Skoro jest ryzyko, musi być jego ocena

opublikowano: 17-06-2018, 22:00

Konferencja „PB” Nowy system IT w firmie trzeba sprawdzić pod kątem zagrożeń dla praw osób, których dane są przetwarzane. Tego wymaga RODO, ale nie wyjaśnia, jak to zrobić

DPIA lub PIA, albo po prostu OSOD — to spotykane powszechnie, dla uproszczenia skrócone, określenia (pierwsze — dwa angielskie, trzecie — polskie) tej samej czynności i jej udokumentowania, wymaganej od wejścia w życie reformy w ochronie danych osobowych, czyli od 25 maja. Zgodnie z unijnym rozporządzeniem (RODO), wprowadzającym nowe jej zasady, administratorzy takich danych muszą przeanalizować, co oznacza ich przetwarzanie. Warto poznać podane wyżej skróty dotyczące oceny skutków RODO, bo przedsiębiorcy będą się z nimi coraz częściej stykali — zwracała uwagę Anna Kobylańska, adwokat, wspólnik w kancelarii Kobylańska & Lewoszewski, podczas konferencji „Pulsu Biznesu” poświęconej pierwszym doświadczeniom ze stosowania nowych przepisów.

LISTA OBOWIĄZKOWA:  Organ nadzoru, czyli Urząd Ochrony Danych osobowych (UODO), z czasem stworzy zestawienie przypadków, w których OSOD będzie bezwzględnie wymagany — zwracały uwagę Anna Kobylańska, wspólnik w kancelarii Kobylańska & Lewoszewski, oraz Mariola Więckowska, administrator bezpieczeństwa informacji w Allegro i Ceneo.
Zobacz więcej

LISTA OBOWIĄZKOWA: Organ nadzoru, czyli Urząd Ochrony Danych osobowych (UODO), z czasem stworzy zestawienie przypadków, w których OSOD będzie bezwzględnie wymagany — zwracały uwagę Anna Kobylańska, wspólnik w kancelarii Kobylańska & Lewoszewski, oraz Mariola Więckowska, administrator bezpieczeństwa informacji w Allegro i Ceneo. Fot. Marek Wiśniewski

Kiedy spełnić obowiązek

Uczestnikom konferencji przypomniano, że tę ocenę musi przeprowadzić — i ją udokumentować — każdy podmiot, jeśli dany rodzaj przetwarzania, ze względu na jego charakter, zakres, kontekst lub cele, z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dotyczą posiadane dane.

— Taka analiza, jak planowana zmiana w firmie, może wpłynąć na ochronę danych osobowych i odnosi się do wszelkich wprowadzanych nowości. To może być nowy system informatyczny do wdrożenia, zmiana sposobu działania w internecie, inna forma komunikacji z klientami czy rozliczania się z pracownikami, kontrahentami czy współpracownikami. Unijny legislator wymaga, aby zastanowić się, czy tego rodzaju działania mogą — i jak — zaszkodzić interesom i prawom osób, których dane firma wykorzystuje. Czy mogą doprowadzić do ich dyskryminacji, utraty uprawnień, naruszenia dóbr osobistych, utraty tożsamości, pieniędzy, czy raczej nie ma aż takiego ryzyka — wyjaśniała Anna Kobylańska.

Jak podkreślała, obecnie, gdy firma szuka nowych rozwiązań dla siebie, powinna analizować nie tylko, na ile np. oferowane na rynku programy są dla niej przydatne i spełniają jej potrzeby co do oczekiwanych funkcjonalności, ale też zastanowić się, czy zapewniają one ochronę danych osobowych zgodną z wymaganiami RODO.

— Nie chodzi w tej ocenie o skutki wprowadzanych zmian dla działalności przedsiębiorcy, lecz o ich wpływ na prawa podmiotu danych osobowych — podkreślała adwokat.

Pod tym kątem musi być ocenione prawdopodobieństwo ewentualnych zagrożeń, co nie oznacza zarazem, że będzie ono zbieżne z ryzykiem biznesowym.

