Dzisiejszy wpis jest kontynuacją cyklu artykułów pt. „Polityka Bezpieczeństwa dziś i po 25 maja 2018 roku (RODO)”. W ostatnim artykule [link do artykułu] omówione zostały kwestie zawiązane z dokumentami Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych.
Polityka Bezpieczeństwa i wskazana powyżej instrukcja to dwa podstawowe dokumenty, które winna posiadać każda organizacja pracująca z danymi osobowymi. Jak już podkreślono, organizacja ta nie musi w swej działalności prowadzić akcji marketingowych, a co za tym idzie posiadać zbiory danych wymagające rejestracji w GIODO. Zbiór danych pracowników, choć korzysta z wyłączenia rejestracyjnego w GIODO, powinien być niezależnie od braku przytoczonego obowiązku rejestracji tak czy tak chroniony, a jednym z podstawowych wymogów do spełnienia w tym przypadku, po pierwsze jest posiadanie Polityki Bezpieczeństwa, po drugie jej implementacja do zasad funkcjonowania przedsiębiorstwa.
Co jeszcze powinno znaleźć się w dokumencie Polityki Bezpieczeństwa?
Już na obecnym etapie, niezależnie od zmian, które przewiduje Rozporządzenie o Ochronie Danych Osobowych Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO – GDPR) Polityka Bezpieczeństwa powinna zawierać dodatkowo:
– Procedurę postępowania w przypadku wystąpienia naruszenia – tzw. system reakcji na incydenty,
– Ścieżkę podstępowania w przypadku wystąpienia wniosku informacyjnego od osoby, której dane dotyczą;
– Ścieżkę postepowania w przypadku złożenia sprzeciwu co do przetwarzania danych osobowych do celów marketingu bezpośredniego.
Jakie zmiany będą obowiązywać w treści dokumentacji po 25 maja 2018 roku?
Niezależnie od powyższego przytoczone Rozporządzenie Parlamentu Europejskiego i Radu (UE), które zacznie obowiązywać w europejskim i bezpośrednio polskim porządku prawnym, bez potrzeby implementacji, z dniem 25 maja 2018 r. wymaga zmiany treści dotychczasowej dokumentacji w postaci dodania doń nowych elementów. Wskazane Rozporządzenie nie traktuje wprost o obowiązku posiadania dokumentu Polityka Bezpieczeństwa, jednak „upgrade” dotychczasowej dokumentacji wydaje się być najlepszym rozwiązaniem w celu spełnienia obowiązków ujętych w Rozporządzeniu.
Patrząc na treść art. 24 RODO traktującego o obowiązkach administratora:
„1.Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.”
Polityka Bezpieczeństwa po nowemu powinna zawierać dotychczasowe przemyślenia danej organizacji w zakresie ochrony danych osobowych i tajemnicy przedsiębiorstwa, w tym także wynikające ze specyfiki danej branży, ale jednocześnie powinna spełniać wymogi przewidziane dla nowych rozwiązań ujętych w RODO, tj. na przykładzie egzemplifikacji:
– kwestie spełnienia nowego rodzaju obowiązków informacyjnych oraz praw osób, których dane dotyczą, w tym „prawa do bycia zapomnianym”;
– zasad privacy by design oraz privacy by default;
– notyfikacji organowi nadzorczemu wystąpienia incydentu w zakresie przetwarzania danych osobowych;
– notyfikacji osobie, której dane dotyczą incydentu dotyczącego naruszenia lub wycieku danych jej dotyczących,
– prawa do przenoszalności danych;
– oceny skutków dla przetwarzania danych osobowych (privacy impact assessment).
Leszek Przybyłka, adwokat Kraków, czerwiec 2017 roku
Dodaj komentarz