Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) nakłada na przedsiębiorców szereg obowiązków. Wśród nich wyszczególnić możemy konieczność sporządzenia istotnych z punktu ochrony danych osobowych dokumentów.
Przepisy RODO z reguły nie wskazują konkretnych, gotowych form, czy treści takich dokumentów, niemniej możliwym jest wyszczególnienie pewnych elementów obligatoryjnych, które powinny znaleźć się w treści dokumentacji RODO. Takie wzorce w systemie RODO stanowić mogą dobrą bazę do dostosowania działalności firmy do wymogów RODO. Warto przy tym, z uwagi na specjalistyczną materię danych osobowych, powierzyć sporządzenie dokumentacji RODO podmiotom profesjonalnie zajmującym się branżą ochrony danych osobowych.
Wzór polityki ochrony danych osobowych – co powinien zawierać ten dokument?
Polityka ochrony danych osobowych to jeden z najistotniejszych dokumentów, który przedsiębiorcy powinni przygotować, zgodnie z wymogami RODO. Przepisy RODO nie przewidują przy tym jednego konkretnego wzorca tego dokumentu. Można jednak wyróżnić pewne elementy, które zawsze powinny znaleźć się w treści dokumentu polityki ochrony danych osobowych, a są to:
- podstawa prawna sporządzonego dokumentu ze szczególnym uwzględnieniem RODO oraz ustawy o ochronie danych osobowych z 10 maja 2008 r.;
- słowniczek zawierający definicję najistotniejszych pojęć;
- informacje dotyczące sposobu udostępniania danych osobowych i nadania upoważnienia do ich przetwarzania wraz z informacją o obowiązku zachowania tajemnicy i wzorem oświadczenia o zachowaniu tajemnicy oraz konsekwentnie informacje dotyczące procedur anulowania takich uprawnień;
- wykaz zabezpieczeń technicznych i fizycznych, które w założeniu zapewnić mają ochronę danych osobowych przed wyciekiem informacji wrażliwych i naruszeniem ich przez osoby trzecