Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Podziel się...

Cyfrowe platformy zakupowe

07 Listopad 2017 
Od 18 października 2018 r. do przeprowadzenia kompletnego zamówienia publicznego wymagane...

Fundusze norweskie i EOG

07 Listopad 2017 
Zakończyły się negocjacje dotyczące III edycji tzw. Funduszy norweskich i EOG. Do Polski...

Partnerstwo innowacyjne

07 Listopad 2017 
W związku z wprowadzonym w pzp nowym trybem, jakim jest partnerstwo innowacyjne, UZP...

Wymagania dokumentacyjne

Data publikacji: 07-11-2017 Autor: Piotr Siemieniak
Autor: Rys. B. Brosz

Niebawem konieczne stanie się stosowanie przepisów rodo, które zawiera wymogi w zakresie prowadzenia dokumentacji przetwarzania danych. Czy dokumenty dotychczas obowiązujące w tym zakresie mogą być podstawą dla realizacji nowych przepisów?

Na przestrzeni 20 lat administratorzy danych osobowych (dalej: ADO) musieli realizować wymogi dokumentacyjne na mocy kolejnych aktów prawnych, ostatnio rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024; dalej: rozporządzenie z 2004 r.). Czy konstrukcje w nim zawarte są zbliżone do wymagań z ogólnego rozporządzenia o ochronie danych (dalej: rodo), czy mogą stanowić punkt wyjścia dla organizacji ochrony danych osobowych „po nowemu”?

Regulacje dotyczące dokumentacji przetwarzania

W momencie wejścia Polski do UE 1 maja 2004 r. został uchylony art. 45 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 922; dalej: uodo) oraz akty wykonawcze wydane na tej podstawie. Przepis ten wskazywał, że podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zostaną uregulowane w drodze rozporządzenia. Zostały one określone w rozporządzeniu z 3 czerwca 1998 r. Jego prawnym następcą jest rozporządzenie z 2004 r., które weszło w życie 1 maja 2004 r. i jest obecnie aktem obowiązującym.

25 maja 2018 r. rozpocznie się stosowanie przepisów rodo, a ponieważ zostanie uchylona obecna uodo, przestaną także obowiązywać jej akty wykonawcze. W tej sytuacji mogą powstać wątpliwości związane z procesami zapewnienia zgodności przetwarzania danych po rozpoczęciu stosowania rodo. W celu zweryfikowania, czy regulacje zawarte w rodo są rewolucyjne, należy prześledzić, jakie wymogi stawia rodo w zakresie prowadzenia dokumentacji ochrony danych oraz warunków technicznych i organizacyjnych oraz zestawić je z obowiązującymi przepisami.

Wymogi dokumentacyjne w rodo

Na gruncie obowiązujących przepisów administratorzy danych są zobowiązani wprost do prowadzenia dokumentacji przetwarzania danych w postaci polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Prowadzenie tej dokumentacji dotyczy wszystkich administratorów danych niezależnie od skali przetwarzania czy rodzaju danych osobowych, które są przetwarzane. Ponadto rozporządzenie z 2004 r. wymaga spełnienia pewnych warunków formalnych w celu zapewnienia zgodności prowadzenia dokumentacji. W takiej sytuacji dokumentacja jest często wdrażana tylko po to, aby spełnić wymogi prawne na wypadek kontroli, co prowadzi do pewnych fikcji.

Ustawodawca unijny w rodo wprowadza inne mechanizmy ochrony prywatności jednostki. Kładzie nacisk na wykazanie rozliczalności przez administratorów danych, czyli na konieczność udowodnienia przestrzegania przepisów. Prowadzenie odpowiedniej dokumentacji przetwarzania danych, której struktura jest w pewnym sensie odformalizowana, może być środkiem umożliwiającym osiągnięcie rozliczalności.

Nowe uregulowania w zakresie obowiązków dokumentacyjnych w znacznym stopniu różnią się od tych, które obowiązują obecnie. Administratorzy danych muszą zatem zastanowić się nad zaktualizowaniem dokumentacji przetwarzania danych. Należy to zrobić tak, aby wykorzystać jak największą liczbę dotychczas wdrożonych mechanizmów wynikających z obowiązujących przepisów prawa.

Opracowanie polityk ochrony danych

Obecnie administrator danych jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzania. Takie wymogi stawia również rodo. Stosownie do art. 24 ust. 2 rodo, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, wdrożenie odpowiednich środków technicznych i organizacyjnych obejmuje również wdrożenie odpowiednich polityk ochrony danych. Oznacza to, że prowadzenie dokumentacji przetwarzania danych w formie polityk ochrony danych nie jest bezwzględnie obligatoryjne jak teraz.

[...]

Piotr Siemieniak
właściciel firmy upsecure.pl, zajmującej się ochroną danych osobowych i wytwarzaniem oprogramowania; asystent na Wydziale Prawa i Administracji Uniwersytetu Gdańskiego

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

All rights reserved © 2012 Presscom / Miesięcznik Przetargi Publiczne