- Od 25.5.2018 r. zacznie obowiązywać rozporządzenie PE i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych oraz najistotniejszych problemów związanych z ochroną danych osobowych.
- Komentarz ma na celu przedstawienie i wyjaśnienie założeń unijnego rozporządzenia, m.in.: obowiązków administratora danych osobowych, obowiązku zgłaszania naruszeń ochrony danych osobowych, wdrożenia odpowiednich środków technicznych i organizacyjnych.
- Komentarz zainteresuje osoby zobowiązane do stosowania przepisów o ochronie danych osobowych, m.in.: urzędników, inspektorów ochrony danych, specjalistów ds. ochrony danych osobowych, specjalistów ds. bezpieczeństwa teleinformatycznego, osoby zajmujące się udostępnianiem informacji publicznej.
Fragment tekstu z komentarza:
Art. 24 Obowiązki administratora
KOMENTOWANY PRZEPIS 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.1. Wdrożenie środków technicznych i organizacyjnych. Ogólne rozporządzenie o ochronie danych w art. 24 ust. 1 nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Co więcej, administrator ma obowiązek wykazania, że wdrożył odpowiednie środki. Środki powinny zostać wdrożone z uwzględnieniem:
1) charakteru, zakresu, kontekstu i celów przetwarzania,
2) ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze (powadze) zagrożenia.Powyższe elementy powinny być więc przedmiotem analizy ze strony administratora przed podjęciem decyzji co do wdrożenia odpowiednich środków technicznych i organizacyjnych. Zgodnie z motywem (76) preambuły do RODO, prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Rezultatem zaś zastosowania ww. środków powinno być osiągnięcie stanu zgodności działań administratora z przepisami RODO – pośrednio więc też, choć nie wyłącznie, ich odpowiednie zabezpieczenie ze względu na poziom ryzyka (art. 32 ust. 1 RODO). Odmiennie niż w przypadku przepisów OchrDanychU, RODO nie zawiera minimalnych wymagań w zakresie zastosowania środków zabezpieczenia danych, których spełnienie automatycznie powodowałoby uznanie, że działania administratora są zgodne z obowiązującymi przepisami w tym zakresie. Rozporządzenie MSWiA z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) przestanie obowiązywać, a utrzymywanie po wejściu w życie wskazanych w nim środków zabezpieczenia danych (nawet na poziomie wysokim) może zostać uznane za niezgodne z przepisami RODO – jako nieodpowiadające prawdopodobieństwu lub poziomowi ryzyka dla prywatności (pojęcia stosowanego czasami zamiennie w tym kontekście z terminem „praw lub wolności osób fizycznych”).
Artykuł 24 ust. 1 RODO stanowi jeden z wielu przypadków emanacji w przepisach RODO zasady tzw. risk-based approach, tj. podejścia opartego na ryzyku, która stała się ogólną koncepcją stojącą u podstaw norm RODO (inne przypadki to np. art. 27 ust. 2 lit. a, art. 30 ust. 5, art. 32 ust. 1, art. 35 ust. 1 RODO). W toku prac nad RODO za niezbędne uznano bowiem wprowadzenie rozwiązania, które – w odróżnieniu od panującej uprzednio na gruncie dyrektywy 95/46/WE i jej krajowych implementacji koncepcji określania wymagań minimalnych – zapewniłoby dynamiczny charakter środków zabezpieczenia stosowanych przez administratora.
Jak podkreśla się w literaturze (M. Krzysztofek, Ochrona, s. 212), w praktyce metoda ta polega na stosowaniu środków adekwatnych do zlokalizowanych zagrożeń, nie zaś standardowych rozwiązań wdrażanych bez analizy konkretnych procesów przetwarzania. Zastosowanie tej zasady ma też ten skutek, że RODO nie wprowadza żadnych standardowych rozwiązań, w tym ustandaryzowanej dokumentacji dotyczącej przetwarzania danych osobowych z nielicznymi wyjątkami, tj. rejestru czynności przetwarzania (art. 30 RODO) oraz dokumentacji naruszeń (art. 33 ust. 5 RODO).
Zgodnie z motywem (74) preambuły do RODO, administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z RODO oraz że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.
Jak wskazała Grupa Robocza Art. 29 w dokumencie 14/EN WP 218 (Oświadczenie dotyczące roli podejścia opartego na ryzyku w świetle ram prawnych ochrony danych (ang. Statement on the role of a risk-based approach in data protection legal frameworks, s. 4)), przyjętym 30.5.2014 r., „podejście oparte na ryzyku jest pojęciem szerszym od „podejścia opartego na szkodzie”, które koncentruje się wyłącznie na zaistniałej szkodzie, i powinno uwzględniać każdy rodzaj potencjalnego jak również zaistniałego niepożądanego skutku, ocenianego w oparciu o bardzo szeroką skalę począwszy od wpływu na konkretną osobę, której dotyczy kwestionowane przetwarzanie, aż po wpływa ogólnospołeczny (np. utrata zaufania społecznego)” – tłum. własne.
2. Pojęcie ryzyka. W RODO brak jest definicji pojęcia „ryzyko”. Francuski urząd ochrony danych osobowych (Commission Nationale de l’Informatique et des Libertés – CNIL) opisuje ryzyko dla prywatności jako pewien hipotetyczny scenariusz, który:
1) opisuje, w jaki sposób źródła ryzyka (np. pracownik przekupiony przez konkurencję),
2) mogłyby wykorzystać podatności (wrażliwości) w zasobach danych osobowych (np. system zarządzania danymi, który pozwala na manipulację danymi),
3) w kontekście zagrożeń (np. naruszenie w postaci wysyłki e-maili),
4) i dopuścić do zaistnienia zdarzeń niepożądanych (np. nielegalny dostęp do danych),
5) w związku z danymi osobowymi (np. danymi klientów),
6) tym samym, wpływając na prywatność osób, których dane dotyczą (niechciane nagabywanie, poczucie naruszenia prywatności itd.).
Zobacz także:
- Pojęcie danych osobowych w rozporządzeniu ogólnym o ochronie danych osobowych
- Sprawdzenie gotowości instytucji do wdrożenia reformy ochrony danych osobowych
- Zgoda na przetwarzanie danych osobowych w przepisach ogólnego rozporządzenia o ochronie danych
- Przygotowanie ABI do nowej funkcji inspektora ochrony danych
Więcej o ochronie danych osobowych znajdziesz w module Informacja publiczna, bezpieczeństwo publiczne >>