Czy po 25 maja 2018 r. będzie trzeba prowadzić instrukcję zarządzania

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 27 marca 2017
Czy po 25 maja 2018 r. będzie trzeba prowadzić instrukcję zarządzania

Administrator danych musi prowadzić dokumentację przetwarzania danych osobowych, na którą składa się w szczególności polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Obecnie obowiązujące przepisy dają konkretne wskazówki, w jaki sposób dokumentacja powinna być prowadzona i co powinna zawierać. Sprawdź, jak będzie, gdy unijne rozporządzenie o ochronie danych zacznie być stosowane.

Ogólne rozporządzenie o ochronie danych, które będzie stosowane od 25 maja 2018 r., w przeciwieństwie do polskich przepisów, nie nakłada na administratora wprost obowiązku prowadzenia dokumentacji przetwarzania danych osobowych. Wskazuje jednak, że musi on wdrożyć odpowiednie środki techniczne i organizacyjne, aby skutecznie chronić dane osobowe.

Rozporządzenie ogólne wskazuje, że aby spełnić jego wymogi, konieczne jest wdrożenie przez administratorów danych odpowiednich środków technicznych i organizacyjnych służących ochronie danych. Żeby ADO mógł wykazać, że przestrzega postanowień rozporządzenia, powinien przyjąć wewnętrzne polityki oraz wdrożyć odpowiednie środki techniczne i organizacyjne.

Jakie wymagania będzie musiała spełniać instrukcja

Instrukcja zarządzania systemem informatycznym jest jednym ze środków ochrony danych osobowych. Powinna zatem spełniać te wymagania, które rozporządzenie ogólne odnosi do zabezpieczeń danych osobowych. Zgodnie z ogólnym rozporządzeniem środki ochrony danych osobowych powinny:

  • zapewniać bezpieczeństwo danych osobowych odpowiednie do ryzyka naruszenia danych osobowych;
  • uwzględniać charakter, zakres, kontekst i cele przetwarzania danych osobowych;
  • uwzględniać stan wiedzy technicznej i koszty wdrażania;
  • być zgodne z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design);
  • być zgodne z zasadą domyślnej ochrony danych (privacy by default).
Uwaga

Zgodnie z unijnym rozporządzeniem zastosowane środki służące ochronie danych osobowych powinny być odpowiednie do stopnia ryzyka związanego z przetwarzaniem danych.

Przetwarzanie danych osobowych zgodnie z rodo powinno odbywać się w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji. Administrator danych powinien wykazać, że wdrożył odpowiednie środki, aby zapewnić:

  • odporność sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych;
  • bezpieczeństwo usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa.

Techniczne aspekty ochrony danych w instrukcji zarządzania powinny być zatem odpowiednie do stopnia zagrożenia bezpieczeństwa danych. Jeśli ADO chce ocenić, czy przyjęty przez niego stopień bezpieczeństwa jest odpowiedni, musi uwzględnić w szczególności ryzyko wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych. Ponadto, aby osiągnąć odpowiedni poziom ochrony danych osobowych, powinien wziąć pod uwagę stan wiedzy technicznej, koszty wdrażania zabezpieczeń oraz uwzględnić charakter i cele przetwarzania danych osobowych.

Ważne:

Im bardziej działalność administratora ingeruje w prywatność osób fizycznych, tym więcej środków technicznych i organizacyjnych (lub bardziej zaawansowane środki) powinien wdrożyć. Dotyczy to także sposobu prowadzenia i zawartości instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Wymogi bezpieczeństwa danych w ogólnym rozporządzeniu

Rozporządzenie ogólne w kilku miejscach opisuje wymogi bezpieczeństwa danych osobowych, które powinny być przez administratora danych brane pod uwagę. Wprowadza zasadę uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz zasadę domyślnej ochrony danych (privacy by default). Wskazuje, że środki ochrony danych osobowych powinny zapewnić:

  • możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • poufność, integralność, dostępność i odporność systemów i usług przetwarzania;
  • możliwość regularnego testowania, mierzenia i oceniania ich skuteczności.

