Dokumentacja ochrony danych niezgodna z przepisami – co grozi teraz i po 25 maja 2018 r.

Agnieszka Stępień

Autor: Agnieszka Stępień

Dodano: 19 lutego 2018
Dokument archiwalny
Dokumentacja ochrony danych niezgodna z przepisami – co grozi teraz i po 25 maja 2018 r.

Podstawowym obowiązkiem każdego administratora danych jest posiadanie aktualnej i zgodnej ze stanem faktycznym dokumentacji ochrony danych osobowych. W praktyce jednak zdarza się, że administrator danych tworzy dokumentację ochrony danych osobowych, po czym bardzo szybko zapomina o obowiązku jej aktualizacji. Jakie mogą być konsekwencje niewłaściwego podejścia administratorów danych do niezwykle istotnego zagadnienia, jakim jest zachowanie warunków formalnych procesu przetwarzania danych osobowych, teraz i zgodnie z RODO?

Obowiązek posiadania dokumentacji ochrony danych osobowych został szczegółowo uregulowany w rozporządzeniu wykonawczym do ustawy o ochronie danych osobowych (uodo) w sprawie dokumentacji przetwarzania danych osobowych. W dokumencie tym wskazuje się standardy, jakim powinny odpowiadać polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Poza tymi dokumentami administrator danych powinien opracować również:

  • ewidencję osób upoważnionych do przetwarzania danych osobowych,
  • oświadczenia o zachowaniu danych osobowych w poufności czy
  • rejestr zbiorów danych – w przypadku powołania administratora bezpieczeństwa informacji (ABI).

Na dokumentację ochrony danych osobowych składają się także wszelkie procedury dotyczące bezpieczeństwa informacji w jednostce organizacyjnej.

Te błędy w dokumentacji pojawiają się najczęściej

Dokumentacja ochrony danych osobowych ma charakter zindywidualizowany, co oznacza, że nawet korzystając z powszechnie dostępnych wzorów, trzeba dostosować ich treść do sytuacji indywidualnej podmiotu. Dokumentacja ochrony danych osobowych powinna odpowiadać stanowi faktycznemu, jaki istnieje w czasie jej przygotowania, oraz w razie konieczności być aktualizowana, o czym administratorzy danych niekiedy zapominają.

Często spotykaną sytuacją jest nieodnotowanie zmiany siedziby działalności administratora danych w polityce bezpieczeństwa. Niejednokrotnie zdarzają się też sytuacje, w których administrator danych nie aktualizuje zasobów osobowych w jednostce organizacyjnej, a w konsekwencji upoważnieni do przetwarzania danych osobowych są pracownicy, którzy już dawno nie pracują u administratora. Notorycznie jednak powtarzającym się błędem jest nieaktualizowanie zbiorów danych osobowych. Podobne błędy są popełniane w przypadku instrukcji zarządzania systemem informatycznym. Często są w niej wskazywane zabezpieczenia, które w rzeczywistości nie są przez administratora stosowane. Zdarza się, że administrator danych stosuje środki nieadekwatne do możliwych do wystąpienia w jego jednostce organizacyjnej zagrożeń.

Wszystko to powoduje, że stosowana przez administratorów danych dokumentacja nie spełnia swojej funkcji zapewnienia bezpieczeństwa jednostki organizacyjnej. A przecież ma ona stanowić udokumentowanie i usystematyzowanie procesów zachodzących w jednostce organizacyjnej. Co więcej, w przypadku polityki bezpieczeństwa dokumentacja ta ma stanowić źródło wiedzy dla pracownika, który w razie wątpliwości może zweryfikować niezbędne mu informacje ze stanem faktycznym zawartym w polityce.

Jeśli administrator zdecydował się powołać ABI, wówczas to on czuwa nad aktualizowaniem dokumentacji. Najczęściej robi to przy okazji wykonywanych sprawdzeń. Wówczas weryfikuje stan faktyczny ze stanem, który znajduje się w dokumentacji. Gorzej będzie, jeśli administrator danych nie powołał ABI. Wówczas obowiązek aktualizowania dokumentacji spoczywa na nim. Brak aktualnej dokumentacji ochrony danych osobowych to przede wszystkim zagrożenie dla samego administratora danych. Stanowi także dowód, że administrator danych nie rozumie potrzeby dokumentowania procesów przetwarzania danych.

Jaka odpowiedzialność grozi za nieaktualną dokumentację obecnie

Generalny Inspektor Ochrony Danych Osobowych został wyposażony w środki prawne umożliwiające egzekwowanie zachowania zgodnego z przepisami uodo. Poza obowiązkiem przywrócenia stanu zgodnego z prawem określonym w art. 18 uodo (czyli posiadania aktualnej dokumentacji) może również nałożyć na administratora danych grzywnę w celu przymuszenia wykonania wydanej przez organ decyzji na podstawie ustawy o postępowaniu egzekucyjnym w administracji (Dz.U. z 1966 r. nr 24, poz. 151). W takim przypadku grzywna może wynieść nawet 50 tys. zł.

Czy zgodnie z RODO trzeba mieć dokumentację

Rozpoczęcie stosowania ogólnego rozporządzenia o ochronie danych (RODO) będzie związane z możliwością poniesienia kary finansowej za nieprzestrzeganie przepisów o ochronie danych osobowych. Warto w tym miejscu wskazać, że celem ustawodawcy było, by proces przetwarzania danych osobowych nie został ograniczony do wymaganej prawem dokumentacji, lecz stał się realny i spójny. Dlatego też w przepisach RODO nie znajdziemy wprost normy zobowiązującej administratora danych do dokumentowania procesów przetwarzania danych. Niemniej jednak, odwołując się do zasad ochrony danych osobowych, w tym w szczególności zasady rozliczalności, administrator będzie musiał udokumentować realizowane procesy, także te, które zachodzą wobec osób, których dane dotyczą.

Jakie kary przewiduje RODO

Brak udokumentowania procesów związanych ze stosowaniem RODO jest podstawą do wymierzenia kary, której wysokość będzie zależała od wagi, świadomości czy rozmiaru naruszenia. Jeżeli administrator nie będzie prowadził dokumentacji wymaganej prawem, w tym w szczególności nie uwzględni zasad ochrony w fazie projektowania i domyślnej ochrony danych, nie będzie prowadził rejestru czynności przetwarzania danych, nie zawrze umów powierzenia, w sytuacji gdy będzie to wymagane, to zgodnie z art. 83 RODO może liczyć się z odpowiedzialnością finansową do 10 mln euro lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Na podobną odpowiedzialność może narazić się administrator, który nie będzie miał ważnej i aktualnej dokumentacji, nie wyda upoważnień do przetwarzania danych osobowych, nie będzie stosował odpowiednich procedur, w tym w szczególności procedury postępowania w przypadku naruszenia danych osobowych, czy nie będzie prowadził rejestru naruszeń.

Uwaga

Wysokość sankcji finansowych jest potwierdzeniem, jak ważne jest dbanie o prawidłowość i aktualność dokumentacji ochrony danych osobowych.

Agnieszka Stępień

Autor: Agnieszka Stępień

dr nauk prawnych, nauczyciel akademicki z zakresu ochrony danych osobowych, adiunkt w Instytucie Bezpieczeństwa w Społecznej Akademii Nauk, współzałożycielka Instytutu Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel