Czy można będzie prowadzić dotychczasową dokumentację po 25 maja 2018 r.?

Autor: Paweł Biały
Ogólne rozporządzenie o ochronie danych, w przeciwieństwie do aktualnych polskich przepisów, nie wskazuje, jaką konkretną dokumentację ochrony danych osobowych trzeba będzie prowadzić. Nie oznacza to jednak, że obowiązki dokumentacyjne znikną.
Administratorzy danych zastanawiają się, czy wymagane ustawowo dokumenty, tj. polityka bezpieczeństwa czy też instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, będą nadal wiążące po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych (RODO).
Po 25 maja 2018 r. administrator będzie miał większą elastyczność przy podejmowaniu, opisywaniu i wdrażaniu środków gwarantujących organizacyjne i techniczne bezpieczeństwo przetwarzania danych osobowych. Aby móc wykazać przestrzeganie RODO, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Może to być np. procedura usunięcia lub sprostowania danych osobowych.
Trudno jest się zgodzić z twierdzeniami, że wszystkie dokumenty wdrażane obecnie pod rządami dotychczasowych przepisów ustawy o ochronie danych osobowych, utracą swoją moc. Nie można też jasno stwierdzić, że zasada elastyczności nowych przepisów gwarantuje „nienaruszalność” dotychczas wymaganych i obowiązujących dokumentów.
Przepisy RODO dają wiele możliwości poprawnej i adekwatnej ochrony procesów przetwarzania danych osobowych przez administratora. Wśród nich znajduje się miejsce zarówno dla dotychczas wdrażanej i obowiązującej dokumentacji (która stanie się wówczas świetnym fundamentem do dostosowywania istniejących już rozwiązań do nowych przepisów), jak i dla zupełnie nowych dokumentów, przygotowanych według założeń RODO.
 
Największym wyzwaniem dla administratorów danych może być konieczność samodzielnego decydowania o tym, za pomocą jakich środków i rozwiązań chronić przetwarzane przez siebie dane osobowe (przed wdrożeniem odpowiednich procedur i dokumentacji bezpieczeństwa administrator będzie musiał samodzielnie ocenić ryzyko związane z procesem przetwarzania danych, a następnie samodzielnie dopasować mechanizmy bezpieczeństwa do możliwego do wystąpienia ryzyka), podczas gdy obecnie administratorzy danych są w zasadzie odtwórcami rozwiązań zaproponowanych przez ustawodawcę krajowego.
Należy też pamiętać, że nowe przepisy nie mają jeszcze mocy obowiązującej, nabędą ją od dnia rozpoczęcia ich obowiązywania. W konsekwencji nie jest zasadne odstępowanie od wdrażania dokumentacji wymaganej obowiązującymi przepisami na rzecz tej wymaganej nowymi – jednak na razie nieobowiązującymi – przepisami.
Administrator danych powinien się jednak przygotować do rozpoczęcia stosowania nowych przepisów. Oznacza to, że w określonych przypadkach ADO może wprost odnosić się do przepisów RODO, ale tylko wówczas gdy nie będzie to determinowało odstąpienia od stosowania obowiązujących przepisów ustawy o ochronie danych osobowych.


Paweł Biały

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49978 )

Array ( [docId] => 49978 )
Array ( [docId] => 49978 )