Do 24 maja 2018 roku
- Ustawa o ochronie danych osobowych
- Rozporządzenia wykonawcze
Od 25 maja 2018 roku
- Ogólne rozporządzenie o ochronie danych
- Nowa ustawa krajowa
Nowe podejście do ochrony danych osobowych
- Dostosowanie zasad ochrony danych do aktualnego stanu wiedzy
- Podejście oparte na ryzyku
- Rozliczalność – wykazanie przestrzegania przepisów o ochronie danych
- Zgłaszanie naruszeń danych
- Odpowiedzialność finansowa
Dostosowanie zasad ochrony do aktualnego stanu wiedzy – motyw 18, 81, 83, art. 25, 32, 97)
Administrator danych osobowych zobowiązany jest zawsze działać w zgodzie z aktualnym stanem wiedzy technicznej:
- realizując obowiązek uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochronie danych;
- zapewniając techniczne i organizacyjne bezpieczeństwo ochrony danych osobowych;
- powierzając przetwarzanie danych osobowych innemu podmiotowi.
Opinia Grupy Art. 29 nr 03/2014 „Personal Data Breach Notification – WP 213”
Zgłoszenie naruszenia danych osobowych było przedmiotem Opinii Grupy Art. 29 nr 03/2014 „Personal Data Breach Notification – WP 213”, która przedstawiała informacje pomocne w podejmowaniu decyzji dotyczącej notyfikowania osób, których dane dotyczą, w kontekście dyrektywy 2002/58/WE. Opinia ta również poruszała kwestie notyfikacji w świetle projektu RODO.
Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
- W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
- Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
Bezpieczeństwo przetwarzania
- Artykuł 32
- 1. Uwzględniając stan wiedzy technicznej, ……… aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- a) pseudonimizację i szyfrowanie danych osobowych;
- b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
Zasady przetwarzania danych
- przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
- odpowiedni poziom bezpieczeństwa