Dane osobowe po nowemu (4) czyli co z dotychczasową dokumentacją?

Administratorem danych osobowych, zgodnie z obowiązująca ustawą z  29 sierpnia 1997 r. o ochronie danych osobowych  jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Mogą to być podmioty publiczne lub prywatne -  osoby fizyczne, osoby prawne oraz jednostki organizacyjne nie posiadające osobowości prawnej, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 ustawy). W praktyce administratorami danych osobowych są nie tylko podmioty gromadzące dane swoich klientów (jak banki, sklepy internetowe lub sklepy oferujące programy lojalnościowe),  przetwarzające dane pacjentów (szpitale, przychodnie) czy studentów (szkoły, uczelnie), ale jest nim każdy przedsiębiorca zatrudniający pracowników.

Przepisy ustawy o ochronie danych osobowych wymagają od administratorów prowadzenia odpowiedniej dokumentacji ochrony danych osobowych. Na dokumentację tę składają się z reguły:

• polityka bezpieczeństwa,
• instrukcja zarządzania systemem informatycznym,
• upoważnienia dla pracowników mających dostęp do baz danych wraz z ich ewidencją,
• zgody na przetwarzanie danych osobowych,
• protokoły dotyczące przypadków naruszeń ochrony danych osobowych, przeprowadzonych kontroli,
• inne dokumenty mające znaczenie z punktu widzenia ochrony danych osobowych (stosowane formularze do pozyskiwania danych, oświadczenia itd.).

Z praktyki wiemy, że proces tworzenia i wdrażania dokumentacji ochrony danych osobowych w przedsiębiorstwie, tak aby spełniała ona wszystkie wymogi prawne i była użyteczna,  jest długotrwały i wymaga współpracy oraz przeszkolenia wielu osób. Dlatego też pewne zaskoczenie i niepokój może wywoływać fakt, że w RODO nie znajdują się praktycznie żadne zapisy mówiące o dokumentacji ochrony danych osobowych. Nie planuje się także wydawania w tym zakresie przepisów wykonawczych. Co w tej sytuacji? Czy oznacza to, że dokumentacja przetwarzania danych osobowych nie będzie w ogóle wymagana?

Jak się okazuje, powinno być raczej odwrotnie - mniej wymagań prawnych niekoniecznie oznaczać będzie mniej dokumentacji. Zgodnie z art. 24 ust. 1 RODO, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Jakie środki będą odpowiednie, będzie musiał ocenić sam administrator. A jak administrator wykaże, że zastosował  odpowiednie środki? Nie inaczej niż poprzez dokumentację.

Wiemy już zatem, że dokumentacja danych osobowych będzie w praktyce niezbędna. Bez dokumentów trudno będzie wykazać, że dane osobowe przetwarzane są prawidłowo. W mojej opinii dotychczasowa  dokumentacja danych osobowych może okazać się bardzo użyteczna dla celów wykazania, że przyjęty sposób przetwarzania danych oraz podjęte kroki ich ochrony są właściwe i legalne. Oczywiście prawdopodobnie będzie ona wymagać uzupełnienia i aktualizacji, tym niemniej nie należy zapominać, że polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym same w sobie stanowią środek ochrony danych osobowych. Trudno jest wyobrazić sobie przestrzeganie w firmie procedur ochrony danych osobowych bez ich spisania i usystematyzowania.

Przed wejściem w życie przepisów RODO konieczne będzie jednak uzupełnienie dokumentacji o dodatkowe dokumenty, z których wynikać będzie jakie środki są odpowiednie dla ochrony procesów przetwarzania danych zachodzących u przedsiębiorcy. Ważnym punktem dokumentacji staną się, niewymagane dotychczas, metodologie zarządzania i analizy dotyczące ryzyka. Niezbędne będzie także wprowadzenie nowych procedur - przykładowo, od maja 2018 r. na administratorów nałożony zostanie obowiązek zgłaszania naruszeń ochrony danych osobowych w ciągu 72 godzin od ich stwierdzenia,  chyba, że analiza wykaże, że ryzyko związane z naruszeniem jest niewielkie. Konieczne będzie zatem opracowanie i wdrożenie odpowiedniej procedury na wypadek naruszenia ochrony danych, która zapewni szybkie przeprowadzenie analiz i dokonanie ewentualnego zgłoszenia w terminie. Podobnie, nowe zasady przetwarzania danych – privacy by default i privacy by design (opisane w drugim odcinku naszego cyklu - Dane osobowe po nowemu (2), czyli privacy by design i privacy by default) -  również wymagają odzwierciedlenia w treści stosowanych procedur. Przykładowo, zapewnienie, że zmiany mające miejsce w organizacji automatycznie uwzględniać będą wymogi ochrony danych osobowych, rozpocząć musi się od opisania odpowiedniej procedury działania. Najbardziej odpowiednim miejscem dla umieszczenia tych procedur pozostaje polityka ochrony danych osobowych.

Podsumowując, po wejściu w życie RODO nie zabraknie miejsca dla polityki bezpieczeństwa danych i instrukcji zarządzania systemem informatycznym tak długo jak będą one pełnić rolę użytecznego narzędzia do faktycznego wdrażania procedur i sposobów postępowania zapewniających bezpieczeństwo danych osobowych. Czyli do tego, co dobra polityka i instrukcja robić powinny. 

W kolejnym wpisie zaprosimy Was do zapoznania się z nowymi wymogami dotyczącymi treści zgód na przetwarzanie danych osobowych.

photo by ilker