Dokumentacja RODO – czy to już czas na jej wdrożenie ?


W związku z nadchodzącymi zmianami w zakresie reguł ochrony danych osobowych spotykamy się z opiniami, iż nadszedł czas na opracowanie i wdrożenie dokumentacji ochrony danych osobowych zgodnej z rozporządzeniem UE 2016/679 o ochronie danych osobowych (RODO). O ile zgodzić się należy, iż faktycznie trzeba się przygotowywać do wdrożenia takiej dokumentacji, to samo jej wdrożenie obecnie wydaje się być obarczone sporym ryzykiem. W mojej ocenie jest jeszcze wiele niejasnych kwestii, których rozstrzygnięcie będzie wywierać wpływ na ostateczny kształt takiej dokumentacji. Może się okazać, iż podmioty, które uległy presji wywieranej przez podmioty usiłujące sprzedać taką dokumentację już dziś, będą jeszcze przed 25 maja 2018 r. zmuszone do jej wymiany lub znacznej modyfikacji.

Zwrócić uwagę należy na fakt, iż RODO, w przeciwieństwie do obecnie obowiązujących przepisów ustawy o ochronie danych osobowych oraz aktów wykonawczych do niej, nie określa precyzyjnie co powinno znaleźć się w dokumentacji ochrony danych osobowych. Oczywiście, RODO wskazuje niektóre elementy systemu ochrony danych osobowych jak np. obowiązek, w niektórych przypadkach, dokumentowania czynności związanych z przetwarzaniem danych osobowych w postaci prowadzenia odpowiedniego rejestru, jednak z pewnością nie można uznać stworzenia i prowadzenia rejestru za jedyny i wystarczający element dokumentacji ochrony danych osobowych.  Z pewnością RODO nie wskazuje także jakie konkretne zabezpieczenia systemów informatycznych służących do przetwarzania danych osobowych należy wdrożyć. Nadal nie mamy jeszcze ostatecznej wersji projektu nowej ustawy o ochronie danych osobowych, ani zapowiadanych branżowych kodeksów postępowania zatwierdzanych przez GIODO (te mają zostać opracowane przez grupy administratorów, a następnie zostać zatwierdzone przez GIODO po 25 maja 2018 r.).
W tej sytuacji należy bacznie analizować  wytyczne Grupy Roboczej Art. 29 na temat wybranych zagadnień ogólnego rozporządzenia o ochronie danych – Grupa Robocza opublikowała dotąd cztery takie wytyczne: dotyczące oceny skutków przetwarzania dla ochrony danych; przenoszenia danych; inspektorów ochrony danych; wiodących organów nadzorczych, jednak nawet te dostępne dziś wytyczne nie wyczerpują wszystkich zagadnień wymagających uszczegółowienia. Nie można przecież zapominać, iż nie tylko wytyczne lub ww. akty prawne będą stanowiły podstawę przetwarzania danych osobowych. Trwają prace nad zmianami poszczególnych aktów prawnych (ok. 130), które mogą przecież ustanawiać nowe, szczegółowe regulacje dotyczące przetwarzania danych osobowych przez poszczególne podmioty działające w oparciu o podlegające właśnie zmianom akty prawne. Wbrew powszechnemu przekonaniu nie dotyczy to wyłącznie sfery podmiotów publicznych, lecz również przedsiębiorstw prywatnych działających na rynkach regulowanych np. bankowym, ubezpieczeniowym, farmaceutycznym, telekomunikacyjnym itp.

Uważam, że dziś jeszcze nie nadszedł czas na wdrożenie dokumentacji ochrony danych osobowych oferowanej przez niektóre podmioty jako „spełniającej wymogi RODO”, tym bardziej, iż Ministerstwo Cyfryzacji może jeszcze sprawić kilka niespodzianek administratorom danych. Nie da się pominąć milczeniem zauważonego braku akceptacji przedstawicieli Ministerstwa Cyfryzacji dla zgłaszanych przez GIODO uwag i postulatów do projektu ustawy o ochronie danych osobowych, co nie nastraja optymistycznie w przedmiocie zachowania odpowiednich proporcji systemowych między faktyczną ochroną danych osobowych osoby fizycznej, interesem przedsiębiorcy – administratora danych, a uprawnieniami i obowiązkami  Urzędu Ochrony Danych Osobowych, który ma zastąpić GIODO. Pewną, nieuzasadnioną dysproporcję już przygotowano, zróżnicowano bowiem podmioty ze sfery prywatnej i publicznej pod względem odpowiedzialności finansowej grożącej administratorom danych osobowych, którzy naruszą zasady ochrony danych osobowych Oczywiście to podmioty ze sfery publicznej będą uprzywilejowane, a przedsiębiorstwa prywatne będą zasilać budżet. Niestety nie wróży to łatwego i przyjemnego życia administratorom danych osobowych ze sfery prywatnej.

Andrzej Grzeszczuk

Prawnik

a.grzeszczuk@polguard.pl

tel. kom. 509 720 666