Ani RODO, ani nowa ustawa o ochronie danych osobowych, nie zawierają szczegółowych regulacji w zakresie prowadzenia dokumentacji przetwarzania danych osobowych. Unijny ustawodawca pozostawił w tym zakresie administratorom danych pewną swobodę. Prezes Urzędu Ochrony Danych Osobowych opublikował swoje zalecenia w tym zakresie.
Motyw 78 preambuły RODO stanowi, że aby móc wykazać przestrzeganie jego przepisów, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Na łamach Gazety wskazywaliśmy, że dokumenty wdrożone na podstawie uprzednio obowiązującej ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych, po dostosowaniu ich do obowiązujących od 25 maja br. przepisów, będą mogły być z powodzeniem stosowane. Nasze stanowisko potwierdza Prezes Urzędu Ochrony Danych Osobowych, w informacji zawartej na stronie internetowej nowego urzędu: www.uodo.gov.pl.
Prezes UODO zwraca uwagę, że oprócz unijnego rozporządzenia i polskiej ustawy o ochronie danych osobowych, administratorów danych obowiązują również przepisy dotyczące konkretnych dziedzin, jak np. rozporządzenia:
Prezes UODO zwraca uwagę, że brak w RODO wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych nie oznacza braku takiego obowiązku.
Dokumentowania niewątpliwie wymagają:
Przy czym warto zauważyć, że te podmioty, które mają obowiązek prowadzenia tych dokumentów, mogą nadać im dowolną nazwę czy wybrać dla nich dowolną strukturę. Dokumentacja ta musi natomiast zawierać elementy określone wyraźnie w przywołanych przepisach RODO.
Prezes UODO informuje, że jeśli prowadzona dotychczas według obowiązujących wymagań dokumentacja zawierała konieczne elementy, takie jak inwentaryzacja zasobów informacyjnych, opis i przepływy danych między systemami czy specyfikację środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa, to w pełni można je przenieść do nowej dokumentacji. Przygotowując dokument, którego celem ma być wykazanie zgodności przetwarzania danych z wymaganiami określonymi w RODO, należy zweryfikować dotychczasowe dokumenty składające się na politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi, a także ewidencję prowadzonych upoważnień do przetwarzania danych, czy uprawnień do poszczególnych funkcji użytkowanych systemów informatycznych. Nie ma również przeszkód, aby po prostu uzupełnić dotychczas stosowaną dokumentację o nowe elementy. Te nowe elementy, które pojawiły się wraz z wejściem w życie unijnej reformy przepisów dotyczących ochrony danych osobowych, to:
W związku z tym, że ochrona danych osobowych zgodna z RODO powinna opierać się na prowadzonej systematycznie analizie ryzyka, to zakres dokumentacji należy dostosować do zakresu, rodzaju i celu przetwarzanych danych osobowych. Administratorzy danych, którzy nie są obciążeni wysokim ryzykiem naruszenia zasad ochrony danych osobowych, nie przetwarzają danych osobowych na szeroką skalę, nie monitorują danych osobowych w systemach elektronicznych, nie przetwarzają danych osobowych szczególnej kategorii, np. o stanie zdrowia, mogą znacząco ograniczyć zakres prowadzonej dokumentacji.
Nowy zakres dokumentacji zalecany przez Prezesa UODO
|
|