Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Rozliczalność, czyli dlaczego nie można zapomnieć o rodo

28-01-2020 Autor: Szymon Grabski
Niedawno minęło półtora roku od wdrożenia rodo, a co za tym idzie, zainteresowanie nim powoli opada. Zarówno w organizacjach, które nadal niewiele zrobiły, aby dostosować się do wymogów regulacji, jak i tam, gdzie projekty wdrożeniowe zostały dawno zakończone. Firmy zapominają i często bagatelizują fakt, że obowiązuje jedna z najważniejszych zasad – zasada rozliczalności.
 
Istotne wyzwanie rodo, w odróżnieniu od wcześniejszych regulacji w obszarze danych osobowych, do których byliśmy przyzwyczajeni, wynika w największym uproszczeniu z chęci zapożyczenia anglosaskiej zasady comply or explain. W myśl takiego modelu organizacje powinny oczywiście zapewnić zgodność z regulacją prawną. W przypadku, w którym jest to jednak z różnych przyczyn niemożliwe (np. nieefektywne kosztowo lub osiągnięte w inny sposób), należy zapewnić możliwość transparentnego wyjaśnienia powodu niedostosowania danego obszaru, a co za tym idzie, odpowiednio udokumentować uzasadnienie dla tej sytuacji. Model taki wydaje się racjonalny, szczególnie w odniesieniu do wyzwań, na które natknęła się chyba każda organizacja zmagająca się z wdrożeniem rodo, a które stały się już niemal legendą, jak np. podejście do realizacji usuwania danych z kopii zapasowych. Rodo to również odejście od regulacji typowo dyrektywnej (hasło o długości 8 znaków dla każdego systemu IT, w którym przetwarzane są dane osobowe) na rzecz podejścia bazującego na ryzyku (dostosowanie mechanizmów zabezpieczających do ryzyka naruszenia praw i wolności podmiotów danych), co w kontekście wspomnianej zasady rodzi dodatkowe wyzwania.
 
To dzięki takiej właśnie konstrukcji jedną z istotnych praktycznych implikacji wdrożenia rodo jest to, że od administratorów rzeczywiście możemy wymagać skuteczniejszego i bardziej realnego zapewnienia bezpieczeństwa danych osobowych, nakierowanego na wskazywanie obszarów, które wymagają więcej działań niż tylko ograniczenia dostępu hasłem. Przy jednoczesnej świadomości różnic w poziomie ryzyka naruszenia praw i wolności osoby fizycznej wynikających ze specyfiki tego administratora: jego biznesu, sposobu i celu przetwarzania danych, zakresu danych itd. Takie różnice, które wyczuwamy niemal intuicyjnie jako podmioty danych – mniej wymagamy (czy słusznie?) od sklepu z elektroniką, więcej od banku i szpitala – znalazły odzwierciedlenie w rodo jako ocena skutków dla ochrony danych (DPIA – Data Protection Impact Assessment).
 
Rozliczalność – niezbędny element wdrożenia rodo
 
Niezbędnym elementem – narzędziem, które pozwala wdrożyć w życie pożądany model regulacji, jest pozornie łatwy w realizacji, a jeszcze łatwiejszy do przeoczenia art. 5 pkt 2 rodo. Definiuje on zasadę rozliczalności działań administratora danych, a ciężar wykazania zgodności przetwarzania danych z prawem przenosi właśnie na administratora. Nie oznacza to oczywiście wyłącznie deklaracji zapewnienia zgodności i nie jest tak łatwe, jakby mogło się wydawać na pierwszy rzut oka. Niektóre z elementów, np. podstawa prawna czy minimalizacja danych, mogą pokrywać wymagany dla większości organizacji rejestr czynności przetwarzania (rzecz jasna o ile jest kompletny, poprawny i rzetelnie wykonany). Rejestr taki pokazuje jednak najczęściej stan obecny, bez możliwości odwołania się do historii.
 
W kontekście podejścia bazującego na ryzyku i braku jednorodnie zdefiniowanych kryteriów zabezpieczenia danych powinniśmy natomiast wykazać zapewnienie odpowiedniego bezpieczeństwa. Polityka bezpieczeństwa informacji z pewnością nie wystarczy, zaś w tym obszarze spodziewalibyśmy się raczej rzetelnej analizy DPIA. Niedawne kary przypominają także, że reakcja na naruszenie bezpieczeństwa danych to tylko jedna strona medalu. Drugą jest możliwość wykazania, że reakcja ta była właściwa. Te i inne przykłady pokazują, że drugim dnem realizacji rozliczalności jest praktyka, na którą składają się dwa podstawowe elementy: spójna metodyka i odpowiedni sposób dokumentowania.
 
Spójna metodyka
 
Nie ulega wątpliwości, że decyzje odnośnie do przyjmowanych metod i mechanizmów zabezpieczających dane osobowe w kontekście sposobu, w jaki są one przetwarzane, a także ryzyka naruszenia praw i wolności podmiotów danych są, z perspektywy rodo, niesłychanie istotne. Biorąc pod uwagę, że decyzje te powinny wynikać z wykonanej analizy DPIA, staje się jasne, że analiza ta powinna być na tyle kompleksowa, żeby umożliwić realną identyfikację tego ryzyka. Nie możemy przecież dopuścić, aby w wyniku przeoczenia przetwarzać dane w sposób, który mógłby naruszyć prawa podmiotów. To chyba najbardziej widoczny przykład wymagań rodo, którego poprawna realizacja jest niemożliwa bez zastosowania metodyki.
 
[...]
 
Autor jest menedżerem z wieloletnim doświadczeniem w Zespole Risk Assurance Solutions w PwC, prowadził liczne projekty w zakresie dostosowania firm do wymagań rodo, zwłaszcza w obszarze IT i bezpieczeństwa.
 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.