Jak mówili eksperci podczas zorganizowanego w piątek przez Wolters Kluwer Polska Kongresu RODO, artykuł 24.1 unijnego rozporządzenia o ochronie danych osobowych wymaga od wszystkich adminstratorów monitorowania ryzyka dla praw lub wolności obywatelskich. Co więcej, kolejny przepis tego aktu prawnego stwierdza, że działanie takie powinno być przeprowadzone już na etapie projektowania systemów gromadzenia i przetwarzania danych. Jednak eksperci wskazywali, że obowiązek przeprowadzenia analizy ryzyka dotyczy także systemów istniejących.
Czytaj: Ustawa o ochronie danych idzie do Sejmu>>
Jak podkreślali, RODO mówi tylko ogólnie, że administrator danych osobowych ma wdrożyć takie rozwiązania organizacyjne i techniczne, które są odpowiednie do zidentyfikowanych ryzyk. - Jeśli chcemy chronić administrowane przez nas dane osobowe przed różnego typu zagrożeniami, to najpierw musimy określić, jakie ryzyka mogą tu wystąpić - mówił Mirosław Gumularz. A Tomasz Izydorczyk dodał, że jeśli w instytucji są wdrożone jakieś środki techniczne i organizacyjne, to konieczne jest ustalenie, czy one są odpowiednie w kontekście przepisów, które będą obowiązywać po wejściu w życie RODO, czyli po 25 maja.
Czytaj: Ustawa o jawności życia publicznego może być sprzeczna z RODO>>
Jak mówili eksperci, te zasady dotyczą wszystkich podmiotów przetwarzających dane osobowe, ale urzędy i instytucje publiczne przy ocenie potencjalnych ryzyk muszą uzwględniać przy tym specyfikę swojej działalności oraz cel pozyskiwania oraz przetwarzania danych. Jak wskazywali, inaczej trzeba traktować dane wykorzystywane np. przy wydawaniu decyzji administracyjnych, a inaczej gromadzenie przez firmy danych dla celów marketingowych. - Urząd musi przeanalizować możliwe ryzyka związane z przetwarzaniem w ramach postępowania administracyjnego danych osobowych interesantów, szczególnie pod kątem naruszenia ich prywatności, ale także zagrożenia dla innych ich praw, dóbr osobistych itp. - mówił dr Mirosław Gumularz.
Czytaj: Informatyk w urzędzie nie wystarczy do wdrożenia RODO>>
- Jeśli instytucja stwierdzi, że w jej działalności występuje wysokie ryzyko naruszenia zasad ochrony danych osbowych wynikające z RODO, należy podjąć działania dla jego wyeliminowania lub ograniczenia - mówili eksperci. I dodali, że wtedy konieczne jest także przygotowanie oceny skutków występowania takie ryzyka. Bo jak przekonywali ona pokaże, do jakich szkód może to doprowadzić, ale także na jakie zagrożenia naraża się instytucja.