OPUBLIKOWANO: 13 MARCA 2018
Dokumentacja ochrony danych po zmianach. Część I
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE. L 119/1),
- Projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych (z 12 września 2017 r.).
Od 25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Polityka bezpieczeństwa i instrukcja zarządzania zostają, ale nie jako podstawowa, a dodatkowa dokumentacja ochrony danych osobowych. Trzeba będzie jednak zweryfikować, czy zawarte w nich informacje są aktualne i czy odpowiadają rzeczywistości. Ustalenie, jak powinna brzmieć treść takich dokumentów pod kątem przepisów RODO, wymaga przeprowadzenia przez administratora danych analiz ryzyka.
Rodzaje dotychczasowej dokumentacji
Dokumentację ochrony danych możemy podzielić na dwie główne grupy: wewnętrzną i zewnętrzną. RODO nic w tym zakresie nie zmieni. Zmiany dotyczą poszczególnych dokumentów w ramach tych grup.
W dokumentach wewnętrznych powinny zostać zawarte informacje o tym, jak postępuje się z danymi osobowymi w poradni: gdzie dane są przetwarzane, w jaki sposób, jakie zabezpieczenia zostały wdrożone, jakie procedury, kto ma upoważnienia, gdzie są ewidencjonowane. Są to: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych, upoważnienia dla pracowników, ewidencja upoważnień oraz pisma zgody na przetwarzanie danych.
RODO przewiduje również obowiązki administratora skierowane na zewnątrz, czyli tzw. obowiązki informacyjne. Obowiązek informacyjny polega na konieczności przekazania użytkownikowi określonych informacji związanych z przetwarzaniem jego danych osobowych (pisma zawierające klauzule informacyjne). Do zewnętrznych dokumentów zaliczamy również umowy powierzenia przetwarzania danych, w przypadku kiedy placówka udostępnia dane podmiotom z zewnątrz.
Co należy zmienić?
RODO nie określa, jakie dokumenty trzeba posiadać (z małymi wyjątkami, o których będzie w dalszej części) ani jaka ma być ich treść. Nowe obowiązki to poważne wyzwanie dla administratora ze względu na brak gotowych rozwiązań. RODO nie wskazuje wprost, jakie procedury i polityki należy wdrożyć. Ogólnie wspomina, że to podmiot musi się wykazać starannością w zabezpieczeniu tych procesów, aby podczas przetwarzania danych osobowych nie doszło do nieprawidłowości.
Ważne!
Od 25 maja 2018 r. nie będzie już bezwzględnego obowiązku posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi czy innych dokumentów. Zgodnie z RODO stworzenie właściwej dokumentacji pozostaje w gestii placówek, a treść dokumentów ma być uzależniona od oceny ryzyka dla poszczególnych administratorów danych. Administrator będzie mógł samodzielnie zadecydować, czy takie dokumenty są potrzebne ze względu na skalę, cele, zakres i kontekst przetwarzania danych osobowych.
Stare dokumenty wciąż przydatne