Jak do tego podejść

— Z doświadczenia wiem, że ryzyko biznesowe często może być wysokie, ale nie musi takie być z punktu widzenia ochrony danych osobowych — przyznała Mariola Więckowska, administrator bezpieczeństwa informacji w Allegro i Ceneo.

Jak podkreślała Anna Kobylańska, RODO wymusza zmianę w dotychczasowym podejściu. Przedsiębiorcy muszą wyobrazić sobie, co dla ich klientów czy pracowników oznacza nowy projekt w firmie. Zwróciła uwagę, że gdy firma zacznie korzystać z serwerów zewnętrznego podmiotu, z punktu widzenia jej ekonomicznych interesów na pewno będzie ważna ocena, czy położenie tamtejszej serwerowni nie grozi np. jej zalaniem. W takim przypadku, dla prowadzonego biznesu ważne jest zbadanieprawdopodobieństwa utraty informacji niezbędnych w działalności. Jednak jest to tylko kłopot przedsiębiorstwa, które musi troszczyć się o serwer. Problemy osób, których dane są przetwarzane, polegają na czym innym.

— Trzeba wejść w buty kontrahenta, klienta czy innej osoby i przewidzieć, jak wpłynie na jego prawa nowy wprowadzany program. Np. informatyczny system rekrutacji może być tak skonstruowany, że na podstawie pewnych informacji zawartych w CV odrzuci wniosek określonego kandydata od razu, nie dając mu najmniejszych szans uczestnictwa w procesie rekrutacyjnym. Administrator musi sprawdzić, czy istnieje takie ryzyko dyskryminacji — podkreślała Anna Kobylańska.

— Oczywiście nie jest problemem, gdy nowy wdrażany system nie zapewnia funkcjonalności wymaganej przez RODO, którą można wprowadzić, np. nie zbiera pozwoleń na przetwarzanie danych. Można np. zwrócić się do dostawcy oprogramowania, aby je odpowiednio zmodyfikował. Gorzej będzie, gdy system nie pozwoli na usunięcie danych, czyli spełnienie prawa do bycia zapomnianym, wprowadzonego przez unijne rozporządzenie — zwróciła uwagę Mariola Więckowska.

OSOD to, jak mówili eksperci uczestnikom konferencji, proces mający na celu określenie planowanego sposobu przetwarzania danych, ocenę jego niezbędności i proporcjonalności oraz ułatwienie zarządzenia ryzykiem naruszenia praw lub wolności osób fizycznych, których takie przetwarzanie będzie dotyczyć. Jest to zarazem narzędzie ułatwiające udowodnienie rozliczalności, czyli jednej z zasad RODO. Oznacza ona, że administrator danych musi dowieść, że wywiązał się ze swoich obowiązków.

Bez wskazówek

Anna Kobylańska i Mariola Więckowska poinformowały, że należy spodziewać się stworzenia przez organ nadzoru, czyli Urząd Ochrony Danych osobowych (UODO), listy przypadków, w których OSOD może być bezwzględnie wymagany. Na razie wiadomo, że ocena obecnych operacji przetwarzania danych jest konieczna, gdy z dużym prawdopodobieństwem może ono powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a także gdy nastąpiła zmiana ryzyka, np. na skutek zastosowania nowych technologii lub wykorzystywania posiadanych informacji dla innych niż wcześniej celów. Obie ekspertki przyznały przy tym, że chociaż jednym z celów reformy ochrony danych osobowych w Unii Europejskiej jest ograniczenie obciążeń biurokratycznych poprzez wprowadzenie podejścia opartego na ryzyku, czyli swobodnego wyboru metod zabezpieczania danych i przestrzegania wymagań RODO, to jednak wdrożenie zasad, które pozwolą firmie wykazać, że stosuje nowe przepisy, nie jest łatwe.

— Niewywiązanie się z przeprowadzenia OSOD, a nawet popełnienie błędów — mogą wiele kosztować. Jednocześnie jednak unijny legislator nie podpowiada, jak to należy zrobić — zauważyła Anna Kobylańska.

Sprawdź program warsztatu "RODO w zamówieniach publicznych", 10 września 2018 r., Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Inne / Skoro jest ryzyko, musi być jego ocena