Dokumentacja RODO

BySylwia Ostrowska
dokumentacjaSzmat czasu od wdrożenia RODO za nami…

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zaczęło obowiązywać w 2018 roku. Od tego czasu minęło już prawie 5 lat, ale niestety wiele organizacji nadal nie dostosowało się do jego wymagań. Nie zrobiło nawet tych najprostszych rzeczy jak opracowanie i wdrożenie dokumentacji ochrony danych osobowych. Nie powinno nikogo dziwić, że należałoby opracować i wdrożyć dokumentację ochrony danych osobowych, bo nie jest to wymysł RODO. Już wcześniejsza polska ustawa o ochronie danych osobowych o niej mówiła. Czas mija, wycieki się pojawiają, naruszenia są, kary się sypią, a właściciele, zarządcy firm nic nie robią.

Wyzwania związane z ochroną danych osobowych są nadal aktualne…

Co roku jest organizowany Dzień Ochrony Danych Osobowych. W Polsce Urząd Ochrony Danych Osobowych zorganizował w tym roku konferencję pod hasłem: „Przyszłość ochrony danych osobowych w świetle rozwoju technologii”. Jak widać, technologia ma wpływ i to zarówno na dane osobowe jak i cyberzagrożenia itd. W ramach konferencji omawiano wyzwania jakie stoją przed organizacjami na gruncie ochrony danych osobowych. Poruszano także tematy związane z retencją danych, naruszeniami, postępowaniem z nimi, prawidłowością przetwarzania danych i wiele innych. Warto wiedzieć, że bardzo często pracownicy organizacji nie wiedzą jak właściwie postępować, bo nie mają możliwości zapoznania się z dokumentacją ochrony danych osobowych. Tak z dokumentacją, niby nic, a jednak tak wiele.

Prowadzenie dokumentacji ochrony danych osobowych to obowiązek każdej organizacji….

Dokładnie tak jest, dokumentację ochrony danych osobowych powinna prowadzić każda organizacja, zarówno publiczna jak i prywatna. Firmy prywatne często błędnie podchodzą do tematu, zakładając, że skoro nie muszą mieć IOD (pamiętajmy, że niektóre muszą wyznaczać Inspektora Ochrony Danych), to nie podlegają również pod inne obowiązki wynikające z RODO. Tak nie jest, pod RODO podlegają wszyscy. Niedowiarkom mogę przypomnieć brzemiennie wychodzące z art. 4 RODO: „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych…”. Czyli każda organizacja. Wracając do obowiązku prowadzenia dokumentacji ochrony danych osobowych, już tą konieczność znajdziemy w art. 24 ust. 2 RODO. Artykuł ten mówi, że jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki techniczne i organizacyjne, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. Wprost odniesienie do obowiązku wdrożenia dokumentacji ochrony danych osobowych znajdujemy w art. 30 RODO.

Najprościej, zgodność z RODO, w szerokim rozumieniu, należy dokumentować na cztery sposoby

Zaczynamy od dokumentacji ochrony danych osobowych poprzez wdrożenie niezbędnych polityk i procedur. Dalej dokumentujemy poprzez prowadzenie właściwych rejestrów i ewidencji. Kolejnym etapem pozwalającym na potwierdzenie zgodności jest prowadzenie analizy ryzyka, DPIA oraz regularnych analiz zgodności. Czwartym sposobem będzie stosowanie właściwych postanowień i klauzul w umowach, formularzach, na stronie internetowej oraz w innych miejscach, gdzie pozyskiwane są dane osobowe. Odniesienia do dokumentacji ochrony danych osobowych można odnaleźć w zaleceniach Prezesa UODO, jak i w samym RODO. Wspomniany już wyżej art. 30 RODO wskazuje obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych oraz rejestru wszystkich kategorii czynności przetwarzania.

