W kwartalniku ABI-Expert został opublikowany mój artykuł na temat wymagań dokumentacyjnych przetwarzania danych osobowych.
Poniżej znajdują się fragmenty dostępne również na stronie wydawcy.
Ogólne rozporządzenie o ochronie danych (dalej: rodo) oszczędnie reguluje kwestię prowadzenia dokumentacji przetwarzania danych, choć bez wątpienia należy ją prowadzić. Czy dokumenty tworzone do tej pory mogą być podstawą dla realizacji nowych przepisów?
Na przestrzeni 20 lat ADO musieli realizować wymogi dokumentacyjne na mocy kolejnych aktów prawnych, ostatnio rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024) – dalej: rozporządzenie z 2004 r. Czy konstrukcje w nim zawarte są zbliżone do wymagań z rodo, czy mogą stanowić punkt wyjścia dla organizacji ochrony danych osobowych „po nowemu”?
Regulacje dotyczące dokumentacji przetwarzania
W momencie wejścia Polski do UE 1 maja 2004 r. został uchylony art. 45 uodo oraz akty wykonawcze wydane na tej podstawie. Przepis ten wskazywał, że podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zostaną uregulowane w drodze rozporządzenia. Zostały one określone w rozporządzeniu z 3 czerwca 1998 r. Jego prawnym następcą jest rozporządzenie z 2004 r., które weszło w życie 1 maja 2004 r. i jest obecnie aktem obowiązującym.
25 maja 2018 r. rozpocznie się stosowanie przepisów rodo, a ponieważ zostanie uchylona obecna uodo, przestaną także obowiązywać jej akty wykonawcze. W tej sytuacji mogą powstać wątpliwości związane z procesami zapewnienia zgodności przetwarzania danych po rozpoczęciu stosowania rodo. W celu zweryfikowania, czy regulacje zawarte w rodo są rewolucyjne, należy prześledzić, jakie wymogi stawia rodo w zakresie prowadzenia dokumentacji ochrony danych oraz warunków technicznych i organizacyjnych, oraz zestawić je z obowiązującymi przepisami.
Wymogi dokumentacyjne w rodo
Na gruncie obowiązujących przepisów administratorzy danych są zobowiązani wprost do prowadzenia dokumentacji przetwarzania danych w postaci polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Prowadzenie tej dokumentacji dotyczy wszystkich administratorów danych niezależnie od skali przetwarzania czy rodzaju danych osobowych, które są przetwarzane. Ponadto rozporządzenie z 2004 r. wymaga spełnienia pewnych warunków formalnych w celu zapewnienia zgodności prowadzenia dokumentacji. W takiej sytuacji dokumentacja jest często wdrażana tylko po to, aby spełnić wymogi prawne na wypadek kontroli, co prowadzi do pewnych fikcji.
Ustawodawca unijny w rodo wprowadza inne mechanizmy ochrony prywatności jednostki. Kładzie nacisk na wykazanie rozliczalności przez administratorów danych, czyli na konieczność udowodnienia przestrzegania przepisów. Prowadzenie odpowiedniej dokumentacji przetwarzania danych, której struktura jest w pewnym sensie odformalizowana, może być środkiem umożliwiającym osiągnięcie rozliczalności.
Nowe uregulowania w zakresie obowiązków dokumentacyjnych w znacznym stopniu różnią się od tych, które obowiązują obecnie. Administratorzy danych muszą zatem zastanowić się nad zaktualizowaniem dokumentacji przetwarzania danych. Należy to zrobić tak, aby wykorzystać jak największą liczbę dotychczas wdrożonych mechanizmów wynikających z obowiązujących przepisów prawa.
Opracowanie polityk ochrony danych
Obecnie administrator danych jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzania. Takie wymogi stawia również rodo. Stosownie do art. 24 ust. 2 rodo, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, wdrożenie odpowiednich środków technicznych i organizacyjnych obejmuje również wdrożenie odpowiednich polityk ochrony danych. Oznacza to, że prowadzenie dokumentacji przetwarzania
danych w formie polityk ochrony danych nie jest bezwzględnie obligatoryjne jak teraz.Kiedy zatem ADO powinien wdrożyć polityki ochrony danych?
[...]
Źródło:
