Rzeczpospolita Prawo

Ochrona danych: wymogi formalne nie są najważniejsze

Administratorów czeka monitoring danych osobowych, ich analiza, zarządzanie ryzykiem, wykonywanie audytów i certyfikacji, zapewnienie szkolenia pracownikom, uczestnikom procesów przetwarzania oraz przede wszystkim pozyskiwanie jedynie tych danych, które są niezbędne dla zakładanego celu i możliwie szybkie pseudonimizowanie ich.

Aktualizacja: 14.08.2017 11:37 Publikacja: 13.08.2017 14:18

Ochrona danych: wymogi formalne nie są najważniejsze

Foto: Fotolia

Daniel Michalski

Wchodzące w życie 25 maja 2018 r. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) wprowadza nowe podejście do przetwarzania danych osobowych. Odchodząc od dotychczasowych wymogów formalnych, RODO ma na celu wzmocnienie praw osób, których dane są przetwarzane m.in. poprzez obowiązek wdrożenia weryfikowalnych procesów ochrony danych już na etapie projektowania procesów w danej organizacji.

Polityka bezpieczeństwa

Wraz z wejściem w życie RODO, 25 maja 2018 roku przestanie obowiązywać ustawa z 29 sierpnia 1997 o ochronie danych osobowych (tj. DzU 2016 poz. 922) oraz wszystkie przepisy wykonawcze wydane na jej podstawie, a więc między innymi rozporządzenie ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z 29 kwietnia 2004 r. (DzU nr 100, poz. 1024). Zniknie zatem szereg dotychczasowych sztywnych wymogów, których spełnienie było konieczne dla uznania, że kwestia ochrony danych została w organizacji w dostatecznym stopniu zabezpieczona.

Znikną między innymi obowiązki związane z rejestracją zbiorów danych osobowych, posiadania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, w rozumieniu przepisów wspomnianego rozporządzenia MSWiA.

Istotne zmiany

Kluczowym elementem nowego podejścia do ochrony danych osobowych w ramach RODO i nowością w europejskich regulacjach, jest zasada rozliczalności (ang. accountability). Rozliczalność oznacza dla administratorów obowiązek nie tylko wdrożenia określonych mechanizmów organizacyjnych dla zapewnienia ochrony danych osobowych, ale również wykazania, że są one skuteczne i egzekwowalne, np. poprzez prowadzenie bieżącej dokumentacji związanej z rejestracją czynności przetwarzania danych, dokonywania oceny skutków dla ochrony danych (ang. Privacy impact assessment).

Kolejnymi pojęciami kluczowymi z punktu widzenia nowego podejścia do przetwarzania danych na gruncie RODO, są prywatność w fazie projektowania (ang. privacy by design) i prywatność jako ustawienie domyślne (ang. privacy by default).

Konieczność zaimplementowania zasady prywatności w fazie projektowania została formalnie potwierdzona podczas 32 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności w Jerozolimie w październiku 2010 roku. W przyjętej wówczas rezolucji obradujący potwierdzili, że wdrożenie tej koncepcji jest nieodzowne dla zapewnienia podstawowej ochrony prywatności, podkreślono też jej szersze niż dotychczas rozumienie – tj. nie tylko w zakresie projektów telekomunikacyjnych i IT oraz jako niezbędny element reguł zarządzania organizacji oraz prawodawstwa krajowego.

Jakie elementy zasady privacy by design są kluczowe z punktu widzenia administratora? Jako pierwszy element - konieczność proaktywnego działania administratora („zapobiegać, nie leczyć") w zapewnianiu zgodności procesów przetwarzania z RODO.

Ponadto zgodnie z powołaną rezolucją są to także:

* prywatność jako ustawienie domyślne,

* prywatność włączona w projekt,

* pełna funkcjonalność rozumiana jako osiąganie sumy dodatniej, a nie sumy zerowej,

* ochrona prywatności od początku do końca cyklu życia informacji,

* transparentność i przejrzystość,

* poszanowanie dla prywatności użytkowników.

Praktyczne wdrożenie zasad privacy by design i privacy by default (czyli domyślnego ustawienia systemu w opcji zapewniającej możliwie najwyższy poziom zabezpieczenia prywatności) może być realizowane między innymi poprzez bieżący monitoring, analizę i zarządzanie ryzykiem, wykonywanie audytów i certyfikacji, zapewnienie szkolenia pracownikom, uczestnikom procesów przetwarzania, pozyskiwanie jedynie tych danych, które są niezbędne dla zakładanego celu i możliwie szybkie pseudonimizowanie danych osobowych.