Nie można zapominać o rozliczalności…

Rozliczalność znamy wszyscy, pojawia się w wielu różnych przepisach prawa. Choćby w trakcji kontroli finansowej naszej organizacji, nieposiadanie dokumentów potwierdzających prawidłowe rozliczanie organizacji może się skończyć źle. RODO również wprowadza zasadę rozliczalności. Zasada rozliczalności nakłada na administratora danych ciężar dowodowy, polegający na konieczności wykazania przez niego zarówno przed organem nadzorczym, jak również przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych. Rozliczalność najłatwiej utrzymać dzięki bieżącemu prowadzeniu dokumentacji ochrony danych osobowych. Udowodnienie przez administratora danych wywiązywania się z obowiązków na niego nałożonych przez RODO podnosi również jego wartość i zwiększa zaufanie klientów.

Dokumentować, łatwo powiedzieć, ale tzn. co prowadzić…

Jak już wyżej wspominałem, w zakresie dokumentacji ochrony danych osobowych wytyczne znajdziemy w samym RODO. Poza wspomnianymi już art. 24 i 30, odniesienia znajdziemy też:

  • 5 – retencja danych;
  • 7, 12 – 22 – realizacja praw osób, których dane dotyczą;
  • 25 – privacy by design i privacy by default.
  • 29 – procedura nadawania upoważnień, ewidencja upoważnień;
  • 32 – plan ciągłości działania, procedury odtwarzania systemu po awarii oraz ich testowania;
  • 33 – postępowanie z incydentami ochrony danych osobowych;
  • 34 – procedura na wypadek wystąpienia naruszeń;
  • 35 – ocena skutków dla ochrony danych osobowych;
  • 39 – procedura szkoleń, procedura audytu wewnętrznego.

Jak widać o dokumentacji ochrony danych osobowych już sama dyrektywa wiele mówi. Pamiętajmy jednak, że mamy również inne akty prawne obowiązujące w naszym kraju. Te inne to np. przepisy prawa telekomunikacyjnego, gdzie należy unormować przepisy w zakresie cookie. Innym przepisem, będzie znany wszystkim pracownikom kodeks pracy, który również normuje przepisy dotyczące ochrony danych osobowych.

Dokumentacja powinna być dostosowana do konkretnej organizacji…

Istotną kwestią przy opracowywaniu dokumentacji ochrony danych osobowych jest to, aby była ona dostosowana do naszej organizacji. Dokumentacja RODO powinna zostać dostosowana do szczególnych uwarunkowań organizacji. Do obowiązujących w niej reguł, zasad, liczby zatrudnionych osób, potrzeb czy działalności. Nie ma jednej listy dokumentów, która byłaby konieczna dla wszystkich firm. W niektórych firmach będzie dużo procedur w innych mniej itd. Opracowując dokumentację ochrony danych osobowych powinniśmy znać organizację i jej potrzeby. Powinniśmy też znać się na ochronie danych osobowych. Brak specjalistycznej wiedzy może doprowadzić do nadmiarowości w wytworzonych dokumentów. Łatwo powiedzieć posiadać specjalistyczną wiedzę. Organizacje posiadające Inspektora Ochrony Danych, ale takiego z „prawdziwego zdarzenia”, nie będą miały z tym problemów. Pozostałe często wybierają usługi pełnego wdrożenia RODO, co wiąże się z „wysokimi kosztami”. Jest jednak rozwiązanie dostępne na rynku. To wybór usługi DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH, oferowanej przez naszą firmę.

Jak to się odbywa…

Proces rozpoczynany jest od przeprowadzenia audytu, następnie opracowania raportu rozbieżności, a na końcu po dokonaniu ustaleń z Klientem aktualizacji (opracowania) dokumentacji. Aby ocenić, jakie polityki, procedury, rejestry będą proporcjonalne w stosunku do czynności przetwarzania, należy spojrzeć z perspektywy poszczególnych aspektów ochrony danych osobowych, regulowanych przez RODO. RODO pozostawia dość sporo swobody w zakresie stosowanej dokumentacji. Mimo to nie należy zapominać, że prowadzenie dokumentacji jest obowiązkiem każdej firmy, a jej brak może skutkować odpowiedzialnością karno-administracyjną.

 

 

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *