Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie osób fizycznych, a także z Ustawą z dnia 10 maja 2018 o ochronie danych osobowych, każda polska firma musi wdrożyć należyte środki bezpieczeństwa, które uważa za odpowiednie w odniesieniu do ryzyka związanego z przetwarzaniem, które przeprowadza.

Stosowane środki ochrony danych

RODO określa katalog środków, które firmy muszą zastosować, aby móc wykazać, że spełniają jego wymagania. A są to:

1. Pseudonimizacja i szyfrowanie danych, a więc mechanizmy mające na celu zapewnienie trwałej poufności, integralności, dostępności i odporności systemów i usług przetwarzania, a także mechanizmy pozwalające na szybkie przywrócenie dostępności i dostępu do danych osobowych w przypadku incydentu fizycznego lub technicznego. Zaliczają się do tej kategorii również procesy regularnej weryfikacji, ewaluacji i oceny skuteczności środków bezpieczeństwa.
2. Powiadamianie o naruszeniu bezpieczeństwa. Rozporządzenie nakłada na administratora danych obowiązek powiadamiania właściwego organu ochrony danych o wszelkich naruszeniach bezpieczeństwa danych, które wystąpiły w jego organizacji, bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od momentu, gdy administrator danych dowiedział się o takim naruszeniu, chyba że jest mało prawdopodobne, by naruszenie to stanowiło zagrożenie dla praw i wolności osób, których dane dotyczą. Istnieje także obowiązek powiadamiania podmiotów danych o takim naruszeniu bezpieczeństwa, jeżeli może ono stanowić zagrożenie dla praw i wolności podmiotów danych. Szyfrowanie danych uznaje się tu za mechanizm, który sprawia, że jest mało prawdopodobne, by naruszenie bezpieczeństwa stanowiło zagrożenie dla osób, których dane dotyczą, ponieważ umożliwia ono ukrycie ich danych osobowych.
3. Przeprowadzanie oceny skutków ochrony danych.
4. Powołanie inspektora ochrony danych.

Możliwe kary za brak wdrożenia rozwiązań z zakresu środków ochrony danych osobowych

Podsumowując, Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych ma na celu przewidywanie naruszeń lub łamania praw. Nie wystarczy już, że firmy po prostu przestrzegają tego czy innego artykułu rozporządzenia, ale muszą być w stanie zagwarantować i wykazać w każdej chwili, że przetwarzanie danych przez ich firmę jest zgodne z RODO. Za niespełnienie tych wymogów firmom grożą im wysokie kary:

• do 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa. za przetwarzanie danych osobowych niezgodnych z postanowieniami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych lub niedopełnienie obowiązku informacyjnego,
• do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa za nieprawidłowości w zakresie powierzenia przetwarzania danych, niewłaściwe prowadzenie rejestru czynności przetwarzania danych, za brak zgłoszenia naruszenia ochrony tych informacji i niezawiadomienie osoby, której one dotyczą,
• do 100 000 złotych dla jednostek związanych z finansami publicznymi, instytutami badawczymi, itp.,
• do 10 000 złotych na krajowe jednostki kultury.

Rola Inspektora Danych Osobowych 

Obecnie, po wprowadzeniu RODO, dużą popularnością cieszą się szkolenia na Inspektora Danych Osobowych. Obowiązek wyznaczenia Inspektora Ochrony Danych jest konieczny dla wielu podmiotów, zarówno publicznych jak i prywatnych, dlatego ciągłe szkolenia pozwalają zagwarantować odpowiedni poziom wiedzy, przekładający się potem na jakość systemów związanych z ochroną danych osobowych wdrażanych w poszczególnych przedsiębiorstwach i organizacjach.

W ramach tego typu kursów omawiane są przykładowe dokumenty, procedury postępowania, a także zasady bezpieczeństwa danych osobowych. Jeśli chcesz zostać Inspektorem Danych Osobowych – kursy te pozwalają na zdobycie kompleksowej wiedzy, a także niezbędnych umiejętności praktycznych w zakresie ochrony danych osobowych.