„Wiele z dotychczasowych obowiązków administratora danych zmieni swój kształt” wywiad z Katarzyną Witkowską

photo-1448932223592-d1fc686e76ea

– Wiele z dotychczasowych obowiązków administratora danych zmieni swój kształt albo zniknie – mówi Katarzyna Witkowska, prawnik w Kancelarii Lubasz i Wspólnicy. Podczas Konwentu Ochrony Danych Osobowych i Informacji 2016 będzie mówiła m.in. o nowych obowiązkach administratora danych.

Red: Które obowiązki administratora danych pozostaną, a które będą nowe?

K.W: Wiele z dotychczasowych obowiązków administratora danych na gruncie rozporządzenia ogólnego zmieni swój kształt albo zniknie. Administrator danych nie będzie musiał prowadzić już dokumentacji ochrony danych osobowych (polityki bezpieczeństwa danych i instrukcji zarządzania systemem informatycznym) w dotychczasowym kształcie. Rozporządzenie nie przewiduje także obowiązku nadawania upoważnień na piśmie, prowadzenia ewidencji upoważnień, zgłaszania zbiorów do GIODO. Przede wszystkim, w rozporządzeniu ogólnym nie znajdziemy dokładnych wytycznych, jakie dziś przewidują przepisy wykonawcze do ustawy (np. obowiązku zmiany haseł co 30 dni).

Administrator danych będzie miał obowiązek zapewnienia odpowiedniego stopnia bezpieczeństwa przekazanych danych osobowych. W tym celu, co jest nowością w zakresie wymagań stawianych przez przepisy prawa administrator będzie musiał szacować ryzyko związane z przetwarzaniem danych i na podstawie tej oceny, wybierać odpowiednie środki ochrony danych. Nowymi obowiązkami będą obowiązki uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz wdrażania domyślnej ochrony danych (privacy by default). Nowym obowiązkiem dokumentacyjnym będzie natomiast obowiązek prowadzenia rejestru czynności przetwarzania.

Ponadto, rozporządzenie przewiduje także obowiązek konsultacji z organem nadzorczym przed rozpoczęciem przetwarzania danych w niektórych przypadkach, a także zgłaszania naruszeń ochrony danych organowi nadzorczemu. Administrator danych będzie musiał zawiadamiać także osoby, których dane dotyczą, że doszło do naruszenia ich danych osobowych.

Pamiętać też trzeba, że dla niektórych administratorów danych obowiązkowe będzie powoływanie inspektora ochrony danych (dzisiejszego inspektora ochrony danych).

Red: Czy możemy mówić o rewolucyjnych zmianach?

K.W: Zmiany przewidziane w rozporządzeniu ogólnym nie są aż tak rewolucyjne, jak czasami się je przedstawia. W pewnym zakresie, zwłaszcza dla przyzwyczajonych do bardzo sztywnych wymogów przepisów polskich administratorów danych, zmiany mogą być duże. Warto jednak pamiętać, że art. 36 ustawy o ochronie danych osobowych wymaga od administratorów danych zastosowania „środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii objętych ochroną”. Rozporządzenie ogólne kładzie nacisk właśnie na dostosowanie rozwiązań do kontekstu i celu przetwarzania, kategorii przetwarzanych danych, kosztów zastosowania danych środków. W tym zakresie przepisy są więc podobne. Problem polega na tym, że poza samą ustawą w polskim porządku prawnym funkcjonuje jeszcze rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, które wskazuje precyzyjne wymagania dla samej dokumentacji oraz wskazuje, jak należy zabezpieczać dane przetwarzając je w systemach informatycznych. Tu leży podstawowa różnica między naszymi przepisami a rozporządzeniem ogólnym. Rozporządzenie ogólne stawia sobie za cel zachowanie technologicznej neutralności. Nie przesądza o tym, jak administrator danych ma zabezpieczyć danych, a wyraźnie podkreśla, że musi je zabezpieczyć na każdym etapie przetwarzania.

Z pewnością jednak, rozporządzenie wymaga od polskich administratorów danych i organu nadzorczego nowego podejścia do ochrony danych. Może nie jest to rewolucja, ale ważny krok w stronę uelastycznienia rozwiązań i podwyższenia poziomu ochrony, pod warunkiem rozsądnego stosowania przepisów.

Red: Jakie są złote zasady outsourcingu usług?

K.W: Przede wszystkim rozsądny wybór usługodawcy – weryfikacja jego wiedzy, doświadczenia i kompetencji. Poza tym, odpowiednio skonstruowana umowa, w której dokładnie określimy zasady współpracy, nasze uprawnienia i obowiązki usługodawcy oraz, o czym często zapominamy, zasady zakończenia współpracy. Z punktu widzenia ochrony danych – weryfikacja gwarancji bezpieczeństwa danych, jakie daje procesor. Jeżeli dokonujemy powierzenia przetwarzania danych, musimy pamiętać, że sam fakt zlecenia wykonywania dla nas pewnych zadań przez inny podmiot nie oznacza, że nie ponosimy odpowiedzialności za to, co dzieje się z danymi. Dlatego tak ważne jest, żeby ustalić:

  • czy procesor będzie w stanie odpowiednio zabezpieczyć dane,
  • czy funkcjonuje u niego system ochrony danych,
  • czy jego pracownicy są świadomi obowiązków wynikających z ochrony danych,
  • czy korzysta on z usług dalszych procesorów,
  • co stanie się z danymi po zakończeniu współpracy
  • oraz jakie mamy uprawnienia kontrolne względem procesora.

Konwent Ochrony Danych Osobowych i Informacji odbędzie się 15 listopada w Łódzkiej Specjalnej Strefie Ekonomicznej. To największy w Polsce event w całości poświęcony danym osobowym i bezpieczeństwu informacji. www.konwentodo.pl

Katarzyna WitkowskaKatarzyna Witkowska – prawnik w Kancealrii Lubasz i Wspólnicy. Poprowadzi od godz. 11.45 prelekcję: „Koniec ze sztywnymi wymogami – nowe obowiązki administratora danych„.

Share: Pinterest