Konferencja technologiczna pt. „Nowe zasady zabezpieczania danych osobowych, czyli RODO w praktyce”

28 marca 2018 r. Generalny Inspektor Ochrony Danych Osobowych zorganizował konferencję techniczną pt. „Nowe zasady zabezpieczania danych osobowych, czyli RODO w praktyce”.

Wydarzenie to było okazją do przybliżenia tematyki związanej m.in. z doborem środków technicznych i organizacyjnych służących bezpieczeństwu danych osobowych, dokonywaniem analizy ryzyka, jakie wiąże się z przetwarzaniem danych osobowych oraz zapewnianiem przez administratorów rozliczalności w kontekście zastosowanych zabezpieczeń danych.

Omówienie tych zagadnień było istotne m.in. dlatego, że ogólne rozporządzenie o ochronie danych (RODO), które zacznie być stosowane od 25 maja 2018 r.,nie daje w tym zakresie konkretnych wskazówek i wytycznych. Nie określa minimalnych standardów technicznych mających na celu zabezpieczenie danych ani nie podaje konkretnych przykładów najlepszych rozwiązań. To administratorzy danych odpowiadający za ich bezpieczeństwo muszą dobrać odpowiednie środki i procedury, by zapewnić bezpieczeństwo danych. Muszą też oszacować istniejące ryzyka związane z przetwarzaniem tych danych.

Szacowanie ryzyka to proces ciągły, który powinien być przeprowadzany przy użyciu konkretnej metody, zapewniającej jednocześnie stosowanie jednolitych definicji i pojęć – zaznaczyła dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych w swoim wystąpieniu otwierającym konferencję.

Wskazała też, jakie obowiązki w zakresie zabezpieczenia danych nakłada na administratorów RODO. Podkreśliła, że najważniejszym z nich jest wynikający z tzw. zasady rozliczalności obowiązek wykazania przez administratora, że zastosował odpowiednie środki organizacyjne i techniczne oraz, że przy przetwarzaniu danych osobowych spełnia wymagania ogólnego rozporządzenia o ochronie danych. Jak mówiła, pomocne w wywiązaniu się z tego obowiązku mogą być m.in. takie, określone w RODO instrumenty, jak: certyfikacja, kodeksy postępowania czy też ocena skutków dla ochrony danych.

Obowiązkiem administratora danych będzie m.in. przygotowanie zabezpieczeń i procedur ochrony danych osobowych na najwyższym poziomie już na etapie projektowania, zanim w ogóle zacznie on przetwarzać dane osobowe – zaznaczyła dr Edyta Bielak-Jomaa, podkreślając w ten sposób znaczenie zasady privacy by design, która wynika z RODO. – Od samego początku pracy nad systemem, aplikacją bazą danych czy jakimkolwiek rozwiązaniem, produktem bądź usługą trzeba zatem myśleć o „wszywaniu” w nie rozwiązań służących ochronie prywatności – dodała.

Konferencja była też okazją do ogłoszenia publicznych konsultacji dotyczących przygotowanego przez GIODO proponowanego wykazu rodzajów przetwarzania, dla których – zgodnie z art. 35 ust. 4 RODO – wymagane jest przeprowadzenie oceny skutków dla ochrony danych.

Konsultacje te, do których zachęcamy, pozwolą zapewnić administratorom i podmiotom przetwarzającym lepsze przygotowanie się do stosowania nowych regulacji, a organowi nadzorczemu opracowanie ostatecznej listy takich operacji w sposób rzetelniejszy, bardziej przejrzysty i zrozumiały – zaznaczyła dr Edyta Bielak-Jomaa.

Zainteresowani swoje opinie w tej sprawie mogą przesyłać do Generalnego Inspektora Ochrony Danych Osobowych najpóźniej do 30 kwietnia 2018 r. Przygotowany wykaz jest dostępny na stronie internetowej GIODO pod linkiem https://giodo.gov.pl/pl/1520281/10430.

Poniżej przedstawiamy prezentację Prelegentów niniejszej konferencji:






 






Rafał Grodzki