Jaką dokumentację powinien mieć BS w związku z RODO?

RODO 2 dokum

Głównym dokumentem ma być teraz nie „Polityka bezpieczeństwa” i „Instrukcja zarządzania…” a rejestr czynności przetwarzania danych osobowych. Niestety, nie mam dobrych wieści; kto liczy na to, że w RODO (czy w polskich przepisach) będzie dokładnie wskazane, co ma być w tym rejestrze, będzie zawiedziony.

Ktoś powie: „może to i dobrze; sami sobie wypełnimy ten rejestr odpowiednią treścią”. Z pewnością jest to kierunek słuszny, ale co jeśli Inspektor z GIODO / PUODO uzna podczas inspekcji, że jednak nasza autorska twórczość nie jest tym, czego on by oczekiwał? Z dwojga złego, lepiej mieć już precyzyjnie wskazane oczekiwanie Urzędu i jego kontrolerów…

Głos ABI IOD 2018 BMPSpójrzmy zatem do RODO. RODO stanowi, że każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych. Ciekawe jest natomiast to, że ustawodawca NIE OCZEKUJE, by w tym rejestrze były rejestrowane… czynności przetwarzania danych! Zaskakujące? Jeżeli ktoś nie wierzy, cytuję dosłownie:

„a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; b) cele przetwarzania; c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; 4.5.2016 L 119/50 Dziennik Urzędowy Unii Europejskiej PL d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.”

To zaskakujące, ale nie ma w powyższym zestawieniu czynności przetwarzania danych! A więc ma być rejestr czynności przetwarzania, w którym będą różne rzeczy, ale nie czynności przetwarzania danych 🙂. Uprzejmie zakładam, że to niedopatrzenie (a takich „niedopatrzeń” jest mnóstwo w RODO).

To jednak nie koniec wątpliwości. Bo pojawia się pytanie zasadnicze:

Jakież to konkretnie czynności mają być ewidencjonowane w opisywanym rejestrze?

Niestety tego legislator nie precyzuje – trzeba to sobie samemu określić. I mieć nadzieję, że wyjdziemy naprzeciw oczekiwaniom urzędników, którzy będą nas kontrolować.

Ale to nie wszystko. W następnym ustępie prawodawca nakazuje nam prowadzenie kolejnej ewidencji – uwaga:

KATEGORII czynności przetwarzania danych

No i kolejna zagadka – co to jest „kategoria czynności przetwarzania”? Czym różni się od samej „czynności przetwarzania” ? Kto z Państwa chce się w tej sprawie wypowiedzieć? Bo, rzecz jasna, definicji tych pojęć w RODO nie ma. Podobnie w projekcie polskiej Ustawy o ODO….

konfucju PNGMam jeszcze dla Państwa sporo tego rodzaju rewelacji – będę o nich pisał. Szanowni Czytelnicy, nie wygląda to dobrze, całe to RODO i jego wdrożenie w Polsce… Napiszę więcej, tymczasem wracam do studiowania tego wiekopomnego aktu, jakim jest unijne Rozporządzenie o Ochronie Danych Osobowych i słuchania na YouTube wykładów, w których prelegenci męczą się okropnie próbując zrozumieć i wyjaśnić, „co poeta miał na myśli” pisząc wspomniane Dzieło… Ja też się męczę.

Może więcej będzie wiadomo, gdy już przyjdzie pora „Głosu ABI/ IOD” – przypominam: 17-18 kwietnia. Tu program:

Zaktualizowany program konf. „Głos ABI (IOD)”

 

Powiązane wpisy

7 komentarze na temat “Jaką dokumentację powinien mieć BS w związku z RODO?

  1. Paweł Waniek

    Z informacji przeze mnie uzyskanych (od samego przedstawiciela GIODO) mają w tej sprawie być opublikowane stosowne wytyczne 🙂

  2. Albert Sadowski

    To dobrze, bo bez wytycznych tu ani rusz 🙂 – będziemy jak dzieci we mgle…

  3. Albert Sadowski

    Dlatego właśnie wolałbym, żeby jednak polski ustawodawca napisał KOMPLETNĄ Ustawę o ODO, a nie suplement do RODO. Jakość prawna, merytoryczna i stylistyczna RODO pozostawia wiele do życzenia i jeśli będziemy skazani na posługiwanie się tym dokumentem w postaci, jaką on ma, będzie dużo znaków zapytania. Obawiam się jednak, że może pozostać tak, jak jest, tzn. polska UODO będzie jedynie dodatkiem do RODO. Ciekaw jestem jak legislatorzy do tego podejdą – czasu jest bardzo mało, a niejasnych tematów mnóstwo…

  4. bardzo słaba ta lista dokumentów, jakie powinien posiadać Bank Spółdzielczy.

    1. Albert Sadowski

      Szanowna Komentatorko, NIE MA CZEGOŚ TAKIEGO jak LISTA dokumentów wymaganych przez RODO, bo RODO wymaga tylko „Rejestru czynności przetwarzania” (plus ten nieszczęsny rejestr kategorii, ale to chyba umrze). Wcześniejszy zestaw ewidencji zastał anulowany. Nie ma się jednak co cieszyć, bo niektóre z treści wcześniej zwieranych w dokumentach z „listy” mają być w Rejestrze Czynności. Ewidencję incydentów też można zawrzeć w rejestrze czynności – wszak obsługa incydentu może być uznana za jedną z czynności.
      W obecnym stanie prawnym nie ma LISTY DOKUMENTÓW – jest wspomniany rejestr wyłącznie. Jestem jednak w stanie uwierzyć (i to bez trudu), że GIODO coś tu spłodzi i w swoich rekomendacjach pięknie nam twórczo wykreuje jakieś nowe, nikomu nie potrzebne kwity, które trzeba będzie wypełniać. Ponadto różni konsultanci z firm wdrażających RODO z pewnością w etosie natchnienia, zapłodnieni duchem troski o ochronę danych osobowych, powiją swoją własną, radosną twórczość, którą oczywiście będę chcieli „opchnąć” klientom w formie „szablonów”> No i rzęcz jasna będą z całą powagą autorytetów twierdzić, że jest to absolutnie koniecznie, bo jak nie to kara w wysokości 150% globalnego obrotu firmy i tak dalej… 🙂 Napatrzyłem się na to przez te prawie 20 lat w biznesie doradczym – czasami to aż szkoda patrzeć, jak bałamuceni są klienci… No ale – biznes jest biznes, z czegoś muszą żyć.

  5. Albert Sadowski

    Faktycznie, zamiast sformułowania „głównym dokumentem”, lepiej było użyć „jednym dokumentem”. Zakładam, że rejestr kategorii czynności przetwarzania „umrze”, bo bóg jeden wie, co poeta miał na myśli, bredząc te słowa. Ale zagrożenie taki, że GIODO wymyśli swoje „kwity” wejdzie rozporządzenie i znowu będzie stos bezużytecznych ewidencji…

  6. Wojtek Buffor

    Bo rejestr czynności przetwarzania prowadzi ADO, a rejestr kategorii czynności przetwarzania prowadzi podmiot przetwarzający.