Miesięcznik informatyków i menedżerów IT sektora publicznego

Jakub Rzymowski

Opis środków bezpieczeństwa

Po wejściu w życie rodo administrator danych nie będzie miał obowiązku przyjmowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Nowe przepisy nie zwalniają go jednak z opracowania dokumentacji przetwarzania danych osobowych.

Ustawa o ochronie danych osobowych (dalej: uodo), w związku z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024, dalej: rozp. 1024), statuuje spoczywający na administratorze danych osobowych (dalej: ADO) obowiązek posiadania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Projekty nowych polskich aktów prawnych dotyczących ochrony danych osobowych każą sądzić, że uodo zostanie uchylona. Z uchyleniem uodo moc utracą akty wykonawcze do tej ustawy, zatem ADO nie będzie miał już obowiązku prowadzenia wspomnianych dokumentów.

Kiedy i gdzie zamieścić opis

W dzisiejszej rzeczywistości, kiedy ADO posiadają dużo danych osobowych, trudno wyobrazić sobie ochronę tych danych bez jakiejś dokumentacji wspierającej bezpieczeństwo. Na gruncie art. 30 ust. 1 rodo ADO musi prowadzić rejestr czynności przetwarzania danych osobowych (patrz: „IT w Administracji” 2017, nr 10, s. 24). Z art. 30 ust. 1 pkt g rodo wynika, że do tego rejestru należy dołączyć ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (dalej: OOTiOŚB), o których mowa w art. 32 ust. 1 rodo. Podobny obowiązek spoczywa na podmiocie przetwarzającym, który do prowadzonego przez siebie rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora powinien dołączyć OOTiOŚB, o których mowa w art. 32 ust. 1 rodo. Zarówno ADO, jak i podmiot przetwarzający mają dołączać swoje OOTiOŚB „o ile to możliwe” do prowadzonych przez siebie rejestrów czynności przetwarzania. Zastanowienie się nad tym, kiedy dołączenie ogólnego opisu środków jest niemożliwe, prowadzić może do dwóch wniosków. Dołączenie OOTiOŚB jest niemożliwe, kiedy nie posiadamy tego dokumentu. Dołączenie ich jest niemożliwe również, kiedy posiadamy ten dokument, jednak liczy on sobie na przykład kilka tysięcy stron. W pierwszej sytuacji po prostu nie dołączamy nieposiadanego dokumentu. W drugiej – właściwe wydaje się umieszczenie w rejestrze odesłania do niego.

Nowa zasada rozliczalności

Z art. 32 rodo nie wynika, jakie środki bezpieczeństwa należy wdrożyć, jednocześnie z tego samego przepisu wynika, że jakieś środki bezpieczeństwa jednak wdrożyć należy. Z art. 5 ust. 2 rodo wynika Nowa Zasada Rozliczalności. Oznacza ona, że ADO jest odpowiedzialny za realizację pozostałych zasad bezpieczeństwa przetwarzania danych osobowych oraz, co niezwykle ważne, zasada ta stanowi również, że ADO musi być w stanie wykazać przestrzeganie tych zasad (znaczenie Nowej Zasady Rozliczalności jest warte podkreślenia, albowiem na gruncie § 1 pkt 7 rozp. 1024 rozliczalność oznacza właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, czyli coś zupełnie innego niż rozliczalność znaczy na gruncie rodo).

Podkreślić należy, że art. 83 ust. 5 pkt a rodo przewiduje sięgającą 20 milionów euro odpowiedzialność m.in. za naruszenie art. 5 rodo, w tym art. 5 ust. 2 rodo, czyli Nowej Zasady Rozliczalności właśnie. Prowadzi to do wniosku, że nie wystarczy, by ADO pozostawał w zgodzie z przepisami rodo. ADO, by nie podlegał odpowiedzialności administracyjnej, musi być w stanie wykazać, że pozostaje w zgodzie z tymi przepisami. Sama niemożność wykazania przez ADO, że ten pozostaje w zgodzie z przepisami RODO, jest naruszeniem art. 5 ust. 2 rodo i może skutkować odpowiedzialnością administracyjną.

Odpowiedzialność administratora danych

Potencjalna odpowiedzialność administracyjna, nawet jeżeli dla części podmiotów zostanie przez polskiego ustawodawcę obniżona do nie więcej niż 100 tysięcy złotych, może zachęcać do prób pociągnięcia ADO do odpowiedzialności cywilnej. Do odpowiedzialności cywilnej na gruncie rodo konieczne jest, by osoba pragnąca uzyskać odszkodowanie poniosła w wyniku naruszenia rodo szkodę majątkową lub, co stwarza dla ADO ogromne zagrożenie, szkodę niemajątkową.

[...]

Autor jest doktorem nauk prawnych, adiunktem w Katedrze Europejskiego Prawa Gospodarczego Wydziału Prawa i Administracji Uniwersytetu Łódzkiego. Współpracuje z kancelarią adwokacką prof. Marii Królikowskiej-Olczak.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej