Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Znaczenie wytycznych i opinii organu ochrony danych

18-05-2017 Autor: Paweł Makowski

Od 25 maja 2018 r. zaczniemy stosować przepisy rodo, które ujednolicą ramy prawne ochrony danych osobowych w całej UE. Będą także próbą dostosowania do wyzwań technologicznych XXI wieku.

 

Rozwiązania obecnie obowiązującej dyrektywy 95/46/WE, implementowanej do polskiego porządku prawnego przepisami uodo, wydają się niedostosowane do aktualnych zagrożeń dla naszej prywatności, jakie wiążą się ze stosowaniem stale rozwijających się rozwiązań technologicznych. Na początku lat 90., czyli wtedy, gdy powstawały założenia dyrektywy, nie sposób było przewidzieć, że kilkanaście lat później dane osobowe będą przetwarzane w systemach Big Data przy użyciu technik profilowania. Fizyczne miejsce ich przechowywania trudno będzie zlokalizować ze względu na ich transgraniczne przesyłanie do serwerów usług chmurowych. Taki sposób przetwarzania danych stwarza konieczność zupełnie nowego podejścia choćby do kwestii zabezpieczenia procesów przetwarzania.

 

Odpowiedzialność ADO


Prawo nigdy nie nadąży za rozwojem technologii. To z pozoru trywialne stwierdzenie znajduje swoje odzwierciedlenie w przepisach rodo. Żeby przepisy prawa mogły być stosowane do różnego rodzaju rozwiązań (aplikacji czy usług wykorzystujących nowoczesne technologie), muszą być sformułowane w sposób technologicznie neutralny i możliwie ogólny. W rodo znajdziemy wiele klauzul generalnych i ogólnych zwrotów (np. art. 25 ust. 1), tak aby wymogi stawiane ADO były możliwe do spełnienia także w sytuacji, w której przetwarzają dane osobowe przy użyciu nowych, nieznanych jeszcze rozwiązań technologicznych.

W dużo większym stopniu niż dotychczas ciężar odpowiedzialności za właściwe przetwarzanie danych osobowych jest przenoszony na ADO. To on musi zdecydować, jakie środki techniczne i organizacyjne powinien wdrożyć, uwzględniając aktualny stan wiedzy technicznej, charakter przetwarzanych danych, cel tego przetwarzania i przede wszystkim ryzyko naruszenia praw i wolności osób, których dane dotyczą. Oprócz ogólnych zaleceń w zakresie szyfrowania danych czy pseudonimizacji rodo nie daje właściwie żadnych podpowiedzi, dotyczących możliwych do zastosowania środków technicznych i organizacyjnych, pozostawiając tę decyzję ADO, który zgodnie z zasadą rozliczalności będzie musiał wykazać, że przyjęte przez niego rozwiązania są zgodne z rodo. Oczywiście znajdzie on w rodo instrumenty, których użycie pomoże wykazać tę zgodność, jak np. ocena skutków dla ochrony danych czy też stosowanie zatwierdzonych kodeksów postępowania lub certyfikatów. Nie zdejmuje to jednak ciężaru odpowiedzialności za wybór właściwych rozwiązań w zakresie dokumentacji przetwarzania danych czy zastosowanych zabezpieczeń.

 

Pomoc ze strony organów ochrony danych

 

W takiej sytuacji nie do przecenienia jest rola organu nadzorczego, który może służyć pomocą we właściwej interpretacji przepisów rodo, poprzez wydawanie wytycznych, zaleceń czy innego rodzaju opinii zawierających propozycje możliwych do zastosowania rozwiązań przez ADO. Pomijając już procedurę uprzednich konsultacji w ramach oceny skutków dla ochrony danych (art. 36 rodo), w ramach której organ nadzorczy udziela ADO pisemnego zalecenia, ogólny obowiązek organów nadzorczych w zakresie „upowszechniania wśród administratorów i podmiotów przetwarzających wiedzy o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia” oznacza potrzebę dostarczania ADO niezbędnych wskazówek dotyczących wdrożenia i stosowania rodo.

Grupa Robocza Art. 29 przyjęła 5 kwietnia 2017 r. zestaw wytycznych mających pomóc ADO we właściwej interpretacji przepisów i dostosowania się do wymogów rodo. Są to wytyczne w sprawie:

  • możliwości przenoszenia danych,
  • IOD (obecnie ABI),
  • ustalenia wiodącego organu nadzorczego właściwego dla ADO bądź przetwarzającego oraz oceny skutków dla ochrony danych.

Dokumenty uwzględniają wnioski z przeprowadzonych w grudniu 2016 r. i styczniu 2017 r. publicznych konsultacji. W 2017 r. Grupa Robocza Art. 29 planuje przyjąć kolejne wytyczne, np. w zakresie operacji profilowania, transparentności. Wytyczne będą zawierać również zalecane dobre praktyki oparte na doświadczeniu niektórych państw członkowskich.

 

Ustalenie obowiązku powołania IOD


Zgodnie z rodo ADO i podmiot przetwarzający wyznaczają IOD zawsze gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny;
  • główna działalność ADO lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub też
  • na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust. 1) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10).


[...]

Autor jest radcą Generalnego Inspektora Ochrony Danych.

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.