Jak zaprojektować skuteczną ochronę danych osobowych
Zanim przedsiębiorca zacznie gromadzić dane osobowe (np. utworzy bazę klientów), powinien m.in. zaprojektować ich skuteczną ochronę. Taki obowiązek nakłada na niego RODO. Brzmienie przepisów budzi jednak wątpliwości interpretacyjne. Europejska Rada Ochrony Danych (EROD) 20 października przyjęła jednak ostateczną wersję „wytycznych 4/2019 w sprawie artykułu 25 i uwzględniania ochrony danych w projektowaniu oraz domyślnej ochrony danych”. Ten dokument ma znaczenie dla wszystkich administratorów, niezależnie od wielkości firmy. Przybliżamy zatem jego najważniejsze elementy.
Zgodnie z obowiązkiem wyrażonym wprost w art. 25 RODO administrator – zarówno na etapie określania sposobów przetwarzania gromadzonych danych osobowych, jak i w czasie samego przetwarzania – musi wdrożyć „odpowiednie środki techniczne i organizacyjne, w celu „skutecznej realizacji zasad ochrony danych”, nadania „niezbędnych zabezpieczeń służących spełnieniu wymogów RODO” oraz „ochrony praw osób, których dane dotyczą”. Przy planowaniu tej ochrony i jej wdrażaniu należy uwzględnić „stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania”.
Tak sformułowany przepis rodzi jednak wiele pytań. Przedsiębiorcy zastanawiają się, jakie środki to odpowiednie środki? Kiedy realizacja zasad ochrony danych osobowych można będzie uznać za skuteczną? Kiedy zabezpieczenie jest niezbędne? Wydane właśnie przez Europejską Radę Ochrony Danych (EROD) wskazówki mają te wątpliwości wyeliminować i ujednolicić stosowanie przepisów w całej UE.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.