Rozporządzenie wymienia także przykładowe rodzaje zabezpieczeń, które mogą być stosowane w celu ochrony danych osobowych, np. pseudonimizację i szyfrowanie danych osobowych czy minimalizację przetwarzania danych osobowych. W instrukcji zarządzania systemem informatycznym należy zatem uwzględnić wymogi bezpieczeństwa danych osobowych opisane w unijnym rozporządzeniu.

Czy trzeba będzie dalej prowadzić instrukcję zarządzania

Od 25 maja 2018 r. administrator danych musi nie tylko przestrzegać, ale i potrafić wykazać, że przestrzega postanowień rozporządzenia ogólnego. Oznacza to, że nie tylko może, ale powinien wprowadzić bądź zaktualizować wewnętrzną dokumentację z zakresu przetwarzania danych osobowych. Rozporządzenie mówi o „wewnętrznych politykach”, nie rozstrzygając o rodzaju i sposobie prowadzenia dokumentacji. To ADO zadecyduje zatem o formie i sposobie prowadzenia dokumentacji z zakresu przetwarzania danych osobowych.

Jedyne, co musi mieć na względzie, to wynikające z rozporządzenia ogólnego obowiązki administratorów danych. Ich realizację powinien do celów dowodowych obrazować stosowną dokumentacją. Może zatem wdrożyć jednolitą politykę wewnętrzną obejmującą kompleksowo kwestie regulowane dotąd w polityce bezpieczeństwa i instrukcji zarządzania, a dodatkowo uwzględnić w niej nowe obowiązki wynikające z rozporządzenia.

Może także pozostać przy funkcjonującym obecnie na gruncie polskich przepisów podziale na politykę bezpieczeństwa i instrukcję zarządzania oraz w osobnych dokumentach wdrożyć procedury wymagane przez rozporządzenie. Niezależnie od przyjętego rozwiązania musi być świadomy, że dokumentacja przetwarzania danych osobowych powinna przede wszystkim stanowić skuteczny środek ochrony danych osobowych.

Instrukcja zarządzania powinna zawierać jasne i konkretne rozwiązania, tak aby mogła być stosowana w praktyce. Nie może być celem samym w sobie. Wypełnienie formalności i stworzenie instrukcji zarządzania nie będzie automatycznie oznaczało, że ADO stosuje się do regulacji ogólnego rozporządzenia.

Co uregulować w dokumentacji

O tym, jak ważne są zabezpieczenia danych osobowych wynikające m.in. z instrukcji zarządzania, świadczy wprowadzenie w ogólnym rozporządzeniu o ochronie danych obowiązku powiadamiania o naruszeniu ochrony danych. Administrator danych jest zobligowany do zgłoszenia właściwemu organowi nadzorczemu incydentu polegającego na przypadkowym lub niezgodnym z prawem zniszczeniu, utracie, modyfikacji, nieuprawnionym ujawnieniu lub nieuprawnionym dostępie do przetwarzanych danych osobowych.

Naruszenie trzeba zgłosić niezwłocznie, jednak nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli ADO przekaże zgłoszenie po upływie 72 godzin, będzie musiał wyjaśnić przyczyny opóźnienia. Zawiadomienie o naruszeniu danych nie jest wymagane w przypadku, gdy jest mało prawdopodobne, że naruszenie mogło spowodować zagrożenie dla praw i wolności osób, których dane dotyczą.

Ważne:

Oprócz regulacji odnoszących się do zabezpieczeń, w instrukcji zarządzania można umieścić schematy postępowania, które pozwolą administratorowi reagować w sytuacjach naruszeń ochrony danych. Niedopełnienie obowiązku zgłoszenia naruszenia, gdy jest ono wymagane, może wiązać się z karą finansową.

Administrator danych już teraz powinien podjąć działania, aby dostosować się do unijnych wymagań w sprawie ochrony danych osobowych na czas. Powinien przeanalizować, czy konieczne jest wprowadzenie dodatkowych zabezpieczeń danych osobowych, czyli pseudonimizacji czy szyfrowania danych osobowych. Możliwe, że aktualizacji będzie wymagała dotychczas obowiązująca u instrukcja zarządzania, np. poprzez umieszczenie w niej procedur dotyczących naruszeń ochrony danych osobowych.

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x