Administrator oceni, jakie środki bezpieczeństwa wdrożyć
Nowa ustawa o ochronie danych osobowych nie będzie zawierała katalogu technicznych i organizacyjnych środków ochrony danych.
Ogólne rozporządzenie o ochronie danych osobowych odchodzi od równego traktowania wszystkich podmiotów przetwarzających dane osobowe – w kontekście zasad zabezpieczania danych. Nowe przepisy wprowadzają podejście oparte na ryzyku. To każdy podmiot, który przetwarza dane osobowe będzie musiał ocenić, czy w konkretnej sytuacji zastosował dostępne i uznane w chwili przetwarzania za stabilne technologicznie środki zapewniające najwyższą ochronę danych osobowych. Chodzi o to, że zabezpieczenia mają być adekwatne do sytuacji, w jakiej dane są przetwarzane. W związku z tym, rozporządzenie nie wskazuje konkretnych środków bezpieczeństwa, jakie należy wdrożyć.
Ministerstwo Cyfryzacji pracuje aktualnie nad nową ustawą o ochronie danych osobowych, która doprecyzuje niektóre przepisy rozporządzenia ogólnego. Jednak, jak zapowiedział dr Maciej Kawecki, doradca w Gabinecie Politycznym Ministra Cyfryzacji podczas Konferencji „Doskonalenie wykonywania funkcji ABI – drugi rok doświadczeń”, w nowej polskiej ustawie także nie znajdziemy katalogu technicznych i organizacyjnych środków ochrony danych osobowych.
Ministerstwo nie planuje także wprowadzać przepisów, które zwolnią podmioty przetwarzające dane osobowe, z obowiązku zapewnienia środków technicznych gwarantujących w danym stanie faktycznym najbardziej skuteczną ochronę.
Resort rozważa jednak nadanie przyszłemu organowi nadzorczemu uprawnienia do opracowywania wykazów dobrych praktyk dotyczących odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem ogólnym oraz ustawą. „Wykazy dobrych praktyk powinny w takim przypadku podlegać okresowej aktualizacji i być sporządzane z uwzględnieniem specyfiki działań różnego rodzaju przedsiębiorców” – powiedział dr Maciej Kawecki.
Doradca Ministra Cyfryzacji podkreślił także, że nie jest pewne, że takie regulacje powstaną i zostaną wprowadzone do projektu nowej ustawy o ochronie danych osobowych, jednak zaznaczył, że Ministerstwo Cyfryzacji widzi potrzebę większego zgłębienia tematu.
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Zgoda na przetwarzanie danych osobowych o zdrowiu musi być udokumentowana
- Kara UODO dla kolejnego banku za niezgłoszenie naruszenia ochrony danych
- Jak zapewnić ochronę danych w tworzonym oprogramowaniu
- Santander Bank Polska z wysoką karą UODO za niezgłoszenie naruszenia ochrony danych
- Ochrona sygnalistów a RODO - czy IOD może obsługiwać zgłoszenia naruszeń prawa
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
