze do w/w ustawy, jak również Rozporządzenie Parlamentu Europejskiego i Rady EU w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), którego bezwzględny obowiązek stosowania administratorzy danych będą mieli od 25 maja 2018 roku zobowiązują podmioty, które przetwarzają dane osobowe do ich odpowiedniego zabezpieczania.

Podstawowym celem działania Spółdzielni Mieszkaniowej jest zaspokajanie potrzeb mieszkaniowych i innych potrzeb jej członków, a także ich rodzin poprzez dostarczanie lokali mieszkaniowych. Taki charakter działalności zdecydowanie odróżnia cel funkcjonowania Spółdzielni od celów, w jakim funkcjonują inne podmioty gospodarcze, których działalność ma mieć charakter zarobkowy.

Wspólnota Mieszkaniowa to ogół właścicieli lokali wchodzących w skład określonej nieruchomości. Nie można się do niej zapisać, nie można też z niej wystąpić. Każda Wspólnota Mieszkaniowa to Administrator danych osobowych. Jest ona zobowiązana w pełnym zakresie respektować przepisy Ustawy o ochronie danych osobowych.

Każda spółka z o.o. i spółka akcyjna jest Administratorem danych osobowych, który oprócz klasycznych obowiązków w zakresie ochrony danych osobowych ma również obowiązki wynikające ze specyfiki spółki. Są one zobowiązane do przestrzegania przepisów o ochronie danych osobowych bez żadnych wyłączeń. Za przestrzeganie przepisów z zakresu ochrony danych osobowych w spółce odpowiada zarząd spółki.

Wokół Ustawy o Ochronie Danych Osobowych przez lata narosło wiele mitów, a w ostatnim czasie to samo dzieje się z wchodzącym w życie w niedalekiej przyszłości Rozporządzeniem o Ochronie Danych Osobowych (RODO). Warto w tym miejscu odpowiedzieć na pytanie, jaki związek z danymi osobowymi mają testy penetracyjne i czy ich realizacja może wpłynąć na zwiększenie ich bezpieczeństwa.

Rozporządzenie Parlamentu Europejskiego z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) wprowadza szereg uprawnień dla osób, których dane są przetwarzane w sposób niewłaściwy.

Dość istotną zmianą dla Organizacji prowadzących działalność w różnych branżach jest wprowadzenie wysokich kar pieniężnych, które Organ nadzorczy może nałożyć w przypadku powzięcia informacji o naruszeniu przepisów RODO. Z uwagi na rodzaj naruszenia Organ nadzorczy ma prawo nałożyć karę w wysokości do 10 000.000 euro, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W każdym przypadku zastosowanie ma kwota wyższa.

Rozporządzenie Parlamentu Europejskiego z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), które już weszło w życie, wprowadza istotne zmiany w zakresie przetwarzania danych osobowych, jak również nowe regulacje z tym związane. Data 25 maja 2018 roku oznacza, iż od tego dnia każdy podmiot przetwarzający dane będzie zobowiązany wykazywać zgodność ze wszystkimi przepisami ww. rozporządzenia. Dla żadnego podmiotu nie będzie tzw. taryfy ulgowej ani okresu przejściowego.

W przypadku powzięcia informacji o naruszeniu danych osobowych, złym ich zabezpieczaniu czy też zbyt szerokim zakresie przetwarzania danych etc., można złożyć skargę do Generalnego Inspektora Ochrony Danych Osobowych (dalej: „GIODO”). Niemniej wymaga to odrobiny wysiłku oraz poniesienia kosztów.

Administrator Bezpieczeństwa Informacji (dalej: „ABI”) w podmiotach przetwarzających dane osobowe stoi na straży prawidłowego ich przetwarzania. Pomimo pełnienia przez niego ważnej funkcji, wiele podmiotów przetwarzających dane osobowe ma dylemat, czy go powoływać, czy też nie. Główną przyczyną tego stanu rzeczy jest stawianie na szali z jednej strony korzyści z tego płynących, z drugiej strony zaś kosztów związanych z jego funkcjonowaniem.

W dniu 28.06.2016 r. wszedł w życie nowy tekst jednolity ustawy o ochronie danych osobowych (Dz.U. 2016 poz. 922).