Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

O kosztach i rozsądku w rodo

20-09-2019 Autor: Rafał Kania
Schemat. Rozsądne środki...

Rodo zmieniło system ochrony danych osobowych. Nie naruszyło jego istoty ani zasadniczych elementów. Ale przesunęło bardzo istotnie akcenty między jego poszczególnymi elementami. Inaczej zatem rozkłada się natężenie uwagi prawodawcy dla zasadniczych elementów systemu.

 

Dzisiaj przepisy nie określają technicznych zabezpieczeń stosowanych w systemie ochrony danych. Prawodawca w tym zakresie mówi w zasadzie tylko tyle: mają być adekwatne do ryzyka i wystarczające. Większą uwagę poświęca natomiast czasowej retencji danych osobowych i ich minimalizacji oraz zapewnieniu wykonywania liczniejszych, dużo mocniej zarysowanych praw podmiotów danych.

Prawodawca, przemodelowując system ochrony danych, udziela dodatkowych wskazań administratorom danych. Określa, że w funkcjonowaniu systemu nie bez znaczenia są rozsądek i koszty. Akcentuje, że poza środkami bezpieczeństwa, ściśle technicznymi, istotne są środki organizacyjne. Jednym i drugim środkom towarzyszą odpowiednie polityki i procedury. Przyjrzyjmy się zatem tym dodatkowym wskazaniom w rodo w kontekście rozsądku i kosztów. Trzeba mieć na uwadze, że to, co dotyczy administratorów danych, często dotyczy również podmiotów, którym powierzono przetwarzanie danych osobowych.

Tam, gdzie rozsądek i koszty współwystępują w rodo

Zacznijmy od tych sytuacji, w których rozsądek i koszty współwystępują w rodo. Pierwsza taka zbieżność pojawia się przy uznawaniu, czy mamy do czynienia z danymi osobowymi (motyw 26 preambuły rodo). Identyfikacja osoby fizycznej zakłada rozsądnie prawdopodobne sposoby identyfikacji osób fizycznych stosowane przez administratora danych. Uwzględnia się przy tym koszt użycia określonego sposobu takiej identyfikacji.

Drugim współwystąpieniem tych pojęć jest stosowanie środków bezpieczeństwa dla zminimalizowania ryzyka. Chodzi o wysokie ryzyko naruszenia praw i wolności zidentyfikowane podczas oceny skutków dla ochrony danych (art. 35 ust. 1, motywy 84 i 94 preambuły rodo). Otóż środki te powinny być rozsądne z punktu widzenia dostępnych technologii i kosztów ich wdrożenia. Te warunki są kluczowe dla budowania i stosowania systemu ochrony danych. Rozsądne jest przy tym, by ocena skutków nie ograniczała się do pojedynczego projektu (motyw 92 preambuły rodo). Dotyczy to sytuacji, w której planowane informatyczne rozwiązanie techniczne (aplikacja, platforma lub środowisko przetwarzania) obejmie swym zakresem kilku administratorów danych.

Według dokonanej oceny może być trudno znaleźć rozsądne technologie, nie nadmiernie kosztowne, które pozwalają obniżyć wysokie ryzyko naruszenia praw i wolności. Sytuacja taka powoduje konieczność skonsultowania z organem nadzorczym właściwych środków zabezpieczenia (art. 35 ust. 1, art. 36, motyw 84 i 94 preambuły rodo). Organ może oczywiście uznać, że zidentyfikowane w toku oceny środki, którymi są technologie, on rozpoznaje jako rozsądne. Rozpoznać je przy tym może również jako nie nadmiernie kosztowne. Musi wtedy jednak wskazać, dlaczego tak uważa.

Obniżenie ryzyka naruszeń

Wymaga to od organu nadzorczego zdefiniowania obiektywnych miar dokonywania takiej weryfikacji. Można sobie wyobrazić, że powinna ona uwzględniać rzeczywistą i bieżącą sytuację finansowo-ekonomiczną administratora danych, wielkość jego zasobów, zwłaszcza kadrowych, czy skalę przetwarzania danych w kontekście uzyskiwania z tego dochodów. Czym innym jest przedsiębiorstwo produkcyjne przetwarzające dane pracowników i nielicznej grupy dostawców. Czym innym jest zaś firma branży finansowej (np. ubezpieczyciel), która w zasadzie żyje z danych osobowych. Także wielkość przedsiębiorstwa powinna mieć znaczenie. Czy mamy do czynienia z mikro, małym czy średnim przedsiębiorstwem (motyw 13 preambuły rodo).

Jest oczywiste, że pewne technologie są zbyt kosztowne dla przedsiębiorstw, które nie osiągnęły określonego rozmiaru. Przy czym elementem takiej weryfikacji musi być obiektywne ustalenie pełnego kosztu stosowania danej technologii.
Nie tylko ceny jej zakupu, ale także koszty jej wdrożenia (włączając w to zapewnienie kompatybilności ze stosowanymi systemami), jej serwisowania, a także zakupu i utrzymania niezbędnego sprzętu, który z technologii pozwoli korzystać. Pamiętać przy tym trzeba, że ochrona danych osobowych nie jest prawem bezwzględnym (motyw 4 preambuły rodo). Musi ona uwzględniać inne prawa podstawowe, w tym takie jak wolność prowadzenia działalności gospodarczej.

Rozsądne i niezbyt kosztowne technologie jako środek obniżenia ryzyka naruszenia praw i wolności wydają się odnosić nade wszystko do technologii informatycznych (software i hardware). Pytanie, czy inne środki w systemie ochrony danych osobowych, zwłaszcza organizacyjne, można uznać za technologiczne. Takie, które są związane z zaprogramowaniem określonego ciągu działań lub czynności wykonywanych w określonych sytuacjach. Jest to ważne rozstrzygnięcie. Bowiem przyjęcie zarówno środków organizacyjnych, jak i ich stałe utrzymanie może generować koszty. Zwykle co najmniej w postaci obniżenia efektywności przedsiębiorstwa, a tym samym obniżenia jego zyskowności.

 

[...]

 

Autor jest radcą prawnym i wspólnikiem w Sendero Tax & Legal.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

« Powrót

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.