RODO: Techniczne wymogi przetwarzania danych osobowych

RODO: Techniczne wymogi przetwarzania danych osobowych

RODO wprowadzając nowe obowiązki dla podmiotów przetwarzających dane osobowe, stawia jednocześnie wiele wyzwań technicznych przed przedsiębiorcami.

Wraz z RODO nadchodzą nowe wymagania natury techniczno-informatycznej dla przedsiębiorców w przedmiocie ochrony danych osobowych. Nowe regulacje wymuszają usprawnienie procesów wewnętrznych oraz proaktywne działanie wszystkich podmiotów przetwarzających dane osobowe. Szczególnie obowiązki informacyjne i związane z nimi terminy mogą się okazać problematyczne dla wielu przedsiębiorców.

Od maja 2018 roku wielu przedsiębiorców będzie zmuszonych odnaleźć się w zupełnie nowej rzeczywistości jeżeli chodzi o przetwarzanie danych osobowych. Nowe rozporządzenie nie tylko bowiem wprowadza nowe uprawnienia osób, których dane są przetwarzane, ale również rozszerza oraz precyzuje już istniejące przepisy w tym zakresie. Bez odpowiednich procedur oraz rozwiązań technicznych wielu przedsiębiorców może mieć problem ze sprostaniem wszystkim wymogom stawianym przez rozporządzenie.

Nowe wyzwania organizacyjne dla przedsiębiorców

Nadchodzące zmiany z pewnością będą dość problematyczne dla przedsiębiorców, którzy nie dysponują odpowiednim zapleczem organizacyjno-technicznym, dopasowanym do ilości oraz charakteru przetwarzanych przez nich danych osobowych.

Wiele obowiązków będzie bowiem wymagało szybkiego oraz sprawnego działania administratorów na przetwarzanych danych. Poniżej znajduje się lista najważniejszych z nich:

1. Konieczność prowadzenia dokumentacji przetwarzania danych osobowych: 

Podmioty przetwarzające dane osobowe będą musiały być w stanie wykazać na każdym etapie przetwarzania, że to przetwarzanie następuję z uwzględnieniem obowiązujących przepisów. Część podmiotów będzie wręcz zobowiązana do prowadzenia stosownych rejestrów przetwarzania, w których będzie trzeba wykazywać m.in. cele przetwarzania oraz kategorie osób, których dane dotyczą.

W przypadku dużej ilości rejestrów, sporządzenie stosownej dokumentacji lub rejestru ad hoc, na potrzeby kontroli, może być bardzo kosztowne i czasochłonne, a czasami wręcz niemożliwe.

2. "Rozliczalność przetwarzania"

Pod pojęciem "rozliczalności" rozumie się taką kontrolę administratora nad przetwarzaniem danych osobowych, która umożliwi określenie, na każdym etapie przetwarzania, jakie dokładnie działania na danych osobowych zostały podjęte i przez kogo konkretnie.

Jest to element, który ma umożliwić pełny przegląd przetwarzania danych osobowych, wraz z informacją, kto dokładnie wykonywał określone działania na tych danych osobowych. Oznacza to, iż w przypadku zbiorów danych osobowych powinna być zapewniona możliwość rejestrowania działań na tych zbiorach, wraz z odnotowaniem użytkownika, który był odpowiedzialny za dane działanie.

W sytuacji, w której podejmowanych jest wiele działań na zbiorach danych, które nie są rejestrowane na bieżąco, odtworzenie informacji wskazujących kto wykonał konkretne działanie będzie bardzo trudne, o ile w ogóle możliwe. Powyższe może okazać się problematyczne dla przedsiębiorców w razie kontroli.

3. Prawo do przenoszenia danych

Każda osoba, której dane osobowe są przetwarzane, będzie miała prawo do żądania eksportu jej danych osobowych do powszechnie używanego formatu, nadającego się do odczytu mechanicznego i przesłania tych danych do innego, wskazanego przez nią podmiotu.

Oznacza to, że podmiot przetwarzający dane osobowe będzie musiał, na żądanie osoby, której dane dotyczą, wygenerować plik zawierające wszystkie dane osobowe wnioskodawcy i przekazać go podmiotowi wskazanemu przez uprawnionego.

Również w tym przypadku, przedsiębiorca może być zmuszony do przetwarzania oraz wydawania dużej ilości danych osobowych w krótkim okresie. Bez odpowiedniego wsparcia technicznego, pozwalającego na automatyczne generowanie stosownych zestawień, proces przenoszenia danych może być pracochłonny i kosztowny dla przedsiębiorcy.

Więcej informacji na temat przenoszenia danych osobowych można znaleźć tutaj 

4. Prawo do dostępu do danych osobowych

Na wniosek każdej osoby, przedsiębiorca będzie zmuszony do udzielenia jej informacji, czy jej dane osobowe są przez niego przetwarzane, a jeżeli tak, to do udostępnienia tej osobie kopii przetwarzanych danych osobowych, wskazania celu ich przetwarzania oraz podania innych istotnych informacji związanych z przetwarzaniem. 

Na udzielenie ww. informacji przedsiębiorca będzie miał 1 miesiąc od momentu otrzymania danego wniosku.

Przedsiębiorca będzie zatem każdorazowo zmuszony do przejrzenia swojej bazy danych pod katem tego, czy dane osobowy wnioskodawcy znajdują się w tej bazie, a jeżeli tak, to do udzielenia wnioskodawcy ww. informacji. 

W przypadku obszernej bazy i dużej ilości przetwarzanych danych osobowych ewentualne przejrzenie bazy pod kątem danych wnioskodawcy oraz przygotowanie stosownej informacji, bez odpowiedniego zaplecza technicznego, może być bardzo trudne. Ponadto, w razie dużej ilości wniosków, zachowanie określonego w przepisach terminu może okazać się niemożliwe. 

Więcej na temat prawa dostępu do danych oraz związanego z nim obowiązku informacyjnego administratorów danych można znaleźć tutaj

5. Prawo do poprawienia/usunięcia danych osobowych

Każda osoba, której dane są przetwarzane, ma prawo żądać od podmiotu przetwarzającego jej dane poprawienia lub usunięcia tych danych, bez zbędnej zwłoki.

Przedsiębiorca musi mieć zatem możliwość nie tylko przeszukania swojej bazy pod kątem danych wnioskodawcy, ale również do łatwego oraz szybkiego naniesienia zmian i poprawek w tej bazie pamiętając przy tym, że każde działanie na danych osobowych, w tym również działanie na wniosek osoby, której te dane dotyczą, musi zostać stosownie odnotowane - zgodnie z zasadą rozliczalności, o której mowa powyżej.

Więcej informacji na temat prawa do poprawienia/usunięcia danych można znaleźć tutaj.

6. Privacy by design

Zasada "Privacy by design" zobowiązuje administratora danych do zapewnienia, zarówno na etapie projektowania danego systemu, jak i jego wykorzystywania do przetwarzania danych, że zostały wprowadzone odpowiednie środki techniczne i organizacyjne, które zapewnią realizację stosownych przepisów dotyczących przetwarzania danych osobowych użytkowników. 

Oznacza to, że każdy przedsiębiorca przetwarzający dane osobowe, będzie zmuszony, już od samego początku wprowadzić stosowne zabezpieczenia organizacyjne (np. wewnętrzne regulacje) oraz techniczne (np. hasła dostępu, tzw. pseudonimizacja, stosowne oprogramowanie).

Wielu przedsiębiorców będzie z pewnością zmuszona do skorzystania z profesjonalnej pomocy, w szczególności w zakresie obsługi techniczno-informatycznej, w celu wprowadzenia stosownych rozwiązań technicznych.

Podsumowanie

RODO z pewnością w znaczący sposób wpłynie na sposób przetwarzania danych osobowych przez przedsiębiorców. Nowe przepisy co prawda nie wprowadzają obowiązku przetwarzania danych osobowych w sposób elektroniczny, biorąc jednakże pod uwagę zakres obowiązków administratorów danych oraz terminy, w jakich muszą oni udzielić stosownych informacji osobom, których dane są przetwarzane, nie sposób sobie wyobrazić, że w przyszłości przedsiębiorcy będą mogli wypełnić ciążące na nich obowiązki bez wsparcia w postaci odpowiednich systemów komputerowych.

Warto zatem już teraz zapoznać się z dostępnymi na rynku rozwiązaniami technicznymi.