Ogólna analiza ryzyka w praktyce

Do 25 maja 2018 r. nie ulegało wątpliwości, że na każdej organizacji przetwarzającej dane osobowe ciążył obowiązek prowadzenia dokumentacji przetwarzania danych osobowych. Treść dokumentacji, na którą składała się polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, była ściśle określona przez przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych (...) i nie była różnicowana ze względu na wielkość organizacji lub branżę, w której organizacja działała. W praktyce ochrona danych osobowych była zatem (o ile w ogóle była) wyłącznie „papierowa” (paper based approach). Stąd prezentowane przez RODO podejście do ochrony danych osobowych oparte o ryzyko ich przetwarzania przez konkretną organizację (risk based approach), określano jako „rewolucyjne”. Wielu komentatorów wskazywało, że RODO wprost zwalnia organizacje z obowiązku prowadzenia dokumentacji przetwarzania danych osobowych. Nastroje te szybko ostudził jednak Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO), zamieszczając na stronie Urzędu wykaz niezbędnej dokumentacji przetwarzania danych osobowych zgodnie z RODO[1]. Wskazując kompleksową dokumentację przetwarzania danych osobowych jako instrument wykazujący zgodność wykonywanych czynności przetwarzania z przepisami praw...

Dalsza część jest dostępna dla użytkowników z wykupionym planem