Parlament Europejski i Rada Unii Europejskiej uważają że administrator danych osobowych (ADO) powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków  oraz powinien być w stanie wykazać że czynności przetwarzania są zgodne z ogólnym rozporządzeniem o ochronie danych oraz że są skuteczne.

Data dodania: 2016-06-14

Wyświetleń: 1098

Przedrukowań: 0

Głosy dodatnie: 0

Głosy ujemne: 0

WIEDZA

0 Ocena

Licencja: Creative Commons

Ogólne rozporządzenie o ochronie danych będzie miało zastosowanie od 25 maja 2018 roku we wszystkich państwach członkowskich UE. Przepisy rozporządzenia w znacznie większym stopniu niż obowiązująca Ustawo o ochronie danych osobowych z 29 sierpnia 1997 roku obligować będą administratorów danych osobowych do zapewnienia maksymalnego bezpieczeństwa tych danych.

Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cel przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia administrator i podmiot przetwarzający będą musieli wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią stopień bezpieczeństwa odpowiadający potencjalnemu ryzyku.

Wśród technicznych i organizacyjnych środków zabezpieczających odpowiedni poziom zabezpieczenia wymienia się:

  1. pseudonimizację i szyfrowanie danych osobowych,

  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności systemów i usług przetwarzania,

  3. możliwości szybkiego przywracania dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Przy ocenie stopnia bezpieczeństwa danych osobowych ich administrator będzie musiał uwzględniać w szczególności ryzyko wiążące się z ich przetwarzaniem a w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W przypadku naruszenia zasad ochrony danych osobowych, które może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych administrator bez zbędnej zwłoki będzie miał obowiązek zgłoszenia takiego faktu organowi nadzorczemu. Art. 34 rozporządzenia nakłada też na administratora obowiązek zawiadomienia osoby, której dane dotyczą o takim naruszeniu. Zawiadomienie takie nie będzie wymagane jedynie w następujących przypadkach, gdy:

  1. administrator zastosował do danych osobowych, których dotyczy naruszenie odpowiednie techniczne i organizacyjne środki ochrony takie jak: szyfrowanie, pseudonimizację anonimizację i inne;

  2. administrator zastosował dostępne środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

  3. zawiadomienie wymagałoby niewspółmiernie dużego wysiłku (w takich przypadkach administrator danych powinien wydać publiczny komunikat, informujący w sposób skuteczny, wszystkie osoby, których dane dotyczą o zaistniałym naruszeniu ich ochrony).

Licencja: Creative Commons
0 Ocena