Czas pracy 2018. Planowanie, rozliczanie i ewidencjonowanie
Wellbeing w organizacji co? jak? dlaczego?
Dokumentacja kadrowa. Nowe zasady prowadzenia i przechowywaniaDokumentacja z zakresu ochrony danych osobowych
Jakie warunki musi spełnić każdy Administrator Danych Osobowych (ADO) musi spełnić, by przetwarzanie danych w jego organizacji odbywało się zgodnie z prawem? Jednym z podstawowych wymogów jest stworzenie i przede wszystkim wdrożenie przez ADO odpowiedniej dokumentacji z zakresu ochrony danych osobowych.
Skąd to wynika?
Obowiązek opracowania i wdrożenia dokumentacji z zakresu ochrony danych osobowych nakłada na ADO przepis art. 36 ust. 2 ustawy o ochronie danych osobowych (mowa tam o „dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną”). Szczegółowy zakres i sposób prowadzenia dokumentacji opisuje natomiast Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
reklama
reklama
Zobacz również: Ochrona danych osobowych pracownika
Dokumentacja… ale jaka?
Zgodnie z § 3. ust. 1 Rozporządzenia na dokumentację, o której mowa powyżej składa się:
a. Polityka Bezpieczeństwa;
b. Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych (Instrukcja).
Co na to ADO?
Obowiązek opracowania i wdrożenia dokumentacji z zakresu ochrony danych osobowych ciąży na ADO. To on bowiem jest zobowiązany do zabezpieczenia przetwarzanych przez siebie danych osobowych, a dokumentacja jest jednym z elementów systemu zabezpieczeń, stanowiąc wręcz jego kręgosłup. W końcu to właśnie Polityka Bezpieczeństwa i Instrukcja opisują wszystkie procedury postępowania z przetwarzanymi przez ADO danymi osobowymi oraz sposoby ich zabezpieczenia i wykorzystywane w tym celu instrumenty.
Tym samym, w przypadku braku opracowania i wdrożenia odpowiedniej dokumentacji, to na ADO spoczywać będzie odpowiedzialność z tego tytułu, w tym odpowiedzialność karna. W przypadku, gdy ADO jest jednostką organizacyjną, odpowiedzialność ta ciążyć będzie na kierowniku tej jednostki, w tym np. na członkach zarządu. Stosownie bowiem do treści przepisu art. 52 ustawy, administrujący danymi, który choćby nieumyślnie narusza obowiązek ich zabezpieczenia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
