Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Od dnia 25.05.2018 r. każdy podmiot, który jest administratorem danych osobowych, musi samodzielnie oceniać, jakie są ryzyka związane z przetwarzanymi danymi osobowymi i jakie w związku z tym należy przedsięwziąć środki. Uchylone zostaje, między innymi, rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, na podstawie którego firmy były zobligowane do tworzenia polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. A to właśnie te dokumenty były dla wielu firm podstawą do określenia obowiązków w zakresie danych osobowych.

RODO wprowadza znaczącą zmianę w tej kwestii: nie określa bowiem, jakie dokumenty mamy posiadać (z małymi wyjątkami), ani jaka ma być ich treść. Oznacza to, że każdy podmiot musi sam zadecydować, jakie dokumenty będą przez niego przygotowane i jaka będzie ich treść. Musi jednak pamiętać, że RODO wymaga, aby treść dokumentów była wypadkową oceny ryzyk związanych z przetwarzaniem danych osobowych, przeprowadzonej przez każdy podmiot.

Powyższe nie oznacza, że od dnia 25.05.2018 r. polityki bezpieczeństwa, instrukcje zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, czy ewidencje osób upoważnionych do przetwarzania danych, nie będą mogły być wykorzystywane. Przy czym, aby dokumenty te mogły być nadal wykorzystywane, będą one wymagać sprawdzenia i wprowadzenia do nich stosownych zmian, tak aby spełniały wymogi RODO, tj. stwarzały poprawną i adekwatną do analizy ryzyka ochronę danych osobowych.

Oczywiście będzie też istniała potrzeba przeprowadzenia analizy operacji przetwarzania danych osobowych w Państwa firmie i inwentaryzacji ww. danych. Należy bowiem pamiętać, że po wejściu w życie RODO dana organizacja nie będzie spełniała wymogów ustawowych, jeżeli będzie się posługiwała dokumentami niedopasowanymi do jej indywidualnych cech i nieodpowiadającymi na ryzyka związane z przetwarzaniem danych osobowych przez daną organizację.

Ponadto, będą musiały być przygotowane nowe dokumenty, do tej pory nie wymagane przez przepisy prawa, w tym rejestr czynności przetwarzania danych osobowych (art. 30 RODO). Rejestr ten powinien być gotowy na dzień 25.05.2018 r. Przy czym należy pamiętać, że wymagane do dnia 25.05.2018 r. rejestry zbiorów danych na podstawie ustawy z dnia 29.08.1997 r. o ochronie danych osobowych nie staną się automatycznie ww. rejestrami czynności przetwarzania danych osobowych, o których mowa w RODO. Już teraz podkreśla się, że rejestr czynności przetwarzania danych osobowych powinien być dokumentem szerszym co do zakresu, a to z tej przyczyny, że powinien obejmować wszystkie procesy przetwarzania danych osobowych, które zachodzą u danego administratora danych osobowych.

Tym samym, jeszcze przed dniem 25.05.2018 r. każda firma powinna co najmniej:

1. Dokonać analizy zakresu działania spółki pod kątem przetwarzania danych osobowych w celu określenia docelowej struktury dokumentacji, jaka będzie musiała być przygotowana do dnia 25.05.2018 r. W tym zakresie niezbędna będzie współpraca prawników, działu IT oraz wszystkich osób nadzorujących przetwarzanie danych osobowych, w szczególności działu HR.
2. Przeprowadzić analizę już posiadanej przez spółkę dokumentacji dotyczącej danych osobowych i ich ochrony.
3. Przygotować zmiany do już istniejących dokumentów, wskazanych w pkt. 2, na podstawie oceny ryzyk związanych z przetwarzaniem danych osobowych.

Przygotować nowe brakujące dokumenty.