Dokumentacja ochrony danych niezgodna z przepisami – co grozi teraz i po 25 maja 2018 r.

Obowiązek posiadania dokumentacji ochrony danych osobowych został szczegółowo uregulowany w rozporządzeniu wykonawczym do ustawy o ochronie danych osobowych (uodo) w sprawie dokumentacji przetwarzania danych osobowych. W dokumencie tym wskazuje się standardy, jakim powinny odpowiadać polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Poza tymi dokumentami administrator danych powinien opracować również:

• ewidencję osób upoważnionych do przetwarzania danych osobowych,
• oświadczenia o zachowaniu danych osobowych w poufności czy
• rejestr zbiorów danych – w przypadku powołania administratora bezpieczeństwa informacji (ABI).

Na dokumentację ochrony danych osobowych składają się także wszelkie procedury dotyczące bezpieczeństwa informacji w jednostce organizacyjnej.

Dokumentacja ochrony danych osobowych ma charakter zindywidualizowany, co oznacza, że nawet korzystając z powszechnie dostępnych wzorów, trzeba dostosować ich treść do sytuacji indywidualnej podmiotu. Dokumentacja ochrony danych osobowych powinna odpowiadać stanowi faktycznemu, jaki istnieje w czasie jej przygotowania, oraz w razie konieczności być aktualizowana, o czym administratorzy danych niekiedy zapominają.

Często spotykaną sytuacją jest nieodnotowanie zmiany siedziby działalności administratora danych w polityce bezpieczeństwa. Niejednokrotnie zdarzają się też sytuacje, w których administrator danych nie aktualizuje zasobów osobowych w jednostce organizacyjnej, a w konsekwencji upoważnieni do przetwarzania danych osobowych są pracownicy, którzy już dawno nie pracują u administratora. Notorycznie jednak powtarzającym się błędem jest nieaktualizowanie zbiorów danych osobowych. Podobne błędy są popełniane w przypadku instrukcji zarządzania systemem informatycznym. Często są w niej wskazywane zabezpieczenia, które w rzeczywistości nie są przez administratora stosowane. Zdarza się, że administrator danych stosuje środki nieadekwatne do możliwych do wystąpienia w jego jednostce organizacyjnej zagrożeń.

Wszystko to powoduje, że stosowana przez administratorów danych dokumentacja nie spełnia swojej funkcji zapewnienia bezpieczeństwa jednostki organizacyjnej. A przecież ma ona stanowić udokumentowanie i usystematyzowanie procesów zachodzących w jednostce organizacyjnej. Co więcej, w przypadku polityki bezpieczeństwa dokumentacja ta ma stanowić źródło wiedzy dla pracownika, który w razie wątpliwości może zweryfikować niezbędne mu informacje ze stanem faktycznym zawartym w polityce.

Jeśli administrator zdecydował się powołać ABI, wówczas to on czuwa nad aktualizowaniem dokumentacji. Najczęściej robi to przy okazji wykonywanych sprawdzeń. Wówczas weryfikuje stan faktyczny ze stanem, który znajduje się w dokumentacji. Gorzej będzie, jeśli administrator danych nie powołał ABI. Wówczas obowiązek aktualizowania dokumentacji spoczywa na nim. Brak aktualnej dokumentacji ochrony danych osobowych to przede wszystkim zagrożenie dla samego administratora danych. Stanowi także dowód, że administrator danych nie rozumie potrzeby dokumentowania procesów przetwarzania danych.

Generalny Inspektor Ochrony Danych Osobowych został wyposażony w środki prawne umożliwiające egzekwowanie zachowania zgodnego z przepisami uodo. Poza obowiązkiem przywrócenia stanu zgodnego z prawem określonym w art. 18 uodo (czyli posiadania aktualnej dokumentacji) może również nałożyć na administratora danych grzywnę w celu przymuszenia wykonania wydanej przez organ decyzji na podstawie ustawy o postępowaniu egzekucyjnym w administracji (Dz.U. z 1966 r. nr 24, poz. 151). W takim przypadku grzywna może wynieść nawet 50 tys. zł.

Rozpoczęcie stosowania ogólnego rozporządzenia o ochronie danych (RODO) będzie związane z możliwością poniesienia kary finansowej za nieprzestrzeganie przepisów o ochronie danych osobowych. Warto w tym miejscu wskazać, że celem ustawodawcy było, by proces przetwarzania danych osobowych nie został ograniczony do wymaganej prawem dokumentacji, lecz stał się realny i spójny. Dlatego też w przepisach RODO nie znajdziemy wprost normy zobowiązującej administratora danych do dokumentowania procesów przetwarzania danych. Niemniej jednak, odwołując się do zasad ochrony danych osobowych, w tym w szczególności zasady rozliczalności, administrator będzie musiał udokumentować realizowane procesy, także te, które zachodzą wobec osób, których dane dotyczą.

Brak udokumentowania procesów związanych ze stosowaniem RODO jest podstawą do wymierzenia kary, której wysokość będzie zależała od wagi, świadomości czy rozmiaru naruszenia. Jeżeli administrator nie będzie prowadził dokumentacji wymaganej prawem, w tym w szczególności nie uwzględni zasad ochrony w fazie projektowania i domyślnej ochrony danych, nie będzie prowadził rejestru czynności przetwarzania danych, nie zawrze umów powierzenia, w sytuacji gdy będzie to wymagane, to zgodnie z art. 83 RODO może liczyć się z odpowiedzialnością finansową do 10 mln euro lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Na podobną odpowiedzialność może narazić się administrator, który nie będzie miał ważnej i aktualnej dokumentacji, nie wyda upoważnień do przetwarzania danych osobowych, nie będzie stosował odpowiednich procedur, w tym w szczególności procedury postępowania w przypadku naruszenia danych osobowych, czy nie będzie prowadził rejestru naruszeń.