Opracowanie

RODO – Ogólne obowiązki administratora

Choć poszczególne obowiązki nałożone na administratorów danych przewijają się przez cały tekst rozporządzenia, RODO wprowadza także generalną klauzulę związaną z tym zagadnieniem.

Zgodnie z art. 24 ust. 1, administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne tak, aby przetwarzanie odbywało się zgodnie z RODO, oraz aby móc to wykazać. Taka treść przepisu wskazuje na neutralność technologiczną rozporządzenia – to administrator sam ma zadecydować, jakie rozwiązania pomogą w jego strukturach przestrzegać przepisów. RODO wymaga także, by środki były w razie potrzeby poddawane przeglądom i uaktualniane.

Przy ocenie, jakie konkretnie środki zastosować, administrator musi uwzględniać:

  1. charakter, zakres, kontekst i cele przetwarzania;
  2. ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze.

Dodatkowo, jeśli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa wyżej, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. Chodzi tutaj przede wszystkim o podmioty (najczęściej przedsiębiorstwa) przetwarzające dane osobowe na dużą skalę, które powinny wprowadzić wewnętrzne procedury postępowania w sprawach wynikających z RODO.

Ważna wskazówka dla administratorów znalazła się w art. 24 ust. 3. Wynika z niej, że stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonego mechanizmu certyfikacji może czynić zadość obowiązkowi wykazania, że administrator przestrzega nałożonych na niego obowiązków.

Posiłkować można się również art. 32 ust. 1, który wskazuje następujące, przykładowe środki bezpieczeństwa:

  1. pseudonimizację i szyfrowanie danych osobowych;
  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Należy jednak pamiętać, że o tym, jakie środki stosować, zawsze ostatecznie będzie decydował administrator. Powinien zatem wybrać takie metody, które pomogą mu wykazać w trakcie ewentualnej kontroli, że przestrzega przepisów RODO.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *