statystyki

Jak zaprojektować skuteczną ochronę danych osobowych

autor: Robert Brodzik17.11.2020, 06:01; Aktualizacja: 17.11.2020, 08:43
dane osobowe-personalne

Zgodnie z obowiązkiem wyrażonym wprost w art. 25 RODO administrator – zarówno na etapie określania sposobów przetwarzania gromadzonych danych osobowych, jak i w czasie samego przetwarzania – musi wdrożyć „odpowiednie środki techniczne i organizacyjne, w celu „skutecznej realizacji zasad ochrony danych”, nadania „niezbędnych zabezpieczeń służących spełnieniu wymogów RODO” oraz „ochrony praw osób, których dane dotyczą”.źródło: ShutterStock

Zanim przedsiębiorca zacznie gromadzić dane osobowe (np. utworzy bazę klientów), powinien m.in. zaprojektować ich skuteczną ochronę. Taki obowiązek nakłada na niego RODO. Brzmienie przepisów budzi jednak wątpliwości interpretacyjne. Europejska Rada Ochrony Danych (EROD) 20 października przyjęła jednak ostateczną wersję „wytycznych 4/2019 w sprawie artykułu 25 i uwzględniania ochrony danych w projektowaniu oraz domyślnej ochrony danych”. Ten dokument ma znaczenie dla wszystkich administratorów, niezależnie od wielkości firmy. Przybliżamy zatem jego najważniejsze elementy.

Zgodnie z obowiązkiem wyrażonym wprost w art. 25 RODO administrator – zarówno na etapie określania sposobów przetwarzania gromadzonych danych osobowych, jak i w czasie samego przetwarzania – musi wdrożyć „odpowiednie środki techniczne i organizacyjne, w celu „skutecznej realizacji zasad ochrony danych”, nadania „niezbędnych zabezpieczeń służących spełnieniu wymogów RODO” oraz „ochrony praw osób, których dane dotyczą”. Przy planowaniu tej ochrony i jej wdrażaniu należy uwzględnić „stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania”.

Tak sformułowany przepis rodzi jednak wiele pytań. Przedsiębiorcy zastanawiają się, jakie środki to odpowiednie środki? Kiedy realizacja zasad ochrony danych osobowych można będzie uznać za skuteczną? Kiedy zabezpieczenie jest niezbędne? Wydane właśnie przez Europejską Radę Ochrony Danych (EROD) wskazówki mają te wątpliwości wyeliminować i ujednolicić stosowanie przepisów w całej UE.

Szeroki krąg adresatów i zakres stosowania

Wytyczne EROD dotyczą praktycznie każdego przedsiębiorcy. Bez znaczenia jest skala prowadzonej działalności – jednakowo traktowane są małe, lokalne firmy, jak i międzynarodowe korporacje. Nie ma również znaczenia profil działalności – do stosowania wymaganych przez RODO zasad privacy by design (uwzględniania prywatności w projektowaniu ochrony) i privacy by default (domyślnej ochrony danych) zobowiązani są zarówno przedsiębiorstwo prowadzące warsztat samochodowych, jak i klinika medycyny estetycznej, jeśli przetwarzają dane osobowe swoich lub potencjalnych klientów (np. gromadzą je, prowadzą korespondencję). Różnice w stopniu stosowania tych zasad mogą jednak się pojawić w zależności od złożoności przetwarzania informacji – inne środki bezpieczeństwa powinna stosować bowiem lokalna księgarnia prowadząca sprzedaż stacjonarną, a inne przedsiębiorstwo zajmujące się analizą danych z sieci społecznościowych.


Pozostało 90% tekstu

Prenumerata wydania cyfrowego

Dziennika Gazety Prawnej
7,90 zł
cena za dwa dostępy
na pierwszy miesiąc,
kolejny miesiąc tylko 79 zł
Oferta autoodnawialna
KUPUJĘ

Pojedyncze wydanie cyfrowe

Dziennika Gazety Prawnej
4,92 zł
Płać:
KUPUJĘ
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Komentarze (1)

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Redakcja poleca

Polecane