Nowe wyzwania w ochronie danych osobowych – debata w Polska Press

Nowe przepisy z zakresu ochrony danych osobowych zaczną obowiązywać 25 maja 2018 roku. Do tego czasu konieczne jest wprowadzenie zmian w przepisach sektorowych. Ogólne rozporządzenie o ochronie danych to nie tylko wyzwanie dla ustawodawcy, ale również dla przedsiębiorców. Jak trafnie zauważył zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej w Biurze GIODO Piotr Drobek – „należy o tych zmianach mówić jak najwięcej, by się do nich dobrze przygotować.”

14 września 2016 roku odbyła się ponad dwugodzinna debata zorganizowana przez wydawnictwo Polska Press pt. „Europejskie rozporządzenie o ochronie danych. Co nas czeka, jak się przygotować?”, w której wzięli udział eksperci ds. ochrony danych osobowych:

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET

  • Piotr Drobek zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej w Biurze GIODO,
  • Magdalena Piech - Konfederacja Lewiatan,
  • Joanna Karczewska - ISACA,
  • Adw. Marcin Zadrożny - Fundacja Wiedza To Bezpieczeństwo,
  • Monika Sobczyk - Medicover,
  • Mariola Więckowska - Grupa Allegro,
  • R.pr. Emil Zubelewicz - Orange Polska,
  • R.pr. Kamila Niewęgłowska-Kennedy - Allianz,
  • Maciej Kaczmarski - ODO 24.

Eksperci rozmawiali o wyzwaniach, które nowe przepisy europejskie niosą dla przedsiębiorców. „Trzeba mieć świadomość, że zmienia się cały system ochrony danych osobowych” - zauważył przedstawiciel GIODO. Przedsiębiorstwa muszą być przystosowane już w dniu rozpoczęcia obowiązywania ogólnego rozporządzenia o ochronie danych, czyli 25 maja 2018 roku. W ocenie ekspertów biorących udział w debacie na dostosowanie zostało niewiele czasu. Duże organizacje już przygotowują się do wdrożenia rozporządzenia, a w podmiotach, które zdecydowały się na wdrożenie normy ISO/IEC 27001 przebiega to zdecydowanie sprawniej. Taką organizacją jest np. Medicover, który obecnie „konsumuje” wartości dodane (w zakresie ODO) wynikające z wdrożenia normy ISO/IEC 27001, która standaryzuje system zarządzania bezpieczeństwem informacji.

Na gruncie rozporządzenia nastąpi przede wszystkim zmiana podejścia do ochrony danych osobowych. To administrator będzie musiał określić, jakie rozwiązania oraz jakie narzędzia użyje, by chronić dane osobowe – przepisy nie będą już określać sposobu budowania haseł czy terminu ich zmiany. Rozporządzenie nie nakłada wprost obowiązku posiadania dokumentacji dot. ochrony danych osobowych, tak jak Ustawa o ochronie danych osobowych, jednakże Administrator danych, czy podmiot przetwarzający dane (procesor) będzie zobowiązany do wykazania zastosowania odpowiednich polityk, wdrożenia procedur. Rozporządzenie wprowadza obowiązek uwzględniania ochrony danych osobowych już w fazie projektowania oraz ustawienia domyślnej ochrony danych osobowych w produktach i usługach. Allegro przygotowania do zmian w prawie rozpoczęło już dwa lata temu, zauważa Administrator Bezpieczeństwa Informacji w Grupie Allegro. Od tamtej pory prowadzi analizę ryzyka i proaktywnie podchodzi do ochrony danych osobowych w swoich usługach. Przedstawiciel GIODO podkreślił, że nowe rozporządzenie jest celowo ogólne, by zawarte w nim zasady można było zastosować w różnych sektorach, uwzględniając przy tym specyfikę ich działania.

Przedstawiamy animację obrazującą kluczowe zmiany i nowości jakie niesie za sobą unijna reforma:

Eksperci debatowali nad kluczowymi zmianami jakie niesie ze sobą rozporządzenie dla przedsiębiorstwa. Poruszane były m.in. takie tematy jak: obowiązek rejestrowania czynności przetwarzania, zgłoszenie naruszeń danych osobowych w terminie 72h, profilowanie, obowiązek oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych w tym obowiązkowych konsultacji z GIODO, wysokie kary administracyjne za łamanie przepisów rozporządzenia, mechanizmów certyfikacji, czy rozszerzony obowiązek informacyjny. Przedstawiciel Orange Polska wskazał, że nowe przepisy mają na celu ochronę podmiotów danych, jednakże będą wiązać się z problemami dla przedsiębiorców, którzy przetwarzają dane, np. podczas rozmowy telefonicznej z konsultantem, który będzie musiał zapytać o wiele zgód i odczytać długi obowiązek informacyjny. Nadmienił również, że Orange Polska jako duża firma, w dalszym ciągu identyfikuje miejsca, w których będzie musiała dokonać zmian z uwagi na to, iż zmiany w prawie dotyczą praktycznie wszystkich segmentów biznesu organizacji.

Przedstawicielka Konfederacji Lewiatan podkreślała, że duże wyzwanie czeka polskiego ustawodawcę. Wiele ustaw, w tym tych sektorowych wymaga zmiany – m.in.: ustawa prawo bankowe, telekomunikacyjne, ubezpieczeniowe, ustawa o biurach informacji gospodarczych. Krajowe akty prawne muszą być zgodne z rozporządzeniem.

Wzmożone dyskusje wywołał temat outsourcingu funkcji ABI, a w przyszłości Inspektora ochrony danych. Korzystanie z wyspecjalizowanego podmiotu świadczącego tego typu usługi to gwarancja profesjonalnego wsparcia z zakresu ochrony danych osobowych i wdrożenia sprawnego systemu ochrony danych. Oczywiście system ochrony danych bazujący na „wewnętrznym” ABI ma swoje plusy, ale w przypadku zatrudnienia nowej osoby do pełnienia takiej funkcji w organizacji ciężko zweryfikować jej kompetencje, a w późniejszym okresie rzetelność wykonywanej przez nią pracy. Praktyka pokazuje, że część organizacji, która decyduje się na „wewnętrznego” ABI, nie zatrudnia nowej osoby, a powołuje do pełnienia tej funkcji osobę, która jest już pracownikiem, dokładając tym samym jej nowe obowiązki. Co często jest ze szkodą dla samej organizacji, ponieważ taka osoba nie dysponuje wystarczającą wiedzą, doświadczeniem, i też po prostu wystarczającą ilością czasu żeby mieć szansę wykonywać swoje dodatkowe obowiązki w sposób profesjonalny.

Podsumowując, przedsiębiorcy przede wszystkim muszą nauczyć się aktywnie korzystać z wiedzy ABI lub podmiotów wyspecjalizowanych, tak żeby dostosować się do nowych wymogów prawa.

Diagnoza zgodności RODO - zrób to sam!

Czytaj także:

-
4.56/5 (39) 1
Najczęstsze błędy przy zawieraniu umów powierzenia

"Nie potrzebujemy
żadnych narzędzi do RODO"

Jesteś tego pewien?

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>