Czy przeprowadzenie procesu ochrony danych w fazie projektowania może się odbyć już po jego wprowadzeniu?
ODPOWIEDŹ
Proszę wykonać swoją pracę, tj. przeprowadzić proces ochrony danych osobowych w fazie projektowania. Tak jak wskazałem w odpowiedzi na pytanie numer 1, powinni to Państwo wykonać poprzez analizę następujących elementów funkcjonujących w ramach nowego narzędzia IT:
- Zasady ochrony danych osobowych (art. 5 RODO).
- Prawa osób, których dane dotyczą (art. 12 – 22 RODO).
- Wolności osób, których dane dotyczą (analiza ryzyka).
Wyniki wykonanej przez Państwa pracy (w szczególności analizy ryzyka) powinny trafić do najwyższego kierownictwa, które powinno podjąć decyzję co do sposobów postępowania w przypadku zidentyfikowania zagrożeń niemieszczących się w zakresie tolerancji (co jest możliwe za względu na nieuwzględnienie ochrony danych osobowych w fazie projektowania.)
Pozwolę sobie zacytować również w tym zakresie wytyczną EROD 4/2019: Wczesne uwzględnienie ochrony danych w fazie projektowania oraz domyślnej ochrony danych ma kluczowe znaczenie dla pomyślnego wdrożenia zasad i ochrony praw osób, których dane dotyczą. Ponadto, z perspektywy stosunku kosztów do korzyści, w interesie administratora leży szybsze uwzględnienie tej kwestii, ponieważ wprowadzanie zmian do istniejących już planów i zaprojektowanych już operacji przetwarzania mogłoby być trudne i kosztowne.