GIODO ogłosiło konsultacje w sprawie nowych przepisów o ochronie danych osobowych.
Wczoraj w Warszawie odbyła się konferencja poświęcona temu, jak zgodnie z RODO zabezpieczać dane osobowe. Konferencja „Nowe zasady zabezpieczania danych osobowych, czyli RODO w praktyce” organizowana była przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Dzień wcześniej rząd przyjął projekt ustawy o ochronie danych osobowych, który ma służyć dostosowaniu polskich przepisów do RODO.
Pytań wciąż jest dużo, choć do 25 maja 2018 r. kiedy to zacznie być stosowane RODO – unijne rozporządzenie dotyczące ochrony danych osobowych zostało niewiele czasu. Rozporządzenie nie daje konkretnych wytycznych dot. doboru środków technicznych i organizacyjnych wiążących się z przetwarzaniem danych osobowych, przeprowadzaniem analiz ryzyka czy zapewnianiem przez administratorów rozliczalności w kontekście zastosowanych zabezpieczeń danych.
Szefowa GIODO, dr Edyta Bielak-Jomaa mówiła na konferencji, że RODO zmienia „podejście i patrzenie na ochronę danych osobowych”. „System ochrony danych osobowych dzięki RODO z poziomu krajowego systemu przenosi się na poziom europejski. Wspominała również, że obowiązkiem administratora danych będzie m.in. przygotowanie zabezpieczeń i procedur ochrony danych osobowych na najwyższym poziomie już na etapie projektowania, zanim w ogóle zacznie on przetwarzać dane osobowe, podkreślając w ten sposób znaczenie zasady privacy by design, która wynika z RODO.
Konsultacje GIODO w sprawie nowych przepisów o ochronie danych osobowych
Konferencja była też okazją do ogłoszenia publicznych konsultacji dotyczących przygotowanego przez GIODO proponowanego wykazu rodzajów przetwarzania, dla których – zgodnie z art. 35 ust. 4 RODO – wymagane jest przeprowadzenie oceny skutków dla ochrony danych. Konsultacje te mają zapewnić administratorom i podmiotom przetwarzającym lepsze przygotowanie się do stosowania nowych regulacji oraz opracowanie listy operacji.
W przygotowanym dokumencie podano przykłady, w których dochodzi do przetwarzania danych. Takie jak: profilowanie użytkowników portali społecznościowych, ocena zdolności kredytowej w bankach, zakupy w sklepach internetowych, przetwarzania danych biometrycznych klientów lub pracowników. W takich wypadkach zgodnie z unijnym przepisami należy dokonać oceny, czy nie ma ryzyka naruszenia praw czy prywatności osób w chwili użycia konkretnych technologii i konkretnego działania.
Zainteresowani swoje opinie w tej sprawie mogą przesyłać do Generalnego Inspektora Ochrony Danych Osobowych najpóźniej do 30 kwietnia 2018 r. Przygotowany wykaz jest dostępny na stronie internetowej GIODO pod linkiem https://giodo.gov.pl/pl/1520281/10430.
Wystąpienie FBC
Podczas konferencji miało miejsce również wystąpienie przedstawicieli Fundacji Bezpieczna Cyberprzestrzeń.
Mirosław Maj – Prezes fundacji oraz Cyprian Gutkowski zajmujący się w FBC projektem RODO zaprezentowali algorytm pozwalający na wyliczenie wagi naruszenia. Prezentacja została przygotowana w oparciu o dokument opracowany przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Algorytm zaprezentowany przez przedstawicieli FBC, może być bardzo szeroko stosowany przez wszystkich zajmujących się ochroną danych osobowych, a zwłaszcza przez osoby mające do czynienia na co dzień z obsługą incydentów związanych z tym obszarem. Pozwala on zidentyfikować jakie naruszenie ma poziom krytyczny i należy się nim zająć w pierwszej kolejności. Wykonując go dla każdego naruszenia, łatwo będzie wykazać niezwykle istotny element procesu ochrony danych osobowych, jakim jest rozliczalność. Wynik działania, który będzie dokumentem wewnętrznym, pozwoli na udowodnienie, czemu danym incydentem zajęliśmy się w pierwszej kolejności.
Dokument ENISA, można pobrać pod linkiem: https://www.enisa.europa.eu/publications/dbn-severity
Całą konferencję można obejrzeć pod linkiem https://www.youtube.com/watch?v=7jfKmT2iw6g , prezentacja Fundacji Bezpieczna Cyberprzestrzeń od 4:05:20.
Zapraszamy na bezpłatne seminarium – Świat po RODO – rozważania, rozwiązania.
