Zasady określone przez rozporządzenie GDPR są dość podobne do zasad sformułowanych w dotychczasowej dyrektywie w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Pojawiło się jednak kilka nowych elementów:
- dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
- dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
- zbieranie i przechowywanie danych jest ograniczone do czynności niezbędnych w celu ich przetwarzania.
Jeszcze istotniejsze dla przedsiębiorstw są zasady dotyczące ochrony danych i odpowiedzialności za ich bezpieczeństwo: dane osobowe powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Ponadto nowa zasada odpowiedzialności mówi, że administratorzy są odpowiedzialni za wykazanie zgodności z zasadami przetwarzania danych.
Firmy muszą dokonać przeglądu polityk ochrony danych, kodeksów postępowania i szkoleń, aby zapewnić ich zgodność ze zmodyfikowanymi zasadami. Należy zidentyfikować metody umożliwiające „wykazanie przestrzegania” przepisów, takie jak przestrzeganie zatwierdzonych kodeksów postępowania, dokumentowanie decyzji związanych z przetwarzaniem danych, a jeśli to konieczne, przeprowadzanie oceny skutków działań dla ochrony danych.
Zobacz również: /2016/10/27/zakres-ogolnego-rozporzadzenia-o-ochronie-danych-nowe-pojecia-sa-nim-wprowadzane/#more-579
Autor: Michał Jarski, Regional Sales Director CEE, Trend Micro