Czy posiadanie tylko polityki ochrony danych osobowych przez komornika oznacza zgodność z RODO?

16 stycznia 2019

Opublikowano przez: Klaudia Maciejewska

KATEGORIA: RODO informator

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)[1] nakłada na administratorów danych osobowych i podmioty przetwarzające szereg obowiązków dokumentacyjnych.

Należą do nich:

  • rejestr czynności przetwarzania (w przypadku administratorów danych osobowych), rejestr kategorii przetwarzania (w przypadku podmiotów przetwarzających)[2]; rejestry mają formę pisemną, w tym formę elektroniczną;
  • dokumentacja wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, skutków naruszenia oraz podjętych działań zaradczych[3];
  • notyfikacja naruszenia ochrony danych osobowych organu nadzorczego o zakresie informacyjnym[4];
  • zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony danych (w przypadku wysokiego naruszenia praw lub wolności osób fizycznych[5]);
  • ocena skutków dla ochrony danych[6];
  • dokumentacja uprzednich konsultacji z organem nadzorczym[7].

Oprócz powyższego, w myśl art. 24 rozporządzenia administrator danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te w razie potrzeby są poddawane przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki techniczne i organizacyjne obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40 rozporządzenia, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 46 rozporządzenia, może być wykorzystywane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Do środków organizacyjnych, oprócz polityk ochrony danych, zaliczyć można m.in. instrukcję zarządzania systemem informatycznym, politykę bezpieczeństwa przetwarzania danych osobowych, analizę ryzyka, ewidencję osób upoważnionych do przetwarzania danych osobowych, rejestr osób upoważnionych do przetwarzania danych osobowych w systemie informatycznym, procedurę nadawania upoważnień, procedurę nadawania upoważnień w systemach informatycznych, rejestr umów powierzenia[8].

Biorąc powyższe pod uwagę, działalność komornika sądowego jako administratora danych, który posiada tylko politykę ochrony danych osobowych, nie jest zgodna z rozporządzeniem, albowiem nakłada ono na niego szereg obowiązków, w tym dokumentacyjnych, celem wdrożenia rozporządzenia, zapewnienia bezpieczeństwa przetwarzania danych osobowych oraz wykazania, że przetwarzanie danych osobowych odbywa się zgodnie z rozporządzeniem.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), Dz.Urz. UE L 119, s. 1, zwane dalej: rozporządzeniem.

[2] Art. 30 ust. 1 i 2 rozporządzenia.

[3] Zgodnie z art. 33 ust. 5 rozporządzenia, administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania niniejszego artykułu.

[4] Art. 33 ust. 3 rozporządzenia.

[5] Art. 34 ust. 3 rozporządzenia.

[6] Art. 35 ust. 7 rozporządzenia.

[7] Zgodnie z art. 36 ust. 3 rozporządzenia, konsultując się z organem nadzorczym, zgodnie z ust. 1, administrator przedstawia mu: a) gdy ma to zastosowanie – odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw; b) cele i sposoby zamierzonego przetwarzania; c) środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z niniejszym rozporządzeniem; d) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych; L 119/54 PL Dz.Urz. UE 4.5.2016 e) ocenę skutków dla ochrony danych, o której mowa w art. 35; oraz f) wszelkie inne informacje, których żąda organ nadzorczy.

[8] Biorąc pod uwagę standardy i normy w zakresie bezpieczeństwa.

Zobacz pełny artykuł