Co po 25 maja 2018

W motywie 78 oraz art. 24 ust. 2 w zw. z ust. 1 RODO wskazuje się na leżący po stronie administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, w tym przyjęcia i wdrożenia odpowiednich polityk oraz środków technicznych, w celu zapewnienia spełnienia wymogów RODO. Nie określając szczegółów dotyczących minimalnego zakresu takich środków, RODO wskazuje wprost, że powinny one być w razie potrzeby weryfikowane i aktualizowane. RODO sugeruje również, jako jedną z racjonalnych alternatyw do oceny spełniania wymogów RODO przez administratorów, wykorzystanie funkcjonujących mechanizmów certyfikacji lub zatwierdzonych przez krajowe organy nadzorcze kodeksów postępowania.

Dotychczasowy obowiązek rejestracji zbiorów zastąpi określony w art. 30 RODO obowiązek prowadzenia rejestru czynności przetwarzania danych. Z prowadzenia tego rejestru zwolnieni będą przedsiębiorcy/podmioty zatrudniające mniej niż 250 osób, chyba że:

* przetwarzanie danych osobowych przez te podmioty obarczone jest ryzykiem naruszenia praw lub wolności osób, których dane dotyczą,

* przetwarzanie nie ma charakteru sporadycznego,

* obejmuje dane kategorii szczególnych określone w art. 9 ust. 1 i 10 (nieco szerszy odpowiednik dzisiejszych danych wrażliwych określonych w art. 27 ust. 1 obecnej ustawy).

—Daniel Michalski

Zdaniem autora

Daniel Michalski, radca prawny, prawnik w kancelarii MDDP Olkiewicz i Wspólnicy

Wyraźnie więc widać, że RODO będzie wymagać od administratora stałej dbałości o kwestię zabezpieczenia danych. W nowych realiach nie wystarczy jedynie dobra procedura na wypadek zaistnienia naruszeń w zakresie ochrony prywatności, konieczne będzie stałe działanie na rzecz ochrony danych i bieżącej aktualizacji procesów i procedur związanych z przetwarzaniem danych. Co zatem z dotychczasową dokumentacją? Oczywiście dobrze, że jest, jeszcze lepiej, żeby administrator lub wyznaczony administrator bezpieczeństwa informacji dbał o jej okresową aktualizację. RODO wymagać będzie jednak jej gruntownej zmiany a także istotnej zmiany podejścia i kultury organizacyjnej w zakresie ochrony prywatności. Szczególne znaczenie RODO będzie mieć dla obszaru IT w organizacji, gdzie samo zaprojektowanie „nakładki" na istniejące narzędzia może się okazać niewystarczające.

O ile obecne przepisy dość szczegółowo określają wymagania, które powinien spełnić administrator, RODO odchodzi od tego modelu i nie dając gotowych rozwiązań akcentuje konieczność większej samodzielności po stronie administratora, który jednak będzie mógł odwołać się do wytycznych krajowego regulatora, Europejskiej Rady Ochrony Danych lub też uznanych międzynarodowych norm i standardów.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Dane Osobowe Finanse w Firmie

Wchodzące w życie 25 maja 2018 r. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) wprowadza nowe podejście do przetwarzania danych osobowych. Odchodząc od dotychczasowych wymogów formalnych, RODO ma na celu wzmocnienie praw osób, których dane są przetwarzane m.in. poprzez obowiązek wdrożenia weryfikowalnych procesów ochrony danych już na etapie projektowania procesów w danej organizacji.

Pozostało 91% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Spadki i darowizny
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Materiał Promocyjny
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Advertisement
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Prawo w Firmie
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Ministerstwo Zdrowia
Podatki
Składka zdrowotna na ryczałcie bez ograniczeń. Rząd zdradza szczegóły
Kiedy można wyłączyć grunty z produkcji rolnej
Ustrój i kompetencje
Kiedy można wyłączyć grunty z produkcji rolnej
Nowe, w pełni elektryczne BMW iX2 już od 2200 PLN netto/mies.
Materiał Promocyjny
Nowe BMW iX2 już od 999 PLN netto/mies. z dopłatą w programie „Mój Elektryk”.
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Sądy i trybunały
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Materiał Promocyjny
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Advertisement
e-Wydanie