Poszukując właściwej procedury ochrony danych osobowych możemy bardzo często spotkać w Internecie pakiety wdrożeniowych dokumentów zawierających gotowe wzory dokumentacji RODO. Co taka dokumentacja powinna zawierać? Dlaczego zdarza się, że są one tak różne?
Odpowiedź jest bardzo prosta. Przepisy Rozporządzenia o ochronie danych osobowych RODO nie narzucają obowiązku stworzenia procedury ochrony danych osobowych w takim znaczeniu, jak było to wskazane w ustawie o ochronie danych osobowych z 1997 roku. RODO wskazuje jedynie, że odpowiedni stopień bezpieczeństwa danych można osiągnąć poprzez wdrożenie odpowiednich polityk. Nie ma jednak wskazówek co dokładnie powinna zawierać taka dokumentacja. Jednocześnie biorąc pod uwagę zasadę rozliczalności, jej wdrożenie jest bardzo pożądane ze względu na kwestie dowodowe.
Procedury ochrony danych osobowych, które można spotkać pod nazwą polityk ochrony danych osobowych to wewnętrzne regulacje danej organizacji, w których administrator wskazuje cel, podstawy prawne oraz zakres przetwarzania danych osobowych. Dokumentacja powinna określać również odpowiednie środki organizacyjne i techniczne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO.
Dokumentacja przetwarzania danych osobowych określa także normy postępowania pracowników oraz współpracowników w zakresie ochrony danych osobowych. To także dlatego wszelkie procedury ochrony danych osobowych powinny być wewnętrznie wiążące, czyli przyjęte formalnym aktem w organizacji, który zobowiązuje pracowników i współpracowników do przestrzegania określonych zasad.
Dokumentacja przetwarzania danych osobowych powinna zawierać przede wszystkim:
- rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania, o których mowa w art. 30 RODO,
- potwierdzenie przeprowadzenia ogólnej analizy ryzyka – art. 32 RODO,
- jeśli jest wymagana- potwierdzenie przeprowadzenia oceny skutków dla ochrony danych zgodnie z art. 35 ust. 7 RODO.
Sprawdź jak wdrożyć RODO w twojej organizacji
Dokumentacja przetwarzania danych osobowych – wzór wymaganego rejestru czynności przetwarzania
Art. 30 ust. 1 RODO wskazuje, że w rejestrze czynności przetwarzania prowadzonym przez administratora danych osobowych należy zamieścić następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
- cele przetwarzania,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
- gdy ma to zastosowanie, informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO- dokumentację odpowiednich zabezpieczeń,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Czynności przetwarzania danych, które są prowadzone przez podmiot przetwarzający wskazuje się zaś w rejestrze kategorii czynności przetwarzania. Przykładowymi kategoriami przetwarzania można określić obsługę ą lub wsparcie w zakresie obsługi informatycznej.
Rejestr prowadzony przez podmiot przetwarzający w porównaniu do rejestru prowadzonego przez administratora danych nie musi zawierać takich informacji jak:
- cele przetwarzania danych,
- kategorie osób, których dane dotyczą, oraz kategorie danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
- planowane terminy usunięcia poszczególnych kategorii danych.
Wzory powyżej omawianych rejestrów zostały opublikowane przez Urząd Ochrony Danych Osobowych. Można znaleźć je tutaj: https://uodo.gov.pl/pl/123/214.
Określenie poziomu ryzyka oraz oceny skutków dla ochrony danych
Określenie poziomu ryzyka naruszenia praw i wolności osób, których dane dotyczą, ma kluczowe znaczenie, ponieważ wpływa na dobór odpowiednich środków technicznych i organizacyjnych, które mają zapewnić odpowiedni poziom zabezpieczenia danych osobowych.
Rozporządzenie RODO nie reguluje dokładnie sposobu postępowania w celu dokonania właściwej oceny poziomu ryzyka. Wskazówki w tym zakresie zostały udzielone w poradniku RODO wydanym przez organ nadzorczy, który można znaleźć tutaj: https://uodo.gov.pl/pl/123/208 . Wskazuje on na możliwość wyboru spośród kilku metodologii szacowania poziomu ryzyka. Decyzje o wyborze najwłaściwszej dla organizacji podjąć powinien administrator, przy czym sam wybór metodologii powinien również stanowić element dokumentacji ochrony danych osobowych.
Ocena skutków dla ochrony danych ma za zadanie pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych, które wynikać może z przetwarzania tych danych w określonym procesie.
Ocena skutków dla ochrony danych osobowych powinna zostać wykonana przede wszystkim, w sytuacjach wskazanych w art. 35 ust. 1 i 3 RODO. Administrator powinien udokumentować przeprowadzenie następujących czynności:
- sporządzenia systematycznego opisu planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora,
- dokonania oceny, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
- dokonania oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
- wskazania środków planowanych w celu zaradzenia ryzyku, w tym zabezpieczeń oraz środków i mechanizmów bezpieczeństwa mających zapewnić ochronę danych osobowych i wykazania przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Czy to wystarczy?
Okazuje się, że niestety nie. Dokumentacja o ochronie danych osobowych, zgodnie z kolejnymi obowiązkami administratora wynikającymi z Rozporządzenia RODO, powinna zawierać także wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszania naruszenia ochrony danych do organu nadzorczego. Warto także wprowadzić obowiązek wypełniania na bieżąco, po wystąpieniu każdego incydentu, rejestru naruszeń ochrony danych.
Ponadto, dokumentacja ochrony danych osobowych powinna obejmować procedury związane z pseudonimizacją i szyfrowaniem, jeżeli zostały wdrożone takie rozwiązania. Istotnym z punktu widzenia art. 32 ust. 1 RODO jest także ustanowienie planu ciągłości działania, a także określenie procedur, które pozwolą na przywrócenie dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Niezbędne jest także uregulowanie kwestii związanych z testowaniem, mierzeniem i oceną skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania. Dodatkowo, zgodnie z zapisami Wytycznych WP 248 Grupy Roboczej Art. 29, polityka wewnętrzna administratora danych, może zostać rozszerzona poza zakres wynikający z przepisów RODO.
Dokumentacja o ochronie danych osobowych jest użyteczna wtedy, gdy realizuje swoją funkcję. Wskazuje w jaki sposób pracownicy powinni postępować z danymi osobowymi, aby zapewnić ich odpowiedni stopień bezpieczeństwa. Tworzenie odpowiedniej procedury ochrony danych osobowych powinno zatem rozpoczynać się od określenia jakie aspekty Rozporządzenia RODO wymagają regulacji, ustalać role pracowników w organizacji, zapoznać ich z utworzoną dokumentacją i procedurami, a przede wszystkim nauczyć pracowników stosowania regulacji w praktyce. Niezbędne w tym celu są szkolenia.
Przeczytaj również: bezpieczeństwo danych