- Obecnie stosowana dokumentacja przetwarzania danych w bardzo szerokim zakresie może być wykorzystana również po wejściu do stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO) - mówi dr Andrzej Kaczmarek dyrektor departamentu informatyki w Biurze Generalnego Inspektora Ochrony Danych Osobowych
Obecnie stosowana dokumentacja przetwarzania danych w bardzo szerokim zakresie może być wykorzystana również po wejściu do stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO). Przepisy te bowiem – poza wprost wskazanym obowiązkiem prowadzenia rejestru czynności przetwarzania i raportem z oceny skutków dla ochrony danych, których określono niezbędną zawartość – nie narzucają wymagań w zakresie sposobu dokumentowania stosowanych procedur czy środków bezpieczeństwa.
Dlatego obecnie prowadzona dokumentacja, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek prowadzenia takiej dokumentacji wynika z art. 24 RODO, który stanowi, że administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Opracowana w powyższy sposób dokumentacja powinna zatem opisywać zastosowane w powyższym celu procedury i środki techniczne.
Przepisy obecnie obowiązującej ustawy o ochronie danych osobowych oraz rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych dość dokładnie określają wymagania w zakresie zagadnień, jakie powinny być zawarte w dokumentacji przetwarzania danych osobowych. RODO natomiast – poza wymaganiami dotyczącymi zawartości rejestru czynności przetwarzania i raportu z oceny skutków – daje administratorom pełną swobodę. Nawet wprost nie ustanawia obowiązku prowadzenia czy posiadania dokumentacji przetwarzania danych osobowych, nie wspominając już o wymaganiach dotyczących jej zawartości. Jednak nie oznacza to, że dokumentacja przetwarzania danych osobowych po rozpoczęciu stosowania RODO nie będzie wymagana.
Zgodnie z RODO sprawdzenia dotyczące organizacyjnego przygotowania się administratorów danych do przetwarzania danych osobowych z uwzględnieniem zasad określonych w tym akcie prawnym będą wykonywane przez GIODO z wykorzystaniem przysługujących mu narzędzi i w toku realizacji zadań wskazanych w art. 57 i 58 RODO. Wśród nich wymienić można m.in.:
- monitorowanie i egzekwowanie stosowania przepisów RODO,
- prowadzenie postępowań w związku z rozpatrywaniem skarg oraz informacji otrzymanych od innych organów nadzorczych,
- prowadzenie postępowań w formie audytów ochrony danych,
- dokonywanie przeglądu udzielonych certyfikacji.
Niezależnie od możliwości sprawdzenia przez GIODO organizacyjnego przygotowania się administratorów danych i podmiotów przetwarzających do wymagań RODO trzeba pamiętać, że administratorzy danych i podmioty przetwarzające będą poddawani swego rodzaju kontroli ze strony osób, których dane przetwarzają. Jeśli uznają one, że dochodzi w tym zakresie do nieprawidłowości, mają prawo, zgodnie z art. 79 RODO, wniesienia sprawy do sądu. Ponadto jeżeli osoba, której dane są przetwarzane, w wyniku naruszenia zasad przetwarzania poniosła szkodę majątkową lub niemajątkową, ma prawo do żądania z tego tytułu odszkodowania od administratora lub podmiotu przetwarzającego.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu