INFORMACJE

Rynek Lotniczy

Linie Lotnicze

Porty Lotnicze

Samoloty

Drony

Dostawcy Usług

Prawo

Turystyka

BRANŻA

Nawigacja powietrzna

Innowacje & Technologie

Personalne

Rozmowy PRTL.pl

Komentarz tygodnia

Aviation Breakfast

Polski Klub Lotniczy

Przegląd prasy

INNE

Księgarnia

Szkolenia i konferencje

Studenckie koła i org. lotnicze

Znajdź pracę

Katalog firm

Przydatne linki

REKLAMA





Partnerzy portalu



Language selection


English Deutsch French Russian

Innowacje & Technologie


RODO last minute. Rzut oka z lotu ptaka na rewolucję w przepisach o ochronie danych osobowych

Paulina Wirska, Marcin Serafin, 2017-09-28
     

Ochrona danych osobowych i prywatności to jedne z kluczowych wyzwań, które stoją przed współczesnymi społeczeństwami. Próbę kompleksowej regulacji prawnej tych kwestii stanowi ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO). Pod wieloma względami wprowadza ono zmianę rewolucyjną, dlatego warto zapoznać się bliżej z jego głównymi założeniami, jeszcze zanim zacznie być stosowane - 25 maja 2018 r.

 

 

Rozporządzenie unijne - co to takiego?

28 krajów europejskich to 28 różnych systemów prawnych. By dało się skutecznie operować w gąszczu przepisów, konieczna stała się ich unifikacja w jednym akcie prawnym – rozporządzeniu. Umożliwi ono zastosowanie tego samego reżimu prawnego w przypadku działań wykraczających poza granice jednego państwa członkowskiego. RODO oznacza zatem ułatwienia prawne dla dostawców usług poprzez ujednolicenie obowiązków prawnych na wszystkich rynkach UE

 

Czy RODO nas dotyczy?

RODO będzie stosowane do przetwarzania danych osobowych w praktycznie każdy sposób, niezależnie od tego, czy jest on zautomatyzowany, czy nie. Branża lotnicza dysponuje wieloma kategoriami danych. Poza oczywistymi, takimi jak imię, nazwisko czy adres, są to również wszelkie numery identyfikacyjne przypisane do osoby, dane biometryczne uzyskane podczas odprawy pasażera, informacje o stanie zdrowia, religii (np. informacje o wymogach dietetycznych) itd. Jednocześnie należy pamiętać, że dane pozyskujemy nie tylko od klientów, ale również od pracowników, kontrahentów, współpracowników i innych osób – niekoniecznie w bezpośrednim związku z naszą główną działalnością

 

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. – art. 4 pkt 1 RODO

 

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowy (…) taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączeni, ograniczanie, usuwanie lub niszczenie. – art. 4 pkt 2 RODO

 

Dane osobowe są przetwarzane nie tylko przy odprawie, ale także np. podczas przeglądania strony internetowej przez osoby poszukujące informacji o parkingu lotniskowym (pliki cookies), wypełniania formularzy kontaktowych (adres e-mail), korzystania ze sklepów bezcłowych (karta pokładowa) itd.

 

Prawo ponad granicami

Prawo do ochrony danych osobowych jest w Europie od dawna traktowane w sposób szczególny. RODO wprost stanowi, że jako Europejczycy mamy prawo do ochrony naszych danych – również wtedy, gdy są one przetwarzane w państwach trzecich (tzn. poza UE i Europejskim Obszarem Gospodarczym). Przykładowo, operatorzy lotnisk czy linie lotnicze spoza UE sprzedające bilety lotnicze mieszkańcom krajów UE będą musieli zapewnić, że działają zgodne z RODO. Co ważne, firmy spoza Europy muszą liczyć się z takimi samymi obowiązkami i karami za ich niespełnienie, jak firmy działające na terytorium UE.

 

Wdrożenie bez turbulencji

RODO definiuje szereg wymagań zarówno wobec działań dotyczących danych osobowych (tzw. procesów przetwarzania danych), jak i wobec wykorzystywanych środków przetwarzania (np. systemów IT). Wymagania te powinny zostać wdrożone w każdej organizacji przed dniem 25 maja 2018 r. Nie zostało dużo czasu. RODO może przerażać swoją objętością – to niemal 100 stron trudnego tekstu prawnego. Dlatego w pierwszej kolejności warto skupić się na najbardziej charakterystycznych punktach rozporządzenia.

 

1. Więcej praw dla podmiotów danych (czyli dla nas – Europejczyków)

Podmioty danych zyskają możliwość efektywnej kontroli nad tym, w jaki sposób i przez jaki czas ich dane są przetwarzane, oraz komu i w jakim celu są przekazywane. W przepisach RODO pojawia się „prawo do bycia zapomnianym” (możliwość żądania bezpowrotnego usunięcia danych), a także „prawo do przenoszenia danych” (możliwość żądania przesłania danych np. konkurencyjnego dostawcy usług). Firmy będą miały obowiązek szczegółowego informowania o działaniach podejmowanych w związku z planowanym przetwarzaniem danych, a w dodatku będą musiały posługiwać się jasnym językiem komunikacji.

 

2. Wprowadzenie ograniczeń w przetwarzaniu

RODO kładzie bardzo duży nacisk na ograniczenie możliwości przetwarzania danych tylko do sytuacji, gdy jest to konieczne. Dotyczy to zarówno aspektu czasowego (po zakończeniu okresu retencji dane będą musiały być usuwane albo anonimizowane), jak i zakresu danych (nie można przetwarzać więcej danych, niż jest to konieczne do osiągnięcia celu). Dla praktyki firm to istna rewolucja. Wielu przedsiębiorców nigdy nie usuwało jakichkolwiek danych osobowych – teraz będzie musiało się to zmienić.

 

3. Kary

Niewywiązanie się z zapewnienia zgodności z RODO może okazać się bardzo kosztowne. Maksymalna wysokość kary administracyjnej przewidzianej w RODO to 20 milionów Euro albo 4% rocznego globalnego obrotu. Jest to istotna zmiana w stosunku do obecnego braku kar finansowych w polskich przepisach o ochronie danych osobowych. Zgodnie z założeniami nowego rozporządzenia kary mają być efektywne i odstraszające. Dodatkowo RODO stwarza możliwość dochodzenia odszkodowania przez osoby fizyczne za naruszenie prawa do ochrony danych osobowych, co w praktyce może okazać się jeszcze kosztowniejsze od kar administracyjnych.

 

4. Notyfikacja naruszeń

O naruszeniach ochrony danych osobowych konieczne będzie informowanie krajowego organu ochrony danych osobowych (obecnie GIODO, po 25 maja 2018 r. – Prezes Urzędu Ochrony Danych Osobowych). Notyfikacja powinna nastąpić niezwłocznie, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. Jednakże – jeśli naruszenie będzie mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – konieczne stanie się nie tylko powiadomienie Prezesa UODO, ale także podmiotów danych dotkniętych naruszeniem. Szczególnie ten ostatni obowiązek, związany z przyznaniem się własnym klientom lub potencjalnym klientom do naruszenia, może być problematyczny wizerunkowo.

 

5. Analiza otoczenia przy definiowaniu wymagań

Dotychczasowe wymagania prawne z zakresu danych osobowych obowiązywały w tym samym stopniu zarówno małe firmy usługowe (hydraulik, ślusarz czy monter okien), jak i duże firmy telekomunikacyjne, ubezpieczeniowe czy internetowych gigantów (Facebook, Google, Twitter). RODO wprowadza zmianę także i tutaj – poprzez tzw. podejście oparte na ryzyku. Oznacza to, że, zanim ustalone zostaną poszczególne wymagania np. dla systemów informatycznych, konieczne stanie się wykonanie analizy ryzyka. Przy wyborze danych wymagań uwzględniane będą też koszty, możliwości finansowe oraz aktualny stan wiedzy technicznej. W rezultacie uzyskanie zgodności z wymogami RODO nie będzie jednorazowym przedsięwzięciem, ale pewnym stałym procesem analizowania otoczenia i doboru właściwych środków do istniejących zagrożeń.

 

6. Dobór narzędzi i zabezpieczeń

RODO wymaga, żeby stosowane przez przedsiębiorców narzędzia i środki były odpowiednie do ryzyk i wyzwań stojących przed administratorem. Wybrane narzędzia będą musiały zapewnić poufność, integralności, dostępność i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, a także regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

Wdrożenie RODO jest złożonym projektem – nie tylko w branży lotniczej. Drogę do zgodności z RODO warto zacząć od audytu obecnie funkcjonujących w organizacji zasad ochrony danych osobowych. Dopiero po zidentyfikowaniu obecnych luk możliwe będzie przystąpienie do systematycznego implementowania szczegółowych wymogów RODO.

 

 

Paulina Wirska, Marcin Serafin

Kancelaria Maruta Wachta

 

Kancelaria Maruta Wachta jest na polskim rynku wiodącą kancelarią w obszarze nowych technologii. Eksperci Kancelarii specjalizują się w zagadnieniach prawa IT, własności intelektualnej, ochrony prywatności i cyberbezpieczeństwa, zamówień publicznych oraz procesów sądowych.

 

 

Artykuł jest pierwszym tekstem z serii „Jak przygotować się na RODO?”. W kolejnych odsłonach wskażemy „Jak podejść do wdrożenia wymagań RODO?”, opiszemy „Sposoby wdrożenia zasad RODO” oraz przedstawimy „Wyzwania RODO dla IT”.

 

Zachęcamy także do lektury relacji z IX Aviation Breakfast - poświęconego cyberbezpieczeństwu i ochronie danych osobowych w lotnictwie cywilnym - zorganizowanego przez PRTL.pl pod patronatem Urzędu Lotnictwa Cywilnego, Państwowej Agencji Żeglugi Powietrznej oraz Związku Regionalnych Portów Lotniczych we współpracy z Cisco Systems Poland i Intertrading Systems Technology.

 

 

 

Tagi:

Bezpieczeństwo | Lotnisko | RODO


powrót


Aby otrzymać dostęp do komentowania artykułów musisz się zalogować.

LOGIN

HASŁO




Jeżeli nie masz jeszcze konta, załóż je teraz

Rejestracja


Komentarze do tego artykułu:

REKLAMA


REKLAMA



Informacje EKES



REKLAMA


Giełda transportowa
Clicktrans.pl







Home | O nas | Polityka prywatności | Korzystanie z serwisu | Reklama w portalu | Kontakt | Mapa strony