Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
167
rozPorząDzenieParlaMentUeUroPejSkiegoiraDy(Ue)2016/679…
d.Obowiązkiopartenaanalizieryzyka
167
Większośćobowiązkówwynikającychzrozporządzenia2016/679,opartychnaanalizieryzyka,
adresowanajestdoadministratorów.
WAŻNE!Zwtymkontekściepodejścieopartenaryzykujestprzedewszystkimistotnym
elementem:
–ogólnegoobowiązkuzapewnieniazgodnościzrozporządzeniem,októrymmowa
wart.24RODO(zob.nr468);
–uwzględnianiaochronydanychjużwfazieprojektowania(dataprotectionbydesign)wmyśl
art.25ust.1RODOorazrealizacjizasadydomyślnejochronydanych(dataprotectionby
default)zgodniezart.25ust.2RODO(zob.nr476in.,489);
–ocenyskutkówplanowanychoperacjiprzetwarzaniadlaochronydanych(dataprotection
impactassessment)orazuprzednichkonsultacjizorganemnadzoru,októrychmowaodpo-
wiedniowart.35i36RODO(zob.nr465,517in.).
Prawodawcaunijnysformułowałjednakrównieżobowiązkibazującenaanalizieryzyka,któ-
rychadresatemsązarównoadministratorzy,jakipodmiotyprzetwarzające.Należądonich:
–sporządzanieokreślonejprzepisamidokumentacjiprzetwarzaniaujętejwramy
art.30RODO(zob.nr507);
–zapewnieniebezpieczeństwaprzetwarzania,wszczególnościwskazanegowart.32RODO
(zob.nr582,721).
WAŻNE!ZnaczeniepodejściaopartegonaryzykuwewdrożeniupodkreślaPrezesUODOwko-
lejnychdecyzjachnakładającychadministracyjnekarypieniężne.Wskazujewnichnaklu-
czoweaspekty,tj.kompletnośćanalizyryzyka,ocenęadekwatnościwdrażanychśrodków
technicznychiorganizacyjnychzarównowstosunkudoryzykoniskimpoziomie,jakido
wysokopoziomowych,regularnetestowanie,mierzenieiocenianieskutecznościzastoso-
wanychśrodkówtechnicznychiorganizacyjnychmającychzapewnićbezpieczeństwoprze-
twarzania,rolęinspektoraochronydanychwkontekścieprzeprowadzaniaanalizyryzyka
iocenęskutkówdlaochronydanych,awreszciepowtarzającesięuchybieniawzakresiepra-
widłowegodokumentowaniaanalizyryzyka(zob.decyzje:z10.09.2019r.,ZSPR.421.2.2019;
z18.10.2019r.,ZSPU.421.3.2019;z21.08.2020r.,ZSOŚS.421.25.2019;z3.12.2020r.,
DKN.5112.1.2020;z11.02.2021r.,DKN.5130.2024.2020,https://uodo.gov.pl/decyzje,dostęp:
20.07.2021r.).
Znaczeniewymoguanalizyryzykabyłorównieżprzedmiotemwykładniworzecznictwiesądów
administracyjnych.Zob.przykładowowyrokWSAwWarszawiez26.08.2020r.,IISA/Wa2826/19,
LEXnr3067899,wktórymwkontekścieart.32RODOwskazanezostało,żeflniewymaga
odadministratoradanychwdrożeniajakichkolwiekśrodkówtechnicznychiorganizacyjnych,
któremająstanowićśrodkiochronydanychosobowych,alewymagawdrożeniaśrodkówade-
kwatnych.Takąadekwatnośćoceniaćnależypodkątemsposobuicelu,wjakimdaneosobowe
sąprzetwarzane,aleteżnależybraćpoduwagęryzykozwiązanezprzetwarzaniemtychdanych
osobowych,któretoryzykocharakteryzowaćsięmożeróżnąwysokością”,atakżeżefl[p]rzy-
jęteśrodkimająmiećcharakterskuteczny,wkonkretnychprzypadkachniektóreśrodkibędą
musiałybyćśrodkamiocharakterzeniwelującymniskieryzyko,inne–musząniwelowaćryzy-
kowysokie,ważnejednakjest,abywszystkieśrodki(atakżekażdyzosobna)byłyadekwatne
iproporcjonalnedostopniaryzyka”.
WskazówkiinterpretacyjnezawartezostałytakżewwyrokuWSAwWarszawie
z3.09.2020r.,IISA/Wa2559/19,LEXnr3077973,wktórymstwierdzono,żeflRODO
104
www.meritum.pl