OPUBLIKOWANO: 23 LUTEGO 2018
Dokumentacja ochrony danych po zmianach – część 1
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE. L 119/1),
- Projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych (z 12 września 2017 r.).
Jakie dokumenty i procedury – w myśl nowych przepisów o ochronie danych osobowych – obowiązywać będą w przedszkolu po 25 maja? Co zrobić z dotychczas wykorzystywaną dokumentacją? Zachęcamy do lektury kolejnej części cyklu.
Od 25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Polityka bezpieczeństwa i instrukcja zarządzania zostają, ale nie jako podstawowa, a dodatkowa dokumentacja ochrony danych osobowych. Trzeba będzie jednak zweryfikować, czy zawarte w nich informacje są aktualne i czy odpowiadają rzeczywistości. Ustalenie, jak powinna brzmieć treść takich dokumentów pod kątem przepisów RODO, wymaga przeprowadzenia przez administratora danych analiz ryzyka.
Rodzaje dotychczasowej dokumentacji
Dokumentację ochrony danych możemy podzielić na dwie główne grupy: wewnętrzną i zewnętrzną. Rozporządzenie nic w tym zakresie nie zmieni. Zmiany dotyczą poszczególnych dokumentów w ramach tych grup.
W dokumentach wewnętrznych powinny zostać zawarte informacje o tym, jak postępuje się z danymi osobowymi w przedszkolu: gdzie dane są przetwarzane, w jaki sposób, jakie zabezpieczenia zostały wdrożone, jakie procedury, kto ma upoważnienia, gdzie są ewidencjonowane. Są to: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych, upoważnienia dla pracowników, ewidencja upoważnień oraz pisma zgody na przetwarzanie danych.
Rozporządzenie unijne przewiduje również obowiązki administratora skierowane na zewnątrz, czyli tzw. obowiązki informacyjne. Obowiązek informacyjny polega na konieczności przekazania użytkownikowi określonych informacji związanych z przetwarzaniem jego danych osobowych (pisma zawierające klauzule informacyjne). Do zewnętrznych dokumentów zaliczamy również umowy powierzenia przetwarzania danych, w przypadku gdy przedszkole udostępnia dane podmiotom z zewnątrz.
Co należy zmienić?
W RODO nie określono, jakie dokumenty trzeba posiadać (z małymi wyjątkami, o których będzie w dalszej części) ani jaka ma być ich treść. Nowe obowiązki to poważne wyzwanie dla administratora ze względu na brak gotowych rozwiązań. Przepisy RODO nie wskazują wprost, jakie procedury i polityki należy wdrożyć. Ogólnie wspominają, że to podmiot musi się wykazać starannością w zabezpieczeniu tych procesów, aby podczas przetwarzania danych osobowych nie doszło do nieprawidłowości.
Ważne!
Od 25 maja 2018 r. nie będzie już bezwzględnego obowiązku posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi czy innych dokumentów. Zgodnie z RODO stworzenie właściwej dokumentacji pozostaje w gestii przedszkoli, a treść dokumentów ma być uzależniona od oceny ryzyka dla poszczególnych administratorów danych. Administrator będzie mógł samodzielnie zadecydować, czy takie dokumenty są potrzebne ze względu na skalę, cele, zakres i kontekst przetwarzania danych osobowych.
Stare dokumenty wciąż przydatne
