CZEGO JUŻ NIE BĘDZIE

Przede wszystkim, począwszy od 25 maja 2018 r. nie będzie już wymogu prowadzenia  dokumentacji ochrony danych osobowych w dotychczasowej, sformalizowanej postaci. Będzie można pożegnać się z obecnymi politykami bezpieczeństwa oraz instrukcjami zarządzania systemem informatycznym lub będzie można odpowiednio dostosować je do nowych przepisów o ochronie danych osobowych.

Podkreślić należy jednak, że przepisy RODO wprowadzają pewne nowe obowiązki o charakterze formalnym. Tytułem przykładu wskazać można obowiązek prowadzenia dokumentacji naruszeń ochrony danych i dokumentacji oceny skutków operacji przetwarzania dla ochrony danych.

Z dniem 25 maja 2018 r. zniesiony zostanie także obowiązek zgłaszania zbiorów danych do rejestracji GIODO. Zniesienie obowiązku rejestracyjnego nastąpi zarówno w zakresie zbiorów danych osobowych zwykłych, jak również zbiorów danych osobowych wrażliwych. Nie będzie również konieczności prowadzenia jawnego rejestru zbiorów przez powołanego administratora bezpieczeństwa informacji.

Oba opisane powyżej obowiązki rejestracyjne zastąpione zostały na gruncie RODO, obowiązkiem prowadzenia rejestru czynności przetwarzania danych osobowych (w przypadku administratora danych) oraz rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (w przypadku procesora).

Do lamusa odejdą również sztywne wymagania techniczne określone w rozporządzeniu wykonawczym MSWiA z 2004 r. Sam administrator danych zdecyduje zatem, czy będzie chciał, aby w jego organizacji hasła do systemów informatycznych były zmieniane co 30 dni lub czy koniecznie muszą mieć 8 znaków. Dobór środków technicznych mających zapewnić ochronę przetwarzanym danym osobowym dokonywany będzie samodzielnie przez administratora danych w oparciu o przeprowadzoną przez niego analizę ryzyka.

Artykuły o rodo

Wróć

Katarzyna Witkowska

  • Prawnik
Skontaktuj się z autorem