Od 25 września rolą administratora będzie wypełnienie treścią merytoryczną poszczególnych przepisów rozporządzenia. Żeby to uczynić, trzeba dokonać dokładnej analizy jakie środki techniczne, organizacyjne, prawne, formalne wdrożyć, aby uzyskać zgodność z nowymi przepisami. Aby dobrze się do tego przygotować, warto zrozumieć logikę, jaka przyświecała twórcom RODO.

Podczas swojej prelekcji na Konwencie Ochrony Danych i Informacji 2017 dr Lubasz wraz z redaktor naczelną serwisu www.portalodo.pl Panią Katarzyną Witkowską – Nowakowską tłumaczyli jak tę logikę rozumieć. I jak w kontekście celu przyświecającego twórcom rozporządzenia, planować harmonogram swoich obowiązków, aby zdążyć z ich realizacją.

Podejście oparte na ryzyku

Głównym założeniem nowych przepisów jest podejście oparte na ryzyku. Ta myśl powinna przyświecać wszystkim administratorom danych przygotowującym się do nadchodzących zmian. Według RODO, wykonanie każdego z obowiązków administratora jest osadzone w perspektywie ryzyka. Nie należy tego rozumieć jako konieczności dokonania „analizy ryzyka”,  choć nie oznacza to, że obowiązek ten nie jest z analizą związany. Administrator musi bowiem ustalić co tak naprawdę stanowi zagrożenie dla bezpieczeństwa danych i  tak zorganizować działania, aby na każdym etapie  -od momentu planowania, poprzez pozyskanie i przetwarzanie, aż do momentu usunięcia danych -prawidłowo to ryzyko definiować.

 – W rozporządzeniu prawodawca unijny powiedział: dość z fikcją ochrony danych osobowych. Administratorze, otrzymujesz w swoje ręce pełnię odpowiedzialności, ale i pełnię kompetencji, co do oceny, jak należy wdrożyć rozporządzenie – interpretuje dr Lubasz.

Ta generalna zasada w różnym stopniu przenika wszystkie obowiązki administratora.

 

Zanim zabezpieczysz, musisz wiedzieć co

To obowiązek który pojawia się już na etapie podjęcia decyzji o przetwarzaniu danych osobowych. Polega na uwzględnianiu ochrony danych już na etapie projektowania. Odnosi się on również do „domyślnej” ochrony danych.

- Jest to jedna z regulacji która wprost nakazuje nam uwzględnić charakter, kontekst, prawdopodobieństwo wystąpienia konkretnych zagrożeń, jako czynników, które determinują nie tylko sposób doboru zabezpieczeń, ale też sposób przetwarzania czy ułożenia drogi gromadzenia danych – wyjaśnia redaktor Portalu ODO.

Przykładowo, projektując aplikację mobilną musimy zastanowić się czy wszystkie dane, które chcemy za jej pośrednictwem gromadzić, są nam niezbędne. A jeśli tak, to w jaki sposób je odpowiednio zabezpieczyć. Dopiero potem należy odzwierciedlić to w dokumentach.

Ogólny obowiązek zapewnienia zgodności

Przepis art. 24 ma najbardziej generalny charakter z obowiązków zawartych w rozporządzeniu. Powinien być utrzymywany w sposób stały. Zgodnie z nim podejście do całego systemu ochrony danych osobowych, do tworzenia wszelkiego rodzaju środków techniczny i organizacyjnych, w tym prawnych, ma na celu zapewnienie zgodności z rozporządzeniem.

 – To obowiązek, nad którym już dziś powinniśmy się pochylić. Ocenić jak dziś funkcjonujemy i czy środki, które stosujemy, są odpowiednie do potencjalnych ryzyk związanych z naruszeniem praw i wolności osób, których dane dotyczą – wyjaśnia dr Lubasz.

Zapewnienie bezpieczeństwa danych

Prelegenci zwracają uwagę, że często błędnie koncentrujemy się na tym elemencie. Oczywiście dobór odpowiednich zabezpieczeń jest bardzo ważny, stanowi on jednak kolejny z obowiązków w pewnej złożonej sekwencji. To nie jest dziś nasze jedyne zadanie. Biorąc pod uwagę nowe przepisy musimy brać pod uwagę konsekwencje jakie może nieść przetwarzanie nie tylko dla nas, ale również dla podmiotu danych. Dlatego bez prawidłowej analizy, bardzo trudno będzie nam udowodnić zastosowanie odpowiednich zabezpieczeń. Znów dobrym przykładem jest tu wspomniana wcześniej aplikacja mobilna.

Ważny rejestr czynności

Z prowadzenia takiego rejestru, w konkretnych sytuacjach, zwolnieni będą administratorzy, którzy zatrudniają mniej niż 250 pracowników. Ocena, czy powinien być on prowadzony, zależy od ryzyka naruszenia praw lub wolności, rodzaju danych czy częstotliwości przetwarzania.

 – Trzeba pamiętać, że aby wypełnić rejestr, potrzebujemy wyników przeprowadzonej wcześniej analizy. Nie da się stworzyć rejestru czynności bez przeanalizowania w praktyce artykułów 32, 24, bez doboru środków adekwatnych do przetwarzania – tłumaczy redaktor Witkowska – Nowakowska. Sami więc musimy ocenić konieczność jego istnienia.

Ocena skutków dla ochrony danych

Tak jak w przypadku rejestru czynności, konieczność jego istnienia warunkuje wynik przeprowadzonych wcześniej autoanaliz. Jeśli wynika z nich, że mamy do czynienia z wysokim prawdopodobieństwem ryzyka naruszenia praw i wolności, powinniśmy temu obowiązkowi się podporządkować.

 Celem oceny skutków jest wprowadzenie środków, które pozwolą to ryzyko zminimalizować, a nie samo sprawdzenie następstw naruszenia – mówi o obowiązku dr Lubasz.

Uprzednie konsultacje

Idąc dalej. Jeśli okaże się, że ryzyka nie jesteśmy w stanie zminimalizować, pojawia się możliwość konsultacji z organem nadzoru, który również dokona analizy i oceni skuteczność środków zapobiegawczych.

- Jestem bardzo ciekaw przebiegu takiej konsultacji, biorąc pod uwagę, że organ będzie musiał niemal wejść w buty administratora, aby odtworzyć tok rozumowania przedstawiony w „ocenie skutków” – zastanawia się dr Lubasz i doradza, żeby dla tego procesu kierować się maksymalnie zobiektywizowanymi kryteriami, aby móc powiedzieć jakie konkretnie czynniki zostały wzięte pod uwagę przy ocenie ryzyka.

- Sebastian Konderak