OPUBLIKOWANO: 10 LISTOPADA 2017
Nowa dokumentacja ochrony danych osobowych
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
- Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz.U. z 2017 r. poz. 1907),
- Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz.U. z 2016 r. poz. 113).
Od 25 maja 2018 r. zaczną obowiązywać przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Odchodzi ono od wskazania wymogu posiadania konkretnie wymienionej dokumentacji ochrony danych osobowych. Nie oznacza to jednak, że administrator danych został zwolniony z obowiązku prowadzenia dokumentacji. W preambule rozporządzenia (motyw 78) wyraźnie podkreślono, że administrator danych, aby móc wykazać przestrzeganie przepisów rozporządzenia, powinien przyjąć wewnętrzne polityki. Tym samym nowe zasady ochrony danych osobowych wymagają opracowania nowej dokumentacji.
Ważne
Po 25 maja 2018 r. administratorzy danych muszą spełniać wszystkie wymagania przewidziane przepisami rozporządzenia, w tym w zakresie dokumentacji ochrony danych osobowych.
Czy administrator danych ma obowiązek powołać inspektora ochrony danych?
Podstawowym dokumentem, który powinien zostać utworzony przez administratora danych, jest analiza konieczności powołania inspektora ochrony danych (IOD). Jak stanowi art. 37 ust. 1 rozporządzenia, obowiązek wyznaczenia inspektora ochrony danych dotyczy sytuacji, w których:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Ważne
Poradnie jako podmioty sektora finansów publicznych mają obowiązek powołania inspektora ochrony danych – wynika to wprost z treści cytowanego wyżej art. 37 ust. 1 pkt a rozporządzenia. W innych formach prawnych muszą taką analizę opracować i dołączyć do dokumentacji dotyczącej ochrony danych osobowych w danej placówce.
Rejestr czynności przetwarzania
Obowiązek prowadzenia rejestru czynności przetwarzania został nałożony na administratorów danych w art. 30 rozporządzenia. Regulacja ta określa także zawartość rejestru czynności przetwarzania, który powinien zawierać:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
- cele przetwarzania
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
