RODO – Bezpieczeństwo przetwarzania w kontekście rozliczalności

Zastosowanie odpowiednich środków technicznych i organizacyjnych jest jednym z fundamentalnych obowiązków jaki RODO nakłada na administratora danych osobowych. Obowiązek ten obejmuje również gotowość do wykazania, że wdrożone środki są prawidłowe i adekwatne do charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności właścicieli przetwarzanych danych (zasada rozliczalności).

 

Warto zwrócić uwagę, że najbardziej newralgicznym aspektem może okazać się duża uznaniowość zarówno po stronie podmiotu przetwarzającego (samodzielna ocena adekwatności wdrażanych środków) jak i po stronie kontrolującego, który w zakresie własnej oceny będzie decydował o ewentualnym nałożeniu kary na przedsiębiorcę.

 

Zdefiniowanie i ocena jakie środki techniczne i organizacyjne przy określonym rodzaju przetwarzania danych spełnią kryteria pozwalające uznać je za „odpowiednie” leży bowiem w całości po stronie administratora danych. Istotne więc aby wdrażanie środków rozpocząć od rzetelnej analizy rodzaju przetwarzanych danych, ich celu oraz oszacowania ryzyka naruszenia praw lub wolności osób, których dane są przetwarzane. Tylko prawidłowe dokonanie analizy z uwzględnieniem indywidualnych przesłanek występujących u konkretnego administratora danych osobowych pozwoli właściwie określić „odpowiednie” środki a co za tym idzie umożliwi wykazanie zastosowania prawidłowej ochrony przetwarzanych danych.

 

Oszacowanie ryzyka jest więc pierwszym krokiem, który powinien zrobić administrator danych. Nie oznacza to jednak, że w kolejnych etapach proces ten może zostać pominięty. Każda zmiana okoliczności, czy dotycząca sposobu przetwarzania czy rodzaju danych, czy celu ich przetwarzanie musi zostać uwzględniona i na nowo przeanalizowana. Konstrukcja odpowiedzialności administratora zakłada bowiem, że samodzielnie „znowelizuje” on wdrożone środki dostosowując je do aktualnych potrzeb.

 

Nie tracąc więc z oczu idei wprowadzenia RODO i doniosłości potrzeby ochrony danych osobowych, administrator danych powinien również pamiętać o własnej ochronie przed zarzutem niewłaściwego doboru środków. Nawet w przypadku braku faktycznych naruszeń, niemożliwość wykazania, że zastosowane środki są odpowiednie, naraża administratora na odpowiedzialność za naruszenie zasad przetwarzania danych.