Przestrzeganie RODO to obowiązek Administratora Danych

Ponieważ RODO nie definiuje wprost tego, czym w praktyce są polityki administratora, należy sięgnąć do art. 24 ust. 1 oraz ust. 2 RODO. Zgodnie z tymi przepisami ADO musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO. Następnie ADO ocenia, czy te środki, w odniesieniu do zasady proporcjonalności, wymagają wdrożenia odpowiednich polityk.

Zgodnie z motywem 78 RODO polityki mają pomóc ADO wykazać, że przestrzega przepisów rozporządzenia, oraz zapewnić przetwarzanie danych zgodnie z zasadami privacy by design i privacy by default. Politykami mogą być również wiążące reguły korporacyjne, kodeks branżowy oraz inne regulacje czy też procedury, które obligują ADO do ich stosowania. Czy w związku z tym ADO może posługiwać się dalej dotychczasową polityką ochrony danych osobowych oraz instrukcją zarządzania systemem informatycznym? Tak, ale pod pewnymi warunkami. Należy pamiętać, że zgodnie z RODO polityki bezpieczeństwa nie są obowiązkowe. Można znaleźć takie polityki i instrukcje zarządzania systemem informatycznym, które nie odpowiadają wymogom obecnie obowiązujących przepisów, są ubogie, zbyt ogólne, nie zawierają wszystkich elementów. W takiej sytuacji właściwe będzie przygotowanie dokumentu dedykowanego RODO. Jeżeli jednak administrator dysponuje dobrze i rzetelnie przygotowaną dokumentacją, powinien zweryfikować kolejne elementy.

OBOWIĄZEK WYZNACZENIA IOD

Administrator musiał wskazać, że dotychczas stosowana dokumentacja była tworzona zgodnie z art. 36 ust. 2 uodo oraz rozporządzeniem ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Natomiast RODO daje obecnie znacznie większą swobodę w kształtowaniu wewnętrznego systemu bezpieczeństwa przez ADO. Dlatego też dokumentacja wytworzona przez ADO przed 25 maja 2018 r. wymaga aktualizacji pod kątem analizy ryzyka naruszenia praw i wolności osób fizycznych, jak również uwzględnienia w niej celu, kontekstu, zakresu i charakteru przetwarzania.

Przepisy RODO wskazują trzy sytuacje, w których wyznaczenie IOD przez administratora danych osobowych lub podmiot przetwarzający (czyli podmiot, któremu administrator w drodze umowy powierzył przetwarzanie danych osobowych) jest obligatoryjne:

– przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

– główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

– główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Do podmiotów prywatnych z sektora B2B mogą mieć więc zastosowanie dwie ostatnie przesłanki, przy czym wydaje się, że najczęściej występującą w praktyce będzie pierwsza z nich. Zasadniczą kwestią jest dokonanie oceny, co oznaczają pojęcia „główna działalność” oraz „duża skala”, które nie zostały doprecyzowane przez RODO.

Co należy uregulować w Polityce Ochrony Danych

Polityka ochrony danych zgodna z RODO nie powinna koncentrować się tylko na kwestiach bezpieczeństwa w odniesieniu do naruszenia (mechanizmy zabezpieczeń). Aby była dokumentem kompletnym i spójnym, musi regulować też wiele dodatkowych obszarów związanych z przetwarzaniem danych osobowych. Można tu wskazać zasady:

doboru i kontroli dostawców ADO,
szkolenia pracowników,
wykonywania praw osób fizycznych określonych w Rozdziale III RODO,
usuwania danych i okresy przedawnienia. związane z informowaniem IOD o wdrażaniu nowych procesów i nowych czynności przetwarzania,

Polityka powinna zawierać odwołania do funkcji samego IOD i jego uprawnień (np. wykonywanie obowiązków wynikających z art. 39 RODO). Oczywiście poziom szczegółowości dokumentu i częstotliwości odesłań do innych aktów normatywnych obowiązujących u administratora zależą od specyfiki danego podmiotu.

Inspektor Ochrony Danych IOD musi być niezależny

Należy przypomnieć, że to na ADO spoczywa obowiązek wdrożenia odpowiednich polityk, zasad i środków bezpieczeństwa. IOD ma natomiast obowiązek monitorować, czy i jak są one w praktyce stosowane u ADO. Dlatego tak ważna i wymagająca podkreślenia jest konieczność zapewnienia IOD niezależności. Ciężko bowiem będzie weryfikować IOD, czy dane są przetwarzane zgodnie z prawem, jeżeli nie będzie mieć stosownego umocowania w wewnętrznych aktach normatywnych ADO, które
zapewnią mu możliwość wykonywania kontroli innych jednostek. Dotyczy to IOD, który jest pracownikiem administratora, oraz IOD zewnętrznego. Aby uniknąć konfliktów wewnątrz jednostek organizacyjnych ADO, należy zdefiniować czynności, jakie IOD może i powinien wykonywać w ramach monitorowania. Grupa Robocza Art. 29 wskazuje np. doradzanie, informowanie, wydawanie rekomendacji administratorowi, ale również zbieranie informacji na temat toczących się procesów, ich analiza i badanie zgodności z wewnętrznymi procedurami oraz z prawem.