Czy zgodnie z RODO wciąż będzie można prowadzić dotychczasową dokumentację ochrony danych

Rozdział piąty ustawy o ochronie danych osobowych (uodo) reguluje zagadnienia dotyczące zabezpieczenia danych osobowych. Zgodnie z art. 36 uodo administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, co ma być odpowiednie do zagrożeń oraz kategorii danych objętych ochroną. W szczególności administrator powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Co więcej, administrator danych zobowiązany jest do prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz zastosowania środków technicznych i organizacyjnych.

Zgodnie z rozporządzeniem wykonawczym do uodo (w sprawie dokumentacji przetwarzania danych osobowych) na dokumentację opisującą sposób przetwarzania danych osobowych oraz zastosowane środki techniczne i organizacyjne składa się utrwalona już w praktyce polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Do najważniejszych zagadnień regulowanych treścią polityki bezpieczeństwa należy:

• wykaz budynków, pomieszczeń ich części tworzących obszar, w którym przetwarzane są dane osobowe,
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania,
• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
• sposób przepływu danych pomiędzy poszczególnymi systemami,
• określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. 

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych znajduje zastosowanie w przypadku, gdy ADO przetwarza dane osobowe w systemie informatycznym. Dokument ten powinien zawierać:

• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazania osoby odpowiedzialnej za te czynności,
• metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczonych dla użytkowników systemu,
• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
• opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
• opis sposobu zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania,
• sposób realizacji wymogów bezpieczeństwa oraz rejestracji określonych operacji na danych,
• procedury wykonania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Dokumentem, o którym również warto pamiętać, jest instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych. Chociaż obowiązek jej przygotowania nie wynika wprost z przepisów uodo, w praktyce posiadanie go jest niezbędne do zapewnienia prawidłowego funkcjonowania jednostki organizacyjnej w razie zaistnienia sytuacji krytycznej, tzn. wystąpienia nieplanowanego incydentu w przetwarzaniu danych osobowych. Opisywany dokument powinien być swoistą procedurą wskazującą krok po kroku działanie osoby odpowiedzialnej za incydent – ABI lub ADO.

Dotychczasowe przepisy prawa ochrony danych osobowych nakazują prowadzenie odpowiedniej, konkretnej i zindywidualizowanej dokumentacji zapewniającej legalne przetwarzanie danych osobowych. Ogólne rozporządzenie o ochronie danych (RODO) odchodzi od tego rodzaju kazuistyki, nie precyzując jednocześnie dokładnego zakresu tego rodzaju dokumentów. Czy to jednak oznacza, że katalog dokumentów składających się na dokumentację opisującą sposób przetwarzania danych osobowych utraci swoją adekwatność lub funkcjonalność i użyteczność?

Zgodnie z intencją ustawodawcy europejskiego, która została wyrażona w motywie 78 ogólnego rozporządzenia o ochronie danych (RODO), administrator danych będzie dysponował większą elastycznością przy podejmowaniu, opisywaniu i wdrażaniu środków gwarantujących organizacyjne i techniczne bezpieczeństwo przetwarzania danych osobowych. W konsekwencji, jak precyzuje treść motywu 78 ogólnego rozporządzenia o ochronie danych (RODO), idzie o wdrożenie odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów ogólnego rozporządzenia o ochronie danych (RODO).

Aby móc wykazać przestrzeganie ogólnego rozporządzenia o ochronie danych (RODO), administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na:

• minimalizacji przetwarzania danych osobowych,
• jak najszybszej pseudonimizacji danych osobowych,
• przejrzystości co do funkcji przetwarzania danych osobowych,
• umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych,
• umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy też brać pod uwagę w przetargach publicznych. Rozwinięciem tak rozumianej zasady jest treść art. 24 ogólnego rozporządzenia o ochronie danych (RODO). Zgodnie z nią ADO zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych realizujących wytyczne RODO, co powinien udowodnić, a przynajmniej uprawdopodobnić. Środki te należy aktualizować, w razie zaistnienia odpowiednich przesłanek.

Przesłanki te z kolei opisują okoliczności wpływające na stan faktyczny determinujący podjęcie adekwatnych rozwiązań dla legalnego przetwarzania danych osobowych, np. konieczność wdrożenia procedury usunięcia lub sprostowania danych osobowych, których przetwarzanie nie jest prawidłowe ze względu na cel ich przetwarzania, zrealizowanie „prawa do bycia zapomnianym” względem osoby, której dane dotyczą, jeśli środki podjęte przez ADO nie przewidywały takiej możliwości.

Realizując zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych, ustawodawca europejski zachęca do wdrożenia odpowiednich polityk ochrony danych czy też stosowania zatwierdzonych kodeksów postępowania. Co niezmiernie istotne, osią ochrony danych osobowych według nowych przepisów jest konieczność spełnienia założeń ogólnego rozporządzenia o ochronie danych (RODO). Wśród nich należy brać pod uwagę:

• stan wiedzy technicznej,
• koszt wdrażania,
• charakter,
• zakres,
• kontekst i cele przetwarzania oraz
• ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania.

Zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania administrator wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń.

Co więcej, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne do osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych (art. 25 ogólnego rozporządzenia o ochronie danych – RODO).