Administrator danych musi prowadzić dokumentację przetwarzania danych osobowych, na którą składa się w szczególności polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Obecnie obowiązujące przepisy dają konkretne wskazówki, w jaki sposób dokumentacja powinna być prowadzona i co powinna zawierać. Sprawdź, jak będzie, gdy unijne rozporządzenie o ochronie danych zacznie być stosowane.
Ogólne rozporządzenie o ochronie danych, które będzie stosowane od 25 maja 2018 r., w przeciwieństwie do polskich przepisów, nie nakłada na administratora wprost obowiązku prowadzenia dokumentacji przetwarzania danych osobowych. Wskazuje jednak, że musi on wdrożyć odpowiednie środki techniczne i organizacyjne, aby skutecznie chronić dane osobowe.
Rozporządzenie ogólne wskazuje, że aby spełnić jego wymogi, konieczne jest wdrożenie przez administratorów danych odpowiednich środków technicznych i organizacyjnych służących ochronie danych. Żeby ADO mógł wykazać, że przestrzega postanowień rozporządzenia, powinien przyjąć wewnętrzne polityki oraz wdrożyć odpowiednie środki techniczne i organizacyjne.
Instrukcja zarządzania systemem informatycznym jest jednym ze środków ochrony danych osobowych. Powinna zatem spełniać te wymagania, które rozporządzenie ogólne odnosi do zabezpieczeń danych osobowych. Zgodnie z ogólnym rozporządzeniem środki ochrony danych osobowych powinny:
Zgodnie z unijnym rozporządzeniem zastosowane środki służące ochronie danych osobowych powinny być odpowiednie do stopnia ryzyka związanego z przetwarzaniem danych.
Przetwarzanie danych osobowych zgodnie z rodo powinno odbywać się w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji. Administrator danych powinien wykazać, że wdrożył odpowiednie środki, aby zapewnić:
Techniczne aspekty ochrony danych w instrukcji zarządzania powinny być zatem odpowiednie do stopnia zagrożenia bezpieczeństwa danych. Jeśli ADO chce ocenić, czy przyjęty przez niego stopień bezpieczeństwa jest odpowiedni, musi uwzględnić w szczególności ryzyko wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych. Ponadto, aby osiągnąć odpowiedni poziom ochrony danych osobowych, powinien wziąć pod uwagę stan wiedzy technicznej, koszty wdrażania zabezpieczeń oraz uwzględnić charakter i cele przetwarzania danych osobowych.
Im bardziej działalność administratora ingeruje w prywatność osób fizycznych, tym więcej środków technicznych i organizacyjnych (lub bardziej zaawansowane środki) powinien wdrożyć. Dotyczy to także sposobu prowadzenia i zawartości instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Rozporządzenie ogólne w kilku miejscach opisuje wymogi bezpieczeństwa danych osobowych, które powinny być przez administratora danych brane pod uwagę. Wprowadza zasadę uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz zasadę domyślnej ochrony danych (privacy by default). Wskazuje, że środki ochrony danych osobowych powinny zapewnić:
Rozporządzenie wymienia także przykładowe rodzaje zabezpieczeń, które mogą być stosowane w celu ochrony danych osobowych, np. pseudonimizację i szyfrowanie danych osobowych czy minimalizację przetwarzania danych osobowych. W instrukcji zarządzania systemem informatycznym należy zatem uwzględnić wymogi bezpieczeństwa danych osobowych opisane w unijnym rozporządzeniu.
Od 25 maja 2018 r. administrator danych musi nie tylko przestrzegać, ale i potrafić wykazać, że przestrzega postanowień rozporządzenia ogólnego. Oznacza to, że nie tylko może, ale powinien wprowadzić bądź zaktualizować wewnętrzną dokumentację z zakresu przetwarzania danych osobowych. Rozporządzenie mówi o „wewnętrznych politykach”, nie rozstrzygając o rodzaju i sposobie prowadzenia dokumentacji. To ADO zadecyduje zatem o formie i sposobie prowadzenia dokumentacji z zakresu przetwarzania danych osobowych.
Jedyne, co musi mieć na względzie, to wynikające z rozporządzenia ogólnego obowiązki administratorów danych. Ich realizację powinien do celów dowodowych obrazować stosowną dokumentacją. Może zatem wdrożyć jednolitą politykę wewnętrzną obejmującą kompleksowo kwestie regulowane dotąd w polityce bezpieczeństwa i instrukcji zarządzania, a dodatkowo uwzględnić w niej nowe obowiązki wynikające z rozporządzenia.
Może także pozostać przy funkcjonującym obecnie na gruncie polskich przepisów podziale na politykę bezpieczeństwa i instrukcję zarządzania oraz w osobnych dokumentach wdrożyć procedury wymagane przez rozporządzenie. Niezależnie od przyjętego rozwiązania musi być świadomy, że dokumentacja przetwarzania danych osobowych powinna przede wszystkim stanowić skuteczny środek ochrony danych osobowych.
Instrukcja zarządzania powinna zawierać jasne i konkretne rozwiązania, tak aby mogła być stosowana w praktyce. Nie może być celem samym w sobie. Wypełnienie formalności i stworzenie instrukcji zarządzania nie będzie automatycznie oznaczało, że ADO stosuje się do regulacji ogólnego rozporządzenia.
O tym, jak ważne są zabezpieczenia danych osobowych wynikające m.in. z instrukcji zarządzania, świadczy wprowadzenie w ogólnym rozporządzeniu o ochronie danych obowiązku powiadamiania o naruszeniu ochrony danych. Administrator danych jest zobligowany do zgłoszenia właściwemu organowi nadzorczemu incydentu polegającego na przypadkowym lub niezgodnym z prawem zniszczeniu, utracie, modyfikacji, nieuprawnionym ujawnieniu lub nieuprawnionym dostępie do przetwarzanych danych osobowych.
Naruszenie trzeba zgłosić niezwłocznie, jednak nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli ADO przekaże zgłoszenie po upływie 72 godzin, będzie musiał wyjaśnić przyczyny opóźnienia. Zawiadomienie o naruszeniu danych nie jest wymagane w przypadku, gdy jest mało prawdopodobne, że naruszenie mogło spowodować zagrożenie dla praw i wolności osób, których dane dotyczą.
Oprócz regulacji odnoszących się do zabezpieczeń, w instrukcji zarządzania można umieścić schematy postępowania, które pozwolą administratorowi reagować w sytuacjach naruszeń ochrony danych. Niedopełnienie obowiązku zgłoszenia naruszenia, gdy jest ono wymagane, może wiązać się z karą finansową.
Administrator danych już teraz powinien podjąć działania, aby dostosować się do unijnych wymagań w sprawie ochrony danych osobowych na czas. Powinien przeanalizować, czy konieczne jest wprowadzenie dodatkowych zabezpieczeń danych osobowych, czyli pseudonimizacji czy szyfrowania danych osobowych. Możliwe, że aktualizacji będzie wymagała dotychczas obowiązująca u instrukcja zarządzania, np. poprzez umieszczenie w niej procedur dotyczących naruszeń ochrony danych osobowych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
