Ostatnio pisałem o minimach, jakie każdy Administrator Danych Osobowych (ADO) musi spełnić, by przetwarzanie danych w jego organizacji odbywało się zgodnie z prawem (więcej tutaj). Jednym wymienionych przeze mnie podstawowych wymogów jest stworzenie i przede wszystkim wdrożenie przez ADO odpowiedniej dokumentacji z zakresu ochrony danych osobowych. Dziś więc w kilku słowach o tym, o co tak właściwie chodzi z tą dokumentacją.
Skąd to wynika?
Obowiązek opracowania i wdrożenia dokumentacji z zakresu ochrony danych osobowych nakłada na ADO przepis art. 36 ust. 2 ustawy o ochronie danych osobowych (mowa tam o „dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną„… uff!). Szczegółowy zakres i sposób prowadzenia dokumentacji opisuje natomiast Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dostępne m.in. tutaj).
Dokumentacja… ale jaka?
Zgodnie z § 3. ust. 1 Rozporządzenia na dokumentację, o której mowa powyżej składa się:
a. Polityka Bezpieczeństwa;
b. Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych (Instrukcja).
Każdemu z tych dokumentów poświęcę kolejne wpisy, w których szczegółowo omówię ich treść i formę.
Co na to ADO?
Obowiązek opracowania i wdrożenia dokumentacji z zakresu ochrony danych osobowych ciąży na ADO. To on bowiem jest zobowiązany do zabezpieczenia przetwarzanych przez siebie danych osobowych, a dokumentacja jest jednym z elementów systemu zabezpieczeń, stanowiąc wręcz jego kręgosłup. W końcu to właśnie Polityka Bezpieczeństwa i Instrukcja opisują wszystkie procedury postępowania z przetwarzanymi przez ADO danymi osobowymi oraz sposoby ich zabezpieczenia i wykorzystywane w tym celu instrumenty.
Tym samym, w przypadku braku opracowania i wdrożenia odpowiedniej dokumentacji, to na ADO spoczywać będzie odpowiedzialność z tego tytułu, w tym odpowiedzialność karna. W przypadku, gdy ADO jest jednostką organizacyjną, odpowiedzialność ta ciążyć będzie na kierowniku tej jednostki, w tym np. na członkach zarządu. Stosownie bowiem do treści przepisu art. 52 ustawy, administrujący danymi, który choćby nieumyślnie narusza obowiązek ich zabezpieczenia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Opracowanie i wdrożenie
Przepisy wymagają, by dokumentacja, o której mowa powyżej, nie tylko została przez ADO opracowana, ale również rzeczywiście wdrożona w jego organizacji. Cóż to znaczy?
Chodzi o uniknięcie sytuacji, w której dokumentacja, nawet najlepsza, przygotowana przez specjalistę, nie jest w praktyce stosowana. Ba, po przygotowaniu wylądowała na dnie szafy i nikt w firmie nie miał nawet okazji się z nią zapoznać.
Dokumentacja z zakresu ochrony danych osobowych powinna być wprowadzona w życie sposobem, który zwyczajowo stosowany jest w danej firmie. Może to się więc odbyć na podstawie uchwały zarządu w przedmiocie wdrożenia postanowień Polityki Bezpieczeństwa i Instrukcji. Konieczne jest jednak, o czym często się zapomina, że samo formalne nadanie dokumentacji „mocy obowiązującej” nie wystarczy do przeprowadzenia skutecznego wdrożenia.
Najważniejszym etapem procesu wdrożeniowego jest podjęcie działań w kierunku rzeczywistego stosowania i egzekwowania postanowień każdego z dokumentów. Pracownicy, czy nawet kierownicy jednostki organizacyjnej, a więc np. członkowie zarządu, muszą podporządkować się wprowadzonym procedurom. Zwykle przydatne staje się również odpowiednie przeszkolenie pracowników, a przynajmniej tych spośród nich, którzy wykonują zadania kluczowe z punktu widzenia zabezpieczenia danych osobowych, np. księgowe/kadrowe.
Gdzie w tym wszystkim ABI?
Swoją rolę w procesie prowadzenia dokumentacji z zakresu ochrony danych osobowych ma również ABI. Zgodnie z przepisem art. 36a ust. 2 pkt 1 b), do zadań ABI należy nadzorowanie opracowania i aktualizowania Polityki Bezpieczeństwa i Instrukcji. Oznacza to więc, że na ABI ciąży obowiązek sprawdzenia, czy dokumentacja została opracowana i wdrożona. Nadto, ABI czuwać winien nad jej aktualnością i podejmowania działań w celu usunięcia stwierdzonych nieprawidłowości.
Pamiętać przy tym jednak trzeba, że odpowiedzialność ABI z tytułu niedopełnienia w/w obowiązków ogranicza się tylko do odpowiedzialności służbowej. Obowiązek prowadzenia dokumentacji i zabezpieczenia danych nadal bowiem obciąża ADO.
Szczegółowo o Polityce Bezpieczeństwa i Instrukcji, a w szczególności o tym, co w tych dokumentach znaleźć się powinno, już niebawem!
