RODO: czym jest proaktywne podejście do ochrony danych?

Przeczytaj także: Dane osobowe pod parasolem RODO. Koniec masowego targetowania?

RODO. Pod tą nazwą kryje się przyjęte wiosną tego roku unijne Rozporządzenie o ochronie danych osobowych. Dla administratorów danych oznacza to wytężone wysiłki. Zgodnie ze wspomnianym aktem, już za półtora roku przedsiębiorcy będą zobligowani do wdrożenia takich środków ochrony danych, które zezwolą na zabezpieczenie ich w optymalnym stopniu. O co chodzi? Przede wszystkim o uwzględnienie rodzaju prowadzonej działalności oraz wzięcia pod rozwagę sposobu, w jakie dane osobowe są przetwarzane.

Skomplikowane? Niekoniecznie. Problem wyjaśnia Maciej Kaczmarski, Prezes zarządu ODO 24:

Do wdrożenia adekwatnych do istniejących zagrożeń zabezpieczeń konieczne jest, aby firma przetwarzająca dane osobowe w prawidłowy sposób identyfikowała ryzyko. W tym celu dobrze jest skorzystać z uznanych międzynarodowych norm odnoszących się do ochrony informacji oraz do fundamentu wszelkiej ochrony czyli analizy ryzyka. To podwalina sukcesu, która pozwala na wdrożenie stosownych rozwiązań do zidentyfikowanych niebezpieczeństw – mówi Maciej Kaczmarski, Prezes zarządu ODO 24.

Takie rozwiązanie stanowi korzyść szczególnie dla tych podmiotów, które przetwarzają dane osobowe w dość niewielkim zakresie. To pozwoli im na ograniczenie procedur, które do tej pory nakładał na nie ustawodawca. Ale proaktywne podejście do ochrony danych korzystne jest również dla rozbudowanych organizacji, czy też tych, opierających swoją działalność w znacznej mierze na przetwarzaniu dużych ilości danych osobowych.

Pozwala ono skupić się na ochronie cennych informacji, a nie na wypełnianiu sztywnych przepisów prawa. Jest to ważne, bo często są one nieadekwatne do zagrożeń dla konkretnego podmiotu i nieodporne na postęp technologiczny, który oprócz nowych możliwości niesie ze sobą także nowe niebezpieczeństwa – wyjaśnia ekspert ODO 24.

Z proaktywnym podejściem do ochrony danych wiąże się również nakładany przez RODO obowiązek uwzględniania ochrony danych już w fazie projektowania nowych produktów lub usług. Dodatkowo przepisy Rozporządzenia zobowiązują administratorów do zastosowania domyślnej ochrony danych osobowych w produktach lub usługach, co oznacza zmianę podejścia, które od tej pory ma być nakierowane na maksymalną ochronę użytkownika – wskazuje Maciej Kaczmarski z ODO 24.

Zarówno to czy stosowane przez danego administratora zabezpieczenia techniczne i organizacyjne są odpowiednio dobrane do zagrożeń, jak i to czy podmiot uwzględnił ochronę danych już w fazie projektowania oraz czy zastosował domyślną ochronę zweryfikuje dopiero kontrola GIODO. Za niezrealizowanie obowiązków będzie groziła kara w wysokości do 10.000.000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% rocznego obrotu z poprzedniego roku.