Rozporządzenie o ochronie danych osobowych (dalej również: RODO) jedynie pośrednio wskazuje na dokumenty niezbędne dla realizacji obowiązku dokumentowania przetwarzania danych osobowych.
Przeczytaj również: Kary RODO
Analizując poszczególne przepisy RODO można zauważyć, że przedsiębiorca, który zamierza zrealizować obowiązek dokumentowania przetwarzania danych osobowych powinien przygotować co najmniej dokumentację:
- rejestru czynności przetwarzania danych przez administratora danych – art. 30 ust. 1 RODO;
- rejestru kategorii czynności przetwarzania przez podmiot przetwarzający- art. 30 ust. 2 RODO;
- zasad zgłaszania naruszeń ochrony danych do organu nadzorczego – art. 33 ust. 3 RODO;
- w zakresie rejestru naruszeń ochrony danych – art. 33 ust. 5 RODO;
- w zakresie raportowania oceny skutków dla ochrony danych –art. 35 ust. 7 RODO.
Przepisy RODO nie narzucają w zakresie w/w dokumentów by miały one mieć konkretną nazwę, czy strukturę. Dla realizacji obowiązku dokumentowania przetwarzania danych osobowych niezbędne jest jednak, żeby na podstawie sporządzonej dokumentacji można było wykazać, że spełnione zostały wszystkie wyżej opisane wytyczne narzucone przez RODO.
Sprawdź jak wdrożyć RODO w twojej organizacji
Obowiązek informacyjny przetwarzania danych
Przepisy RODO nakładają na administratora danych osobowych również tzw. obowiązek informacyjny. Obowiązek informacyjny polega na udzieleniu wszystkim podmiotom, których dane są przetwarzane konkretnych informacji.
Szczegółowy zakres realizowania obowiązku informacyjnego został określony w przepisach RODO przede wszystkim w art. 13 oraz art. 14 RODO. Dyspozycja art. 13 RODO dotyczy sytuacji, w których dane osobowe zbierane są bezpośrednio od osoby, której dane dotyczą. W takim wypadku obowiązek informacyjny przetwarzania danych obejmuje udzielenie następujących informacji:
- tożsamość i dane kontaktowe administratora danych osobowych (ewentualnie jego przedstawiciela);
- dane kontaktowe inspektora ochrony danych (o ile taki podmiot występuje w danym przedsiębiorstwie);
- cel i podstawę prawną przetwarzania danych osobowych;
- informacje o odbiorcach danych osobowych;
- w razie potrzeby również informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
Powyższe elementy stanowią podstawę realizacji obowiązku informacyjnego przetwarzania danych osobowych. Niezależnie w art. 13 ust. 2 RODO wskazano również katalog innych, istotnych informacji, których musi udzielić administrator danych osobowych. Należą do nich m.in. okres przetwarzania danych lub kryterium ustalenia takiego okresu, informacje o prawie do dostępu do danych osobowych osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, informacje o prawie wniesienia skargi do organu nadzorczego.
Drugą podstawę prawną dla obowiązku informacyjnego przetwarzania danych stanowi art. 14 RODO. Przepis ten znajdzie zastosowanie w sytuacji, w której danych osobowych nie pozyskano od osoby, której dane dotyczą. Mimo takiego rozróżnienia, katalog informacji, których powinien udzielić administrator danych osobowych takiej osobie jest analogiczny jak w art. 13 RODO.
Omawiając obowiązek informacyjny przetwarzania danych osobowych warto przy tym pamiętać, że uaktywnia się on nie tylko wtedy, gdy dane zbierane są od konkretnej osoby po raz pierwszy, ale również zawsze wtedy, gdy administrator pozyskuje nowe dane osobowe od takiej osoby.
Zgoda na udostępnienie danych osobowych
W ramach przetwarzania danych osobowych istotną kwestią jest możliwość udostępniania takich danych innym podmiotom. Zasadniczo udostępnienie danych osobowych innemu podmiotowi wymaga uprzedniej zgody osoby, której dane dotyczą. Co jeśli administrator danych osobowych nie dysponuje stosowną zgodą?
Okazuje się, że istnieje możliwość udostępnienia danych osobowych innemu podmiotowi nawet w braku zgody osoby, której dane są udostępniane. Zgoda taka nie jest wymaga m.in. gdy: 1) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 2) dochodzi do realizacji umowy, gdy osoba, której dane dotyczą, jest stroną umowy lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 3) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 4) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, 5) jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, 6) jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.