Co zrobić z Polityką bezpieczeństwa obowiązującą w firmie po wejściu w życie RODO?
Już wszyscy, albo prawie wszyscy wiedzą, że od 25 maja 2018 roku czeka nas rewolucja w zakresie przetwarzania danych osobowych oraz środków służących ochronie danych osobowych. I to nie tylko dlatego, że tego dnia wchodzi w życie unijne Rozporządzenie Ogólne o Ochronie Danych Osobowych, ale także dlatego, że polski ustawodawca najprawdopodobniej nie zdąży z uchwaleniem nowej ustawy o ochronie danych osobowych ani też przepisów innych ustaw, tzw. ustaw sektorowych/branżowych, w których również kwestie związane z przetwarzaniem danych osobowych w danych sektorach powinny być uregulowane. Oznacza to, że wszystkie firmy, które gromadzą i wykorzystują dane osobowe osób fizycznych będą musiały bazować – przynajmniej w pierwszym okresie – jedynie na postanowieniach RODO, które to Rozporządzenie unijne do najprostszych lektur nie należy.
Z drugiej strony fakt, iż wchodzą w życie nowe przepisy dotyczące ochrony danych osobowych – takie same dla wszystkich krajów unijnych – nie oznacza, że dotychczas wypracowane metody ochrony danych osobowych, czy też opracowane dokumenty, polityki i instrukcje, które wyznaczały określone standardy ochrony przetwarzanych danych w firmach, nie będą się w ogóle nadawały do wykorzystania po wejściu w życie RODO. Aż tak źle nie jest, wszystko się nie zmieni.
Zgodnie z obecnie obowiązującym art. 36 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych administrator danych ma obowiązek prowadzić dokumentację opisującą sposób przetwarzania danych oraz stosowane przez niego środki zabezpieczenia danych osobowych. Szczegółowe wymagania dotyczące treści tej dokumentacji oraz sposobu jej prowadzenia określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zasady i tryb nadzoru nad dokumentacją przetwarzania danych określa natomiast rozporządzenie Ministra Administracji i Cyfryzacji z 11.maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Na dokumentację, o której mowa w art. 36 ustawy o ochronie danych osobowych składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Czy te dokumenty zatem po 28 maja 2018 roku będą zupełnie nieprzydatne?
Otóż nie. RODO nie reguluje w sposób szczegółowy (tak jak to czynią obecnie obowiązujące krajowe przepisy prawa) wytycznych organizacyjnych czy też technologicznych zabezpieczenia danych. To administratorzy danych będą musieli po wejściu w życie RODO samodzielnie oceniać, jakie środki techniczne i organizacyjne są właściwe, aby móc udowodnić i wykazać, że dane osobowe są przetwarzane zgodnie z unijnym Rozporządzeniem. Co istotne, RODO nie wyznacza sztywnych granic, nie określa odgórnie wymagań technicznych czy innych wymagań dotyczących zabezpieczenia danych, daje jedynie wskazówki. Zgodnie z motywem 76 Rozporządzenia prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko. RODO daje zatem administratorom sporą swobodę decyzji co do tego, jakie środki ochrony są wystarczające. Jeżeli administratorzy danych uważają, że zasady obowiązujące u nich dotychczas – czy to w Polityce bezpieczeństwa czy też określone w instrukcji zarządzania systemem informatycznym – były adekwatne do zakresu i sposobu przetwarzanych przez nich w przedsiębiorstwie danych osobowych, dokumenty te mogą nadal w firmie obowiązywać, oczywiście po dokonaniu weryfikacji i ew. aktualizacji tychże dokumentów.
Warto zwrócić uwagę na motyw 78 RODO, gdzie unijny ustawodawca zwrócił uwagę, iż ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Tym środkiem, o którym mowa w motywie 78 może być właśnie wdrożona już u każdego z administratorów danych Polityka bezpieczeństwa, uzupełniona o instrukcje zarządzania systemem informatycznym. Dokumenty te w przyszłości będą z pewnością ulegały zmianom, chociażby wtedy, gdy wypracowane zostaną kodeksy postepowania lub dobre praktyki, na to jednak potrzeba czasu. Obecnie, aktualizując środki ochrony danych osobowych w ramach przygotowań do wejścia w życie RODO, można opierać się – zamiast na nieco przestarzałych przepisach Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku – na normach ISO, związanych z zarządzaniem bezpieczeństwem informacji, analizą ryzyka czy zapewnieniem ciągłości działania.
To, na co należy zwrócić uwagę już teraz, dokonując obecnie inwentaryzacji danych osobowych i przygotowując się na wejście w życie unijnego Rozporządzenia jest – oprócz aktualizacji dotychczas obowiązujących w firmie wewnętrznych dokumentów i procedur – opracowanie i stopniowe wdrażanie nowych procedur związanych ściśle z unijną zasadą postępowania w przypadku powstania naruszenia ochrony danych osobowych. Art. 33 i 34 RODO regulują kwestię obowiązków ciążących na administratorze danych w sytuacji naruszenia ochrony danych osobowych. Zalecane jest, aby administratorzy, mając na uwadze postanowienia art. 33 i 34 RODO opracowali własne procedury postępowania w takich sytuacjach i włączyli je do już obowiązujących w przedsiębiorstwie zasad postepowania oraz dokumentów, które zasady te opisują.
Podsumowując: dotychczas opracowane, wdrożone i obowiązujące Polityki bezpieczeństwa można zachować. Ich pozbywanie się nie jest konieczne, nie trzeba opracowywać też od podstaw zupełnie nowych dokumentów. Pamiętać jednak należy, że te, które były przygotowywane na podstawie przepisów krajowych, będą wymagały aktualizacji i dopasowania do nadchodzącego wielkimi krokami RODO.