Nowe przepisy z zakresu ochrony danych osobowych czekają na to, by nas po polsku „zaskoczyć”. Cudzysłów nieprzypadkowy – jest wiadomo, że mamy czas do maja 2018 by je wdrożyć, ale pewnie w praktyce większość zajmie się tym na ostatnią chwilę lub wcale. Jeśli nie chcesz tak robić – zapraszam.

W poprzedniej części omówiłem, co będzie łatwiej. Bo w ogóle – spokojnie, w większości nowe przepisy ułatwiają życie administrującym danymi osobowymi i wywalają martwe przepisy. Dziś o tym, co jednak dodały.

Po pierwsze – przepisy uogólniły sposób, w jaki należy zabezpieczać przetwarzane dane. To według mnie dobre posunięcie – zamiast wymieniać jakie długie ma być hasło i co ile czasu zmienione, raczej skupiono się na osiąganym celu. W ten sposób przepisy się nie zdezaktualizują – bo czy ktoś w momencie ich pierwszego tworzenia słyszał na przykład o chmurze? O dwuskładnikowym uwierzytelnianiu? Albo o BLIK?

Co przy wdrażaniu

Czyli – lepiej, rozsądniej – ale trzeba być na bieżąco, bo zabezpieczenie powinno być „odpowiednie”. Zobacz – Unia mówi, co należy brać pod uwagę przy wdrażaniu zabezpieczeń:

1. Stan wiedzy technicznej

2. Koszt wdrożenia konkretnego rozwiązania

3. Ryzyko naruszenia praw i wolności

4. Ryzyko wynikające z tego, że nastąpi jakieś zniszczenie czy ujawnienie danych

5. I moje ulubione – charakter, zakres, kontekst przetwarzania danych.

W rozporządzeniu są też przykładowe środki bezpieczeństwa – ale to nie ma sensu powtarzać tutaj jego tekstu, skoro są przykładowe właśnie. Dla chętnych do szybkiego zguglowania.

Teraz zacznie się trudniej, bo wprowadzam dwa angielskie pojęcia prawne. Da oddechu zróbmy obrazek przerwy.

Photo by Braydon Anderson

Privacy by default – czyli RODO zobowiązuje do wdrożenia środków zapewniających domyślne zbieranie wyłącznie niezbędnych do osiągnięcia danego celu danych. Chodzi o to, by nie zbierać „pobocznie” rzeczy nie na temat, jak to dotąd w praktyce nieraz bywało.

Privacy by design – już na etapie PROJEKTOWANIA np. aplikacji na komórkę uwzględniać trzeba potrzebę chronienia danych osobowych, wdrażając środki techniczne czy odpowiednią organizację. To ważne dla developerów, bo dotyczy mvp (minimum viable product) – wersji produktu zawierającej minimum do startu. Teraz to minimum zawiera rod(e)o.

Papierologia

Okej – to wiemy już jak to wygląda w zasadach – nie zbieramy za wiele, uwzględniamy to wcześniej, zamiast szczegółowej metody ochrony danych mamy narzucony tylko jej cel. A jak z papierami? Co w takim razie trzeba mieć, sporządzić?

Zapamiętaj jedno hasło: REJESTR CZYNNOŚCI PRZETWARZANIA. Reszta jest poboczna, a RCP (tak będę krócej pisać, ok?) w sporej mierze pokrywa się z dotychczasowym zgłoszeniem zbioru danych do GIODO. Cel przetwarzania danych? Dane osoby odpowiedzialnej za przetwarzanie? Komu dane zostały ujawnione? No to się przecież powtarza. Do tego (jeśli jest to możliwe) dochodzą ogólny opis stosowanych środków i planowane terminy usunięcia z RCP poszczególnych kategorii danych.

Co ważne – forma RCP może być elektroniczna. Czyli to takie trochę niezgłoszone i miejscami uproszczone dotychczasowe zgłoszenie zbioru do GIODO. Damy radę.

Poza RCP

Są oczywiście liczne wyłączenia i wyjątki, ale to już lepiej odezwij się do mnie na priv, czy Cię dotyczą. Tutaj chcę pisać krótko i przejrzyście. I tak robi się już dzisiaj dłuższa wypowiedź, więc dzisiaj powiem już tylko o ostatnim dokumencie.

Chodzi po prostu o obowiązek wykazania, że przetwarzanie danych przez nas jest prawidłowe. Można to zrobić przede wszystkim dwoma sposobami:

1. przez oznaczenia typu certyfikaty – nadawać je będą np. GIODO i Europejska Rada Ochrony Danych czy inne akredytowane podmioty

2. przez zatwierdzony kodeks postępowania – czyli jeśli jesteśmy w jakimś zrzeszeniu i ono opracuje dokument doprecyzowujący zasady RODO specjalnie pod naszą branżę.

Dobra, na dzisiaj tyle. W następnym odcinku trochę strachu, czyli ewentualne sankcje.

Poprzedni wpis o RODO

Następny wpis o RODO