Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych

  • Od 25.5.2018 r. zacznie obowiązywać rozporządzenie PE i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych oraz najistotniejszych problemów związanych z ochroną danych osobowych.
  • Komentarz ma na celu przedstawienie i wyjaśnienie założeń unijnego rozporządzenia, m.in.: obowiązków administratora danych osobowych, obowiązku zgłaszania naruszeń ochrony danych osobowych, wdrożenia odpowiednich środków technicznych i organizacyjnych.
  • Komentarz zainteresuje osoby zobowiązane do stosowania przepisów o ochronie danych osobowych, m.in.: urzędników, inspektorów ochrony danych, specjalistów ds. ochrony danych osobowych, specjalistów ds. bezpieczeństwa teleinformatycznego, osoby zajmujące się udostępnianiem informacji publicznej.

Fragment tekstu z komentarza:

Art. 24 Obowiązki administratora

 

KOMENTOWANY PRZEPIS
1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

1. Wdrożenie środków technicznych i organizacyjnych. Ogólne rozporządzenie o ochronie danych w art. 24 ust. 1 nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Co więcej, administrator ma obowiązek wykazania, że wdrożył odpowiednie środki. Środki powinny zostać wdrożone z uwzględnieniem:
1) charakteru, zakresu, kontekstu i celów przetwarzania,
2) ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze (powadze) zagrożenia.

Powyższe elementy powinny być więc przedmiotem analizy ze strony administratora przed podjęciem decyzji co do wdrożenia odpowiednich środków technicznych i organizacyjnych. Zgodnie z motywem (76) preambuły do RODO, prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Rezultatem zaś zastosowania ww. środków powinno być osiągnięcie stanu zgodności działań administratora z przepisami RODO – pośrednio więc też, choć nie wyłącznie, ich odpowiednie zabezpieczenie ze względu na poziom ryzyka (art. 32 ust. 1 RODO). Odmiennie niż w przypadku przepisów OchrDanychU, RODO nie zawiera minimalnych wymagań w zakresie zastosowania środków zabezpieczenia danych, których spełnienie automatycznie powodowałoby uznanie, że działania administratora są zgodne z obowiązującymi przepisami w tym zakresie. Rozporządzenie MSWiA z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) przestanie obowiązywać, a utrzymywanie po wejściu w życie wskazanych w nim środków zabezpieczenia danych (nawet na poziomie wysokim) może zostać uznane za niezgodne z przepisami RODO – jako nieodpowiadające prawdopodobieństwu lub poziomowi ryzyka dla prywatności (pojęcia stosowanego czasami zamiennie w tym kontekście z terminem „praw lub wolności osób fizycznych”).

Artykuł 24 ust. 1 RODO stanowi jeden z wielu przypadków emanacji w przepisach RODO zasady tzw. risk-based approach, tj. podejścia opartego na ryzyku, która stała się ogólną koncepcją stojącą u podstaw norm RODO (inne przypadki to np. art. 27 ust. 2 lit. a, art. 30 ust. 5, art. 32 ust. 1, art. 35 ust. 1 RODO). W toku prac nad RODO za niezbędne uznano bowiem wprowadzenie rozwiązania, które – w odróżnieniu od panującej uprzednio na gruncie dyrektywy 95/46/WE i jej krajowych implementacji koncepcji określania wymagań minimalnych – zapewniłoby dynamiczny charakter środków zabezpieczenia stosowanych przez administratora.

Jak podkreśla się w literaturze (M. Krzysztofek, Ochrona, s. 212), w praktyce metoda ta polega na stosowaniu środków adekwatnych do zlokalizowanych zagrożeń, nie zaś standardowych rozwiązań wdrażanych bez analizy konkretnych procesów przetwarzania. Zastosowanie tej zasady ma też ten skutek, że RODO nie wprowadza żadnych standardowych rozwiązań, w tym ustandaryzowanej dokumentacji dotyczącej przetwarzania danych osobowych z nielicznymi wyjątkami, tj. rejestru czynności przetwarzania (art. 30 RODO) oraz dokumentacji naruszeń (art. 33 ust. 5 RODO).

Zgodnie z motywem (74) preambuły do RODO, administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z RODO oraz że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.

Jak wskazała Grupa Robocza Art. 29 w dokumencie 14/EN WP 218 (Oświadczenie dotyczące roli podejścia opartego na ryzyku w świetle ram prawnych ochrony danych (ang. Statement on the role of a risk-based approach in data protection legal frameworks, s. 4)), przyjętym 30.5.2014 r., „podejście oparte na ryzyku jest pojęciem szerszym od „podejścia opartego na szkodzie”, które koncentruje się wyłącznie na zaistniałej szkodzie, i powinno uwzględniać każdy rodzaj potencjalnego jak również zaistniałego niepożądanego skutku, ocenianego w oparciu o bardzo szeroką skalę począwszy od wpływu na konkretną osobę, której dotyczy kwestionowane przetwarzanie, aż po wpływa ogólnospołeczny (np. utrata zaufania społecznego)” – tłum. własne.

2. Pojęcie ryzyka. W RODO brak jest definicji pojęcia „ryzyko”. Francuski urząd ochrony danych osobowych (Commission Nationale de l’Informatique et des Libertés – CNIL) opisuje ryzyko dla prywatności jako pewien hipotetyczny scenariusz, który:
1) opisuje, w jaki sposób źródła ryzyka (np. pracownik przekupiony przez konkurencję),
2) mogłyby wykorzystać podatności (wrażliwości) w zasobach danych osobowych (np. system zarządzania danymi, który pozwala na manipulację danymi),
3) w kontekście zagrożeń (np. naruszenie w postaci wysyłki e-maili),
4) i dopuścić do zaistnienia zdarzeń niepożądanych (np. nielegalny dostęp do danych),
5) w związku z danymi osobowymi (np. danymi klientów),
6) tym samym, wpływając na prywatność osób, których dane dotyczą (niechciane nagabywanie, poczucie naruszenia prywatności itd.).

Zobacz także:

Więcej o ochronie danych osobowych znajdziesz w module Informacja publiczna, bezpieczeństwo publiczne >>




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych