Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Mechanizmy domyślnej ochrony danych w fazie projektowania

22-09-2020 Autor: Tomasz Ochocki

Wytyczna 4/2019 Europejskiej Rady Ochrony Danych rozwija zawarte w rodo (art. 25) klauzule generalne odnoszące się do mechanizmów ochrony danych osobowych w fazie projektowania oraz domyślnej ochrony danych. Czym są mechanizmy domyślnej ochrony danych w fazie projektowania i jak je stosować?

 

Zasady ochrony danych osobowych w fazie projektowania oraz domyślnej ochrony danych (data protection by design, data protection by default, dalej: DPbDD) stanowią klauzule generalne określone w rodo, których rozumienie i praktyczne stosowanie pozostaje in statu nascendi. Czynnikiem mogącym zmienić tę sytuację i przyczynić się do wzmocnienia ochrony danych osobowych na poziomie poszczególnych organizacji może stać się opracowywana przez Europejską Radę Ochrony Danych wytyczna 4/2019 dotycząca art. 25 rodo.


Cele stosowania mechanizmów DPbDD

 

Wskazuje się w niej, że celem stosowania mechanizmów DPbDD jest ustanowienie takich technicznych i organizacyjnych środków ochrony danych, które pozwolą administratorowi danych skutecznie realizować:

  • zasady przetwarzania danych osobowych (art. 5 rodo);
  • prawa osób, których dane dotyczą (art. 12–22 rodo);
  • wolności osób, których dane dotyczą (Karta praw podstawowych Unii Europejskiej).

Powyższy cel administrator powinien osiągnąć, stosując podejście oparte na ryzyku (wspólne dla art. 24, 25, 32 i 35 rodo) dla zdefiniowanych zasobów (osoby fizyczne, poprzez ochronę ich danych osobowych) i zagrożeń (prawa i wolności osób, których dane dotyczą) z uwzględnieniem istniejących warunków przetwarzania (charakter, zakres, kontekst i cele przetwarzania). Należy zaznaczyć, iż termin „środki” (zarówno techniczne, jak i organizacyjne) powinien być rozumiany szeroko jako każda metoda, sposób lub narzędzie, które administrator może zastosować w procesie przetwarzania danych osobowych, począwszy od zaawansowanych rozwiązań informatycznych (np. oprogramowanie klasy SIEM lub DLP), a skończywszy na szkoleniu personelu.

 

Adekwatność (odpowiedniość) stosowanych środków oznacza zdolność do osiągnięcia zamierzonego celu, zwłaszcza zdolność do zapewnienia bezpieczeństwa (poufności, dostępności, integralności) przetwarzanych danych osobowych w stosunku do zidentyfikowanych ryzyk dla praw i wolności osób, których dane dotyczą, związanych z danym procesem przetwarzania. Wymóg adekwatności jest ściśle związany z wymogiem skuteczności. Oznacza to, że administrator danych musi być w stanie wykazać, że wdrożone przez niego środki służą realizacji zasad przetwarzania danych osobowych oraz gwarantują prawa i wolności osób, których dane dotyczą (nie ma natomiast obowiązku stosowania najbardziej „wyrafinowanych” środków ochrony danych, o ile te wybrane przez administratora danych są odpowiednie).


Faza projektowania


Zgodnie z treścią art. 25 ust. 1 rodo administrator, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne.


Europejska Rada Ochrony Danych, dokonując wykładni legalnej omawianego przepisu, czyni to w odniesieniu do poszczególnych elementów, które wymagają uwzględniania w ramach ochrony danych osobowych w fazie projektowania.

 

Stan wiedzy technicznej


Stan wiedzy technicznej jest pojęciem dynamicznym, które nie może być zdefiniowane w sposób statyczny, lecz musi być stale oceniane w kontekście postępu technologicznego. Oznacza to, że administrator musi posiadać aktualną wiedzę o rozwoju technologicznym, tj. o sposobach wpływu technologii na zagrożenia dla operacji przetwarzania danych oraz stosowanych przez niego środkach bezpieczeństwa, które mają zapewnić wdrożenie zasad ochrony danych osobowych oraz realizację praw i wolności osób fizycznych.


Należy zaznaczyć, że stan wiedzy technicznej ma zastosowanie nie tylko do środków technicznych, lecz także organizacyjnych. Brak odpowiednich środków organizacyjnych może obniżyć lub nawet całkowicie podważyć skuteczność zastosowanych środków technicznych.


Istniejące normy i certyfikaty (m.in. ISO) mogą służyć potwierdzeniu stanu wiedzy technicznej w danej dziedzinie. Tam gdzie takie normy istnieją, administratorzy danych powinni uwzględnić je przy opracowywaniu i wdrażaniu środków ochrony danych.

 

[...]

 

Autor pracuje w ODO 24 sp. z o.o. jako kierownik zespołu merytorycznego.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.