Czy zgodnie z RODO wciąż będzie można prowadzić dotychczasową dokumentację ochrony danych

Paweł Biały

Autor: Paweł Biały

Dodano: 2 października 2017
Czy zgodnie z RODO wciąż będzie można prowadzić dotychczasową dokumentację ochrony danych

Wielu administratorów danych zastanawia się, czy takie dokumenty jak polityka bezpieczeństwa czy instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, będą nadal wiążące po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych (RODO). Poznaj odpowiedź na to pytanie.

Rozdział piąty ustawy o ochronie danych osobowych (uodo) reguluje zagadnienia dotyczące zabezpieczenia danych osobowych. Zgodnie z art. 36 uodo administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, co ma być odpowiednie do zagrożeń oraz kategorii danych objętych ochroną. W szczególności administrator powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Co więcej, administrator danych zobowiązany jest do prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz zastosowania środków technicznych i organizacyjnych.

Zgodnie z rozporządzeniem wykonawczym do uodo (w sprawie dokumentacji przetwarzania danych osobowych) na dokumentację opisującą sposób przetwarzania danych osobowych oraz zastosowane środki techniczne i organizacyjne składa się utrwalona już w praktyce polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Z jakich elementów musi składać się polityka bezpieczeństwa

Do najważniejszych zagadnień regulowanych treścią polityki bezpieczeństwa należy:

  • wykaz budynków, pomieszczeń ich części tworzących obszar, w którym przetwarzane są dane osobowe,
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania,
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
  • sposób przepływu danych pomiędzy poszczególnymi systemami,
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. 

Co należy zamieścić w instrukcji zarządzania systemem informatycznym

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych znajduje zastosowanie w przypadku, gdy ADO przetwarza dane osobowe w systemie informatycznym. Dokument ten powinien zawierać:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazania osoby odpowiedzialnej za te czynności,
  • metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczonych dla użytkowników systemu,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
  • opis sposobu zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania,
  • sposób realizacji wymogów bezpieczeństwa oraz rejestracji określonych operacji na danych,
  • procedury wykonania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Ważne:

Polityka bezpieczeństwa powinna być wolna od regulacji charakterystycznych dla instrukcji zarządzania systemem informatycznym i odwrotnie. Dobrą praktyką jest również, jeśli istnieje taka konieczność, żeby część zagadnień uregulować w formie załączników. Będzie to duże ułatwienie, wówczas gdy zaistnieje konieczność zaktualizowania określonej części opisywanej dokumentacji.

Czy polityka bezpieczeństwa i instrukcja zarządzania wystarczą

Dokumentem, o którym również warto pamiętać, jest instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych. Chociaż obowiązek jej przygotowania nie wynika wprost z przepisów uodo, w praktyce posiadanie go jest niezbędne do zapewnienia prawidłowego funkcjonowania jednostki organizacyjnej w razie zaistnienia sytuacji krytycznej, tzn. wystąpienia nieplanowanego incydentu w przetwarzaniu danych osobowych. Opisywany dokument powinien być swoistą procedurą wskazującą krok po kroku działanie osoby odpowiedzialnej za incydent – ABI lub ADO.

Dotychczasowe przepisy prawa ochrony danych osobowych nakazują prowadzenie odpowiedniej, konkretnej i zindywidualizowanej dokumentacji zapewniającej legalne przetwarzanie danych osobowych. Ogólne rozporządzenie o ochronie danych (RODO) odchodzi od tego rodzaju kazuistyki, nie precyzując jednocześnie dokładnego zakresu tego rodzaju dokumentów. Czy to jednak oznacza, że katalog dokumentów składających się na dokumentację opisującą sposób przetwarzania danych osobowych utraci swoją adekwatność lub funkcjonalność i użyteczność?

Jak prowadzenie dokumentacji ochrony danych reguluje RODO

Zgodnie z intencją ustawodawcy europejskiego, która została wyrażona w motywie 78 ogólnego rozporządzenia o ochronie danych (RODO), administrator danych będzie dysponował większą elastycznością przy podejmowaniu, opisywaniu i wdrażaniu środków gwarantujących organizacyjne i techniczne bezpieczeństwo przetwarzania danych osobowych. W konsekwencji, jak precyzuje treść motywu 78 ogólnego rozporządzenia o ochronie danych (RODO), idzie o wdrożenie odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów ogólnego rozporządzenia o ochronie danych (RODO).

Aby móc wykazać przestrzeganie ogólnego rozporządzenia o ochronie danych (RODO), administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na:

  • minimalizacji przetwarzania danych osobowych,
  • jak najszybszej pseudonimizacji danych osobowych,
  • przejrzystości co do funkcji przetwarzania danych osobowych,
  • umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych,
  • umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.
Uwaga

Jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, należy zachęcać wytwórców tych produktów, usług i aplikacji, by podczas ich opracowywania i projektowania wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.

Zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy też brać pod uwagę w przetargach publicznych. Rozwinięciem tak rozumianej zasady jest treść art. 24 ogólnego rozporządzenia o ochronie danych (RODO). Zgodnie z nią ADO zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych realizujących wytyczne RODO, co powinien udowodnić, a przynajmniej uprawdopodobnić. Środki te należy aktualizować, w razie zaistnienia odpowiednich przesłanek.

Przesłanki te z kolei opisują okoliczności wpływające na stan faktyczny determinujący podjęcie adekwatnych rozwiązań dla legalnego przetwarzania danych osobowych, np. konieczność wdrożenia procedury usunięcia lub sprostowania danych osobowych, których przetwarzanie nie jest prawidłowe ze względu na cel ich przetwarzania, zrealizowanie „prawa do bycia zapomnianym” względem osoby, której dane dotyczą, jeśli środki podjęte przez ADO nie przewidywały takiej możliwości.

Administrator będzie mógł stosować wewnętrzne polityki i kodeksy postępowania

Realizując zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych, ustawodawca europejski zachęca do wdrożenia odpowiednich polityk ochrony danych czy też stosowania zatwierdzonych kodeksów postępowania. Co niezmiernie istotne, osią ochrony danych osobowych według nowych przepisów jest konieczność spełnienia założeń ogólnego rozporządzenia o ochronie danych (RODO). Wśród nich należy brać pod uwagę:

  • stan wiedzy technicznej,
  • koszt wdrażania,
  • charakter,
  • zakres,
  • kontekst i cele przetwarzania oraz
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania.

Zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania administrator wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń.

Co więcej, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne do osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych (art. 25 ogólnego rozporządzenia o ochronie danych – RODO).

Ważne:

Chociaż przepisy ogólnego rozporządzenia o ochronie danych (RODO) nie nakazują tego wprost, może zaistnieć konieczność wdrożenia np. procedury usunięcia lub sprostowania danych osobowych, których przetwarzanie nie jest prawidłowe ze względu na cel ich przetwarzania.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel