Ochrona danych osobowych niezbędna już na etapie projektowania

Przetwarzanie danych osobowych niezgodnie z przepisami może skutkować np. kradzieżą tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem tajemnicy zawodowej lub wszelką inną znaczną szkodą gospodarczą lub społeczną. Szkody mogą wystąpić na każdym etapie przetwarzania danych osobowych. Dlatego ważne jest, aby każdy administrator danych osobowych wdrażał takie mechanizmy i środki techniczne, aby chronić je już w fazie poprzedzającej ich przetwarzanie.

Do tej pory takie działanie stanowiło jedynie element dobrej praktyki. Po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO), stanie się obowiązkiem każdego administratora danych osobowych.

Zabezpieczenia muszą znaleźć się już w szkicu

Przepisy RODO nakazują ochronę danych osobowych przez każdego administratora danych na poziomie projektowania (tzw. privacy by design) oraz na poziomie ustawień domyślnych w systemach przetwarzania danych (tzw. privacy by default). Celem wprowadzenia tych obowiązków jest maksymalizacja ochrony danych osobowych na każdym etapie ich przetwarzania przez administratora i w każdym czasie. Administrator jeszcze przed zaprojektowaniem systemu przetwarzania danych osobowych musi mieć na uwadze, jakie dane będzie przetwarzał, w jakim zakresie i w jakim celu. Wprowadzenie tego obowiązku – poza właściwym zaprojektowaniem systemu, w którym będą przetwarzane dane osobowe – wymusza na administratorach odpowiednio wczesne zredagowanie zasad polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. A zatem podmioty zajmujące się projektowaniem aplikacji oraz systemów informatycznych, powinny od początku zapewnić zgodność ochrony danych osobowych z przepisami RODO.

Powinno się brać pod uwagę stopień ryzyka naruszenia praw lub wolności osób fizycznych, związanego z przetwarzaniem danych. Im większe prawdopodobieństwo, że dane mogą zostać wykradzione i udostępnione innym podmiotom bez zgody osób, których dotyczą lub być przetwarzane w inny nielegalny sposób, tym bardziej zaawansowane środki bezpieczeństwa musi zastosować administrator danych. Ma to szczególne znaczenie dla dużych podmiotów gospodarczych o skomplikowanej strukturze i systemie przetwarzania danych.

Trudna identyfikacja

Jedną z form ochrony danych osobowych jest ich pseudonimizacja, czyli ich takie przetworzenie, że nie można przypisać ich konkretnej osobie, bez użycia dodatkowych informacji. Te dodatkowe informacje, służące identyfikacji osoby, powinny być przechowywane odrębnie i być objęte środkami technicznymi oraz organizacyjnymi uniemożliwiającymi takie przypisanie. Dopiero więc zestawienie tych informacji pozwala na identyfikację danej osoby. Takie rozwiązania są o praktykowane np. przy kodowaniu prac egzaminacyjnych na uczelniach.

Ponadto, zgodnie z RODO administratorzy danych muszą zastosować takie rozwiązania techniczne, które w sposób domyślny przetwarzają jedynie minimalną ilość informacji o użytkowniku. Osoba, której dane dotyczą musi więc sama zmienić ustawienia tak, aby przetwarzanie jej danych przez administratora było możliwe w stopniu wyższym niż minimalny. Ustawienia domyślne nie mogą w szczególności dawać administratorowi prawa do udostępniania danych nieokreślonej liczbie osób, co obecnie kształtowane jest w sposób dość swobodny (np. „publiczne” ustawienia na portalach społecznościowych).

Dotkliwe kary

Mimo że rozporządzenie (które należy stosować bezpośrednio), zacznie obowiązywać w maju 2018 roku, administratorzy danych już dziś powinni wdrażać środki służące ochronie danych osobowych zarówno przy projektowaniu systemów służących do przetwarzania danych, jak i na każdym etapie ich przetwarzania. Kara za naruszenie tych zasad może być bardzo dotkliwa. Za nieprzestrzeganie zasad privacy by design i privacy by default na administratora danych może zostać nałożona administracyjna kara pieniężna w wysokości do 10.000.000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Autor: Bogdan Fischer

CHCESZ DOWIEDZIEĆ SIĘ WIĘCEJ O RODO W TWOJEJ FIRMIE?
Prześlij nam swoje dane kontaktowe, skontaktujemy się.