Nowe regulacje unijne pozwolą firmom i organizacjom samodzielnie dobierać skuteczne i adekwatne do ich potrzeb mechanizmy ochrony danych osobowych. Teraz każde przedsiębiorstwo w Polsce bez względu na wielkość i ilość przetwarzanych danych musi spełniać te same obowiązki nakładane przez prawo.
Proaktywne podejście do ochrony danych osobowych to rozwiązanie, które wprowadza ogólne Rozporządzenie o ochronie danych osobowych (RODO) przyjęte przez Unię Europejską w maju bieżącego roku. Zgodnie z nim przedsiębiorcy za półtora roku będą zobowiązani do wdrożenia indywidualnie takich środków ochrony danych, które będą pozwalały na optymalne ich zabezpieczenie. Dobierając je powinni wziąć pod uwagę profil prowadzonej działalności oraz to, jakiego rodzaju i w jaki sposób przetwarzają dane osobowe.
Aby wdrożyć adekwatne do zagrożeń zabezpieczenia administrator danych, czyli firma lub organizacja przetwarzająca dane osobowe, będzie musiał oszacować ryzyko. Może przy tym skorzystać z uznanych międzynarodowych norm odnoszących się do ochrony informacji oraz do fundamentu wszelkiej ochrony czyli analizy ryzyka. Jest to bardzo istotny element ponieważ pozwala na wdrożenie stosownych rozwiązań do zidentyfikowanych niebezpieczeństw – mówi Maciej Kaczmarski, Prezes zarządu ODO 24.
Takie rozwiązanie jest korzystne szczególnie dla podmiotów, które w niewielkim zakresie przetwarzają dane osobowe. Będą one bowiem mogły ograniczyć liczbę procedur, które do tej pory nakładał na nie ustawodawca. Ale proaktywne podejście do ochrony danych korzystne jest również dla rozbudowanych organizacji, czy też tych, opierających swoją działalność w znacznej mierze na przetwarzaniu dużych ilości danych osobowych. Pozwala ono skupić się na ochronie cennych informacji, a nie na wypełnianiu sztywnych przepisów prawa. Jest to ważne, bo często są one nieadekwatne do zagrożeń dla konkretnego podmiotu i nieodporne na postęp technologiczny, który oprócz nowych możliwości niesie ze sobą także nowe niebezpieczeństwa – wyjaśnia ekspert ODO 24.
Z proaktywnym podejściem do ochrony danych wiąże się również nakładany przez RODO obowiązek uwzględniania ochrony danych już w fazie projektowania nowych produktów lub usług. Dodatkowo przepisy Rozporządzenia zobowiązują administratorów do zastosowania domyślnej ochrony danych osobowych w produktach lub usługach, co oznacza zmianę podejścia, które od tej pory ma być nakierowane na maksymalną ochronę użytkownika – wskazuje Maciej Kaczmarski z ODO 24.
Zarówno to czy stosowane przez danego administratora zabezpieczenia techniczne i organizacyjne są odpowiednio dobrane do zagrożeń, jak i to czy podmiot uwzględnił ochronę danych już w fazie projektowania oraz czy zastosował domyślną ochronę zweryfikuje dopiero kontrola GIODO. Za niezrealizowanie obowiązków będzie groziła kara w wysokości do 10.000.000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% rocznego obrotu z poprzedniego roku.
