Dochowanie należytej staranności w kontekście procesów przetwarzania danych osobowych i zapewnienia zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r. (dalej: RODO) wynika wprost z regulacji RODO, zgodnie z którymi (art. 24):
- uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze,
- administrator wdraża odpowiednie środki techniczne i organizacyjne,
- aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.
Powyższe należy rozumieć w ten sposób, że nie jest wystarczające dla realizacji obowiązków wynikających z RODO samo wdrożenie środków technicznych i organizacyjnych, ponieważ musi być ono poprzedzone analizą m.in. charakteru, zakresu przetwarzanych danych oraz ryzyka naruszenia praw lub wolności osób fizycznych, a administrator musi być w stanie wykazać, że zastosowane środki są odpowiednie.
Aby należycie wywiązać się z powyższych obowiązków celowym jest wdrożenie wewnętrznej procedury w zakresie polityki bezpieczeństwa i ochrony danych osobowych, w której należy określić w szczególności:
- ogólne zasady przetwarzania danych, ze szczególnym uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych,
- obszary przetwarzania danych i zbiory danych osobowych,
- zasady udostępniania danych osobowych,
- sposoby realizacji praw osób fizycznych w związku z przetwarzaniem ich danych osobowych.
Szczególnej uwagi wymagają również dane gromadzone lub przetwarzane w systemie teleinformatycznym i w zakresie do takich danych również zalecane jest wdrożenie odpowiedniej procedury lub instrukcji.
Przygotowanie i przyjęcie powyższych dokumentów umożliwi z jednej strony skuteczne reagowanie i właściwe realizowanie obowiązków wynikających z RODO, a z drugiej strony wykazanie organowi kontroli w każdej chwili, że wdrożone środki ochrony są odpowiednie i dlaczego oraz że administrator danych dołożył w tym zakresie należytej staranności. W konsekwencji wdrożenie odpowiednich procedur i zapewnienie zgodności przetwarzania danych osobowych z RODO minimalizuje ryzyko nałożenia dotkliwych kar administracyjnych przez organ kontroli.