RODO - jak zrozumieć i nie panikować

RODO - to hasło w ostatnim czasie przewija się przez usta wszystkich: od przedsiębiorców, po instytucje publiczne, edukacyjne itd. Właściwie nie ma przestrzeni, w której RODO nie miałoby zastosowania. Pewna ogólność rozporządzenia a także fakt, że tak naprawdę nikt do końca nie wie jak to będzie powoduje wszechogarniające poczucie paniki.


Postaramy się zatem w kolejnych wpisach przybliżać najważniejsze kwestie związane z RODO. Równocześnie bardzo mocno chcemy podkreślać, że SerwerSMS.pl jest przygotowane na wejście w życie nowych przepisów, dlatego też zachęcamy do zaglądania do zakładki https://serwersms.pl/rodo gdzie na bieżąco będziemy informować o poczynionych zmianach w SerwerSMS.pl, nowych dokumentach, procedurach. Warto także zaznaczyć, że zależy nam również na tym, aby nasi Klienci czuli się bezpieczni więc serwujemy także dla nich plik rad dla Administratorów Danych Osobowych.

Na początku warto sobie zadać pytanie, które zapewne nurtuje rzesze ludzi w Europie: dlaczego rozporządzenie GDPR czyli po polsku RODO, jest stworzone w tak dużym stopniu ogólności, bez konkretnych wskazówek? Odpowiedź jest wbrew pozorom bardzo prosta – prawo nigdy nie nadąża za postępem technologicznym, dlatego też stworzone rozwiązanie ma być ponadczasowe i technicznie neutralne, po to właśnie, aby pozostawało w mocy za lat 5 czy 15. Z tego powodu właśnie przyjęto koncepcję uwzględniania w każdym procesie przetwarzania danych ryzyka dla praw i wolności, jakie może nieść to przetwarzanie. Należy oczywiście w związku z tym każdorazowo dostosowywać wykorzystywane narzędzia do tego, aby zabezpieczyć przetwarzane dane od ryzyka.   

Do czego zatem zobowiązany jest Administrator Danych Osobowych?

Przede wszystkim od 25 maja 2018 Dane Osobowe Klientów należy traktować z szacunkiem. Oczywiście dla firm, instytucji, które stosowały się do zasad GIODO, nie będzie to niczym nowym. Jednak warto o tym mówić głośno o wyraźnie, bo szacunek stanowi podstawę do dalszych działań. Należy więc również z szacunkiem przetwarzać pozyskane dane.

Zasada integralności i poufności

Na początku zacytujmy paragraf definiujący tą zasadę:  „Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.

Każdy, kto przetwarza dane osobowe, musi więc odpowiednio je zabezpieczyć, tak by uniemożliwić ich nieuprawnione udostępnienie. Chodzi zatem o to, aby nie dopuścić do kradzieży danych. Próżno w dokumencie szukać dokładnych wytycznych, jak to ma wyglądać, jakie systemy wdrożyć itd . Musimy tutaj sami zdecydować mając w zasięgu rozwiązania dostępne w danym momencie, jednak to do czego zachęca nas mocodawca rozporządzenia to do skorzystania z narzędzi pseudonimizacji bądź szyfrowania danych. W rozporządzeniu nie znajdziemy także informacji nawet o minimalnych standardach technicznych bezpieczeństwa danych. Wszystko jest zatem niezwykle płynne.

Zasada rozliczalności

Zgodnie z zasadą rozliczalności, to administrator danych – uwzględniając aktualny stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres i cele przetwarzania danych – samodzielnie będzie decydował, jakie środki bezpieczeństwa wdrożyć, żeby zapewnić zgodność przetwarzania danych z wymogami rozporządzenia.

To niezwykle ważna zasada, ponieważ Administrator może uznać, że aktualne pozostaną środki techniczne i organizacyjne które już zostały udokumentowane i wdrożone w dotychczasowej polityce firmy. Może też podjąć decyzję o wdrożeniu nowych rozwiązań.

Czego się wystrzegać?

W ocenie Administratora Danych pozostaje to, czy stopień bezpieczeństwa danych jest wystarczający. W ocenie tej należy przede wszystkim uwzględnić ryzyko wiążące się z przetwarzaniem wynikające np.  z przypadkowego czy niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Niestety w wyniku powyższych okoliczności może dojść do kradzieży tożsamości, strat finansowych, majątkowych, naruszenia dób osobistych osoby, których dane dotyczą.

Jeśli dojdzie do sytuacji naruszenia, każdy administrator będzie zobowiązany do zgłoszenia tego faktu organowi regulującemu kwestie ochrony danych, a w szczególnych przypadkach także do osób, których dane zostały naruszone.

Aby wywiązać się z obowiązku zabezpieczania danych, można zastosować mechanizm certyfikacji, a więc uzyskiwanie stosownych certyfikatów i znaków jakości potwierdzających właściwe zabezpieczenie danych osobowych. Źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy i zarządzania środkami bezpieczeństwa mogą być również, krajowe, europejskie lub międzynarodowe normy, w tym normy ISO.

W kolejnych wpisach powiemy m.in. jak poprawnie zbierać dane, aby wszystko działało zgodnie z RODO i aby być spokojnym o prowadzone kampanie SMS.

 

 

Wróć do listy

Odkryj świat komunikacji mobilnej w profesjonalnym wydaniu!

Odbierz 100 darmowych wiadomości na start + Short Code 4301 gratis!

Wypróbuj za darmo

Testuj 14 dni za darmo