Art. 25 RODO nakłada na administratorów danych obowiązek uwzględniania kwestii ochrony danych osobowych już na poziomie projektowania danego procesu (przetwarzania danych) oraz zapewnienia domyślnie odpowiedniego stopnia ochrony prywatności, by zapewnić stosowanie wymogów RODO oraz chronić prawa osób, których dane dotyczą. Oznacza to konieczność podejścia proaktywnego, w którym administrator już na poziomie planowania procesu przetwarzania danych osobowych będzie brał pod uwagę zagadnienia związane z koniecznością zapewnienia domyślnie najwyższego poziomu ochrony prywatności.
Celem RODO jest zapewnienie ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Jest to proces ciągły, w ramach którego administratorzy danych muszą poprzez spełnianie wymogów RODO, w tym stosowanie odpowiednich środków technicznych i organizacyjnych (zabezpieczeń) zapewnić ochronę osób fizycznych, których dane przetwarzają. Nie każdy administrator danych ma świadomość, że RODO wymaga od niego, by działał aktywnie na rzecz zapewnienia tej ochrony zanim jeszcze dojdzie do faktycznego przetwarzania danych osobowych.
Ochrona danych osobowych w fazie projektowania i domyślna ochrona danych
Art. 25 RODO nakłada na administratorów danych obowiązek uwzględniania kwestii ochrony danych osobowych już na poziomie projektowania danego procesu (przetwarzania danych) oraz zapewnienia domyślnie odpowiedniego stopnia ochrony prywatności, by zapewnić stosowanie wymogów RODO oraz chronić prawa osób, których dane dotyczą. Oznacza to konieczność podejścia proaktywnego, w którym administrator już na poziomie planowania procesu przetwarzania danych osobowych będzie brał pod uwagę zagadnienia związane z koniecznością zapewnienia domyślnie najwyższego poziomu ochrony prywatności.
Zgodnie z art. 25 RODO administrator danych przy określaniu sposobów przetwarzania (etap projektowania – przed rozpoczęciem danego przetwarzania), jak i później w trakcie przetwarzania, musi uwzględniać następujące zagadnienia:
stan wiedzy technicznej;
koszt wdrożenia;
charakter przetwarzania;
zakres przetwarzania;
kontekst przetwarzania;
cele przetwarzania;
ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania.
Na podstawie wyżej wymienionych czynników administrator danych zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, takie jak np. pseudonimizacja, których celem jest zapewnienie skutecznej realizacji zasad ochrony danych (wskazanych w art. 5 RODO, m.in. zasady minimalizacji danych) oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, by w rezultacie spełniać wymogi RODO oraz - co najważniejsze - chronić prawa osób, których dane dotyczą.
W ramach tego proaktywnego podejścia administrator danych musi wdrażać takie środki techniczne i organizacyjne, które gwarantują, że domyślnie przetwarzane będą wyłącznie dane osobowe, które są niezbędne dla osiągnięcia celu przetwarzania. Co ważne, obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania oraz okresu ich przechowywania, a także ich dostępności.
Problemy administratorów danych
Często zdarza się, że administratorzy danych zapominają o zasadzie uwzględniania ochrony danych w fazie projektowania oraz obowiązku zapewnienia domyślnej ochrony danych, co prowadzi do przetwarzania danych osobowych niezgodnie z RODO, np. poprzez zbieranie nadmiernych danych osobowych czy też ich niewłaściwe zabezpieczenie. Błędy te mogą mieć opłakane skutki dla osób, których dane dotyczą (konsekwencje naruszeń ochrony danych osobowych), jak i dla samych administratorów danych (dotkliwe kary administracyjne).
Rolą inspektora ochrony danych jest wsparcie administratora danych w zakresie informowania go o obowiązkach wynikających z RODO oraz monitorowanie jego stosowania, w tym właśnie w zakresie stosowania podejścia privacy by design i privacy by default.
Dedykowane szkolenie z zakresu ochrony danych osobowych w fazie projektowania oraz domyślnej ochrony danych
Wychodzimy naprzeciw potrzebom administratorów danych proponując usługę pełnienia funkcji inspektora ochrony danych, a także oddając do dyspozycji naszym klientom dedykowane szkolenie z zakresu ochrony danych osobowych i domyślnej ochrony danych.
W trakcie szkolenia zostaną przedstawione:
Definicje;
Wymagania prawne;
Wytyczne EROD 4/2019 w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych;
Etapy przeprowadzania analizy Privacy by Design / Privacy by Default;
PbD i podeście oparte na ryzyku w oparciu o metodykę ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa);
Przykłady doboru zabezpieczeń zgodnie z PbD i podejściem opartym na ryzyku;
Stanowisko polskiego organu nadzorczego w stosunku do PbD na podstawie wydanych decyzji administracyjnych.
Jeżeli Państwa firma chce skorzystać z naszego wsparcia w powyższym zakresie to zapraszamy do współpracy:
Prosimy o kontakt telefoniczny lub mailowy: 61 30 70 750 kontakt@rodogrupa.pl
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOgrupa.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.
Dodatkowe informacje: