Dzisiejszy wpis jest ostatnim z cyklu artykułów pt. „Polityka Bezpieczeństwa dziś i po 25 maja 2018 roku (RODO)”. Szerzej na temat dokumentów Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych, a także wymagalnych zmian w ich treści po 25 maja w 2018 roku przeczytasz w części I [link] oraz w części II [link].
Jak przygotować się do wdrożenia zmian, które będą czekać po 25 maja 2018 roku? Czy brak regulacji RODO grozi sankcją?
Drogi do zgodności, w zależności od dotychczasowego stopnia przygotowania organizacji, są dwie. Tam, gdzie w oparciu o obecnie obowiązujące przepisy, dokumentacja w postaci Polityki Bezpieczeństwa jest niekompletna lub nieaktualna, należy ją uzupełnić w stopniu zgodnym z obecnymi przepisami jak i nowymi regulacjami z RODO – uwaga o treści z jednej strony zgodne z prawem, z drugiej możliwej do implementacji w danej organizacji – papier przyjmie wszystko, organizacja nie zawsze. W drugim przypadku, przy braku posiadanej obecnej dokumentacji wskazane jest stworzenie dokumentacji od podstaw zgodnej z obecnym jak i przyszłym porządkiem prawnym. Po 25 maja 2018 roku administracyjne kary pieniężne za brak stosowania regulacji RODO sięgać mogą 20 mln Euro lub do 4 procent całkowitego rocznego przychodu światowego danej organizacji z poprzedniego roku obrotowego* (*zastosowanie ma kwota wyższa) i jak to zapisano literalnie w RODO kary w każdym indywidualnym przypadku powinny być „skuteczne, proporcjonalne i odstraszające”. Podkreślenia wymaga fakt, iż stwierdzenie, iż zostało niewiele ponad rok na przygotowanie i wdrożenie dokumentacji, jest zarówno trafione jak i nie trafione. Patrząc przez pryzmat sankcji, które grożą po 25 maja 2018 r. można powiedzieć, iż jest ono trafne. Z drugiej zaś strony jak to już powiedziano na początku, obowiązek posiadania Polityki Bezpieczeństwa dotyczy zdecydowanej większości z nas już ciągle teraz, przy czym obarczony jest obecnie „jedynie” karą administracyjną ze strony GIODO w kwocie do 50 tys. zł (200 tys. zł w przypadku wielokrotnego złamania przepisów w przypadku podmiotów prawnych/ odpowiednio do 10 tys. i do 50 tys. w przypadku osób fizycznych).
Czy pojęcia Polityki Prywatności oraz Polityki Bezpieczeństwa są jednoznaczne?
Pragnę jeszcze, jak to wskazał sam GIODO, podkreślić różnicę w zakresie pojęć „Polityka Bezpieczeństwa”, a „Polityka Prywatności”, gdyż nie są to pojęcia jednoznaczne. Ten drugi jest dokumentem powszechnie dostępnym, jawnym w szczególności dla klientów danej organizacji i najczęściej jest zamieszczany na jej stronie internetowej. Traktuje on o celach, podstawach prawnych ora zakresie przetwarzania danych osób, których dane dotyczą, w tym o możliwości i sposobie złożenia sprzeciwu co do przetwarzania danych w celach marketingu bezpośredniego. Polityka Bezpieczeństwa jest zaś dokumentem wewnętrznym w organizacji, dostępnym jedynie dla wąskiego kręgu osób wewnątrz, które są zobowiązane do zachowania w tajemnicy sposobu zabezpieczania danych. Oba obowiązki są od siebie niezależne, choć de facto sama Polityka Prywatności wynika raczej z kodeksu dobrych praktyk. Stosowanie niezależnie Polityki Bezpieczeństwa jest literalnym wymogiem prawnym.
Wszystkich z Państwa, którzy mają na uwadze spełnienie w swojej organizacji, obecnych jak i przyszłych (RODO) wymogów prawnych w zakresie ochrony danych osobowych jak i tajemnicy przedsiębiorstwa zachęcam do konsultacji, w tym z możliwością prezentacji szkolenia z zakresu ochrony danych osobowych i nowego RODO dla kadry zarządzającej, jak i pracowników na pierwszej linii frontu. Zmiany, które nas czekają w zakresie procesu przetwarzania danych osobowych po 25 maja 2018 roku są fundamentalne, nie tylko z perspektywy przytoczonych sankcji.
Leszek Przybyłka, adwokat Kraków, czerwiec 2017 roku
Dodaj komentarz