RozporzÄ…dzenie Parlamentu Europejskiego i Rady (UE) 2016/679
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych weszło w życie 27 kwietnia 2016 roku.
Jej celem jest gruntowna przebudowa modelu ochrony danych osobowych w ramach krajów wspólnoty, której skutkiem ma być lepsze bezpieczeństwo poufnych danych osobowych jako prawa podstawowego. Jednocześnie nastąpi aktualizacja rozwiązań prawnych do potrzeb współczesnego rynku i nieustannie rozwijającej się technologii.
KluczowÄ… datÄ… w kontekÅ›cie rozporzÄ…dzenia jest 25 maja 2018 roku – do tego dnia krajowe podmioty majÄ… czas na dostosowanie sowich procedur i systemów teleinformatycznych do nowych wymogów. Co oczywiste – wiąże siÄ™ to z wieloma wyzwaniami zarówno natury informatycznej jak i formalno-prawnej.
Zacznijmy od definicji
Wiele pojęć i terminów zostało doprecyzowanych, wśród nich znajdziemy między innymi:
Dane osobowe – informacje dotyczÄ…ce osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Rozszerzone o dodatkowy zakres m.in: dane lokalizacji, adres IP, czy stan zdrowia.
Dane biometryczne – informacje dotyczÄ…ce danych osobowych przetwarzanych z wykorzystaniem cech fizycznych i fizjologicznych, pozwalajÄ…ce na identyfikacjÄ™.
Dane genetyczne – dane osobowe bazujÄ…ce na cechach dziedzicznych lub nabytych w skutek genów i sÄ… źródÅ‚em unikatowych informacji.
Profilowanie – sposób przetwarzania danych osobowych polegajÄ…cy na gromadzeniu informacji sÅ‚użących do okreÅ›lenia jej konkretnych zachowaÅ„, prognozy stanu zdrowia lub wiarygodnoÅ›ci.
Jak mają być przetwarzane dane osobowe?
Rozporządzenie określa ogólne zasady jakimi mają kierować się operatorzy:
- zgodność z prawem,
- rzetelność i przejrzystość,
- ograniczenie celu – gromadzenie tylko gdy jest to konieczne,
- minimalizacja danych,
- prawidÅ‚owość – a wiÄ™c wymóg aktualizacji danych,
- ograniczenie przechowywania,
- bezpieczeństwo.
Prawo do bycia zapomnianym
RozporzÄ…dzenie wdraża nowy mechanizm prawny zwany potocznie “prawem do bycia zapomnianym”. Dany obywatel ma prawo żądać usuniÄ™cia swoich danych z systemu operatora. Skasowanie danych musi odbyć siÄ™ niezwÅ‚ocznie gdy cel w jakim zostaÅ‚y zgromadzone zostaÅ‚ wykonany lub gdy osoba której dotyczÄ… cofnęła zgodÄ™ na ich przetwarzanie.
W sytuacji gdy pomimo przekazania informacji administratorowi systemu do takich czynnoÅ›ci nie dochodzi – dane bÄ™dÄ… przetwarzane niezgodnie z prawem.
Inspektor ochrony danych
Rozporządzenie nakłada również obowiązek powołania Inspektora Ochrony Danych, który przejmie obowiązki obecnego Administratora Bezpieczeństwa Informacji. Wśród grupy przedsiębiorstw zobowiązanych do jego powołania zalicza się:
- podmioty publiczne (z wyjątkiem sądów),
- główna działalność podmiotu polega na monitorowaniu osób na dużą skalę,
- główna działalność podmiotu polega na przetwarzaniu danych osobowych na dżą skalę.
Głównym zadaniem stawianym przed inspektorem bÄ™dzie czuwanie nad wypeÅ‚nianiem obowiÄ…zków prawnych przez dany podmiot – w tym jego pracowników. BÄ™dzie on musiaÅ‚ również kontaktować siÄ™ z danymi organami kontroli w momencie wykrycia naruszeÅ„ oraz wydawać wÅ‚asne rekomendacje majÄ…ce na celu poprawÄ™ bezpieczeÅ„stwa.
Kary za naruszenia – ubezpiecz cyberbezpieczeÅ„stwo
Autorzy regulacji przewidzieli wysokie kary finansowe dla podmiotów, które nie bÄ™dÄ… stosować siÄ™ do nowego prawa. Ich wysokość w każdym przypadku ma być ustalana indywidualnie tak aby zachować zasadÄ™ “skutecznie, proporcjonalnie, odstraszajÄ…co). PrzedsiÄ™biorstwa muszÄ… liczyć siÄ™ z utratÄ… od 2% do 4% caÅ‚kowitego rocznego obrotu za poprzedni rok obrachunkowy.
O ile do powszechnego obowiÄ…zywania przepisów zostaÅ‚o jeszcze sporo czasu – wiele firm już dziÅ› wdraża regulacje aby być przygotowanymi na nowe wyzwania. Equinum Broker oferuje produkt ubezpieczeniowy w formie ubezpieczenia cybernetycznego, które pozwala pozyskać Å›rodki finansowe na przeciwdziaÅ‚anie negatywnym skutkom ataków hakerskich, kradzieży danych lub wynagrodzeÅ„ specjalistów branży IT.