Aktualizacja dokumentacji ochrony danych osobowych

Jednym z kilku zadań ABI, określonym w art. 36a ust. 2 pkt 1 uodo, jest nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 uodo. Na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Wymóg opracowania tych dokumentów wynika z przepisów § 3 rozporządzenia MSWiA z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Z zapisów z art. 36a ust. 2 pkt 1lit. b uodo nie wynika, że to ABI jest odpowiedzialny za opracowanie dokumentacji przetwarzania danych osobowych, o której mowa w powyższym rozporządzeniu. Zadanie ABI w tym wypadku ograniczone jest do nadzoru opracowania dokumentacji oraz jej okresowego sprawdzania w celu niezbędnej aktualizacji.

Oczywiście administrator danych (ADO) może powierzyć zadanie opracowania dokumentacji ABI, ale na podstawie art. 36a ust. 4 uodo, jako dodatkowe zadanie. W praktyce to właśnie najczęściej ABI opracowuje politykę bezpieczeństwa danych osobowych (PBDO), gdzie określa zasady przetwarzania danych osobowych, których realizację nadzoruje w ramach swoich zadań.

Natomiast instrukcję zarządzania systemem informatycznym (IZSI) ABI opracowuje zwykle razem z działem IT lub ASI, albo nadzoruje takie opracowanie – zależy to przede wszystkim od tego, czy ABI posiada niezbędną w tym zakresie wiedzę informatyczną.

Ostatnia nowelizacja uodo z 7 listopada 2014 r. wprowadziła zmiany, które muszą być uwzględnione w dokumentacji przetwarzania danych osobowych. Główna zmiana dotyczy zapisów o realizacji obowiązków zapewniania przestrzegania przepisów o ochronie danych osobowych, a zatem opisanych w PBDO lub IZSI zadań ABI.

Zakres ten powinien być zgodny z art. 36a ust. 2 uodo, natomiast wszystkie inne zadania, które ABI wypełniał dotąd, powinny wynikać z art. 36a ust. 4 uodo. Jeżeli ADO wyznaczył zastępców ABI, to ich zadania również należy opisać w PBDO lub IZSI.

Kolejne zmiany dotyczą procesów zgłaszania zbiorów danych osobowych do rejestracji GIODO oraz transferu danych do państwa trzeciego. Jeżeli były one opisane w PBDO np. jako szczegółowe procedury, należy je dostosować do wymagań prawnych w tym zakresie. W przypadku rejestracji zbiorów, gdy ABI jest powołany, zapisy dotyczące zgłaszania zbiorów GIODO powinny odnosić się wyłącznie do sytuacji zgłaszania zbiorów zawierających dane osobowe wrażliwe zgodnie z art. 43 ust. 1a uodo.

Zapisy te mogą również odnosić się do prowadzenia przez ABI rejestru zbiorów danych osobowych na podstawie art. 36a ust. 2 pkt 2, np. „kierownik komórki organizacyjnej zgłasza do ABI utworzenie nowego zbioru danych, a ABI ustala, czy zbiór należy wpisać do rejestru zbiorów lub/i zgłosić do rejestracji GIODO” itp.

W kwestiach transferu danych do państwa trzeciego, jeżeli taki proces zachodzi u ADO, w PBDO należy wskazać konieczność zamieszczania w umowach z podmiotem, któremu udostępnia lub powierza się dane osobowe, standardowych klauzul umownych ochrony danych osobowych, zatwierdzonych przez Komisję Europejską zgodnie z wymaganiami art. 48 ust. 2 pkt 1 uodo – klauzule można dodać w załączniku do PBDO.

W sytuacji istnienia w organizacji prawnie wiążących reguł korporacyjnych, zatwierdzonych przez GIODO zgodnie z art. 48 ust. 2 pkt 2 uodo, w dokumentacji PBDO należy je wskazać lub zamieścić w załączniku.

No i na koniec jeszcze jedna ważna aktualizacja porządkowa – wskazanie aktualnego dziennika ustaw tekstu jednolitego uodo z 2014 roku, do którego są odniesienia zarówno w PBDO i IZSI, jak również w klauzulach informacyjnych podawanych na formularzach do zbierania danych osobowych w ramach realizacji obowiązków z art. 24 uodo.