Obowiązki administratora na gruncie RODO w zakresie bezpieczeństwa danych

Wdrożenie odpowiednich środków technicznych i organizacyjnych ochrony danych

W zakresie doboru przez administratora odpowiednich środków technicznych i organizacyjnych ochrony danych w rodo nie przewiduje się, w przeciwieństwie do obecnej ustawy o ochronie danych osobowych, wydania rozporządzenia wykonawczego, które wskazywałoby wytyczne dotyczące tych środków. Cały ciężar stworzenia i dostosowania środków technicznych i organizacyjnych do wymogów ochrony danych stosownie do zagrożeń będzie teraz spoczywał na administratorze.

Administrator musi rozważyć, jakie środki techniczne i organizacyjne będą odpowiednie, uwzględniając zgodnie z rodo charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Środki podejmowane przez administratora zatem muszą być adekwatne do rodzaju danych, okoliczności ich przetwarzania oraz ryzyka naruszeń ochrony.

Administrator musi móc wykazać, że wdrożył odpowiednie środki techniczne i organizacyjne. Wynika to z podstawowej zasady tzw. rozliczalności przetwarzania danych. Administrator musi ponadto stale czuwać nad tym, aby stosowane przez niego środki były uaktualniane, stosownie do okoliczności. W tym celu, w zależności od potrzeby, powinien poddawać wdrożone środki przeglądom. Nie ma tu zatem mowy o przeglądach okresowych, w stałych odstępach czasu, ale ilekroć zachodzi taka potrzeba. Jeśli zmianie nie uległy wskazane wyżej kryteria doboru środków, uaktualnienie nie będzie konieczne.

 

Polityki bezpieczeństwa, kodeksy postępowania i mechanizm certyfikacji

Na podstawie rodo wdrożenie przez administratora danych polityki ochrony danych w ramach środków technicznych i organizacyjnych ochrony danych nie będzie już obligatoryjne w każdym przypadku. Wdrożenie polityk bezpieczeństwa będzie wymagane wyłącznie w sytuacji, w której jest to „proporcjonalne w stosunku do czynności przetwarzania”. Jest to określenie ocenne i mogą być w praktyce wątpliwości co do jego rozumienia, zatem administratorzy z ostrożności powinni wdrażać polityki bezpieczeństwa.

Celem potwierdzenia przestrzegania przez administratora ciążących na nim obowiązków w zakresie stosowania odpowiednich środków technicznych i organizacyjnych może on stosować zatwierdzone kodeksy postępowania lub zatwierdzony mechanizm certyfikacji.

Kodeksy postępowania to dokumenty, które zgodnie z rodo mają pomóc we właściwym stosowaniu rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Sporządzić taki kodeks mają prawo zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające.  Podmioty te następnie przedkładają taki kodeks odpowiedniemu organowi nadzorczemu do zatwierdzenia. Organ nadzorczy wydaje opinię o zgodności projektu kodeksu z rozporządzeniem i zatwierdza taki projekt kodeksu, jeżeli uzna, że stanowi on odpowiednie zabezpieczenie.

Alternatywą dla stosowania kodeksu postepowania jest poddanie przez administratora jego przetwarzania mechanizmowi certyfikacji. Zgodnie z rodo, certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty. Uzyskanie certyfikatu stanowi swego rodzaju rękojmię, że przetwarzanie danych przez administratora jest zgodne z rodo. Należy jednak podkreślić, że zgodnie z rodo, certyfikacja przewidziana nie wpływa na spoczywający na administratorze lub podmiocie przetwarzającym obowiązek przestrzegania rozporządzenia i pozostaje bez uszczerbku dla zadań i uprawnień organów nadzorczych. Certyfikat nie chroni zatem w szczególności przed odpowiedzialnością za przetwarzanie niezgodne z rodo.

 

Rejestrowanie czynności przetwarzania

 Wskazane w tym punkcie obowiązki rejestrowania nie mają co do zasady zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 rodo (dawniej tzw. dane wrażliwe lub sensytywne), lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 rodo.

Każdy administrator (z uwzględnieniem wskazanych wyżej wyłączeń) oraz – gdy ma to zastosowanie – przedstawiciel administratora, ma obowiązek prowadzić rejestr czynności przetwarzania danych osobowych, za które odpowiada. W rejestrze tym zamieszcza się wszystkie następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi rodo, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rodo.

 

Podmioty przetwarzające dane w imieniu administratora (o ile nie są objęte wskazaną na wstępie przesłanką wyłączenia) oraz przedstawicieli podmiotów przetwarzających prowadzą z kolei rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Jest to rejestr o nieco innej zawartości, aniżeli rejestr czynności przetwarzania, sporządzany przez administratora. Rejestr taki powinien zawierać;

  1. imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  2. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  3. gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi rodo, dokumentacja odpowiednich zabezpieczeń;
  4. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rodo.

Wskazane wyżej rejestry powinny formę pisemną, w tym formę elektroniczną. W przeciwieństwie do polskiego kodeksu cywilnego, w którym forma pisemna i forma elektroniczna to dwie osobne formy, w rodo forma elektroniczna jest jedną z form pisemnych. Podkreślić również należy, iż w świetle rodo, w odróżnieniu od kodeksu cywilnego, do zachowania formy elektronicznej nie potrzeba bezpiecznego podpisu z kwalifikowanych certyfikatem.

Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego mają obowiązek udostępnić prowadzone przez siebie rejestry na żądanie organu nadzorczego.

 


CHCESZ DOWIEDZIEĆ SIĘ WIĘCEJ O RODO W TWOJEJ FIRMIE?
Prześlij nam swoje dane kontaktowe, skontaktujemy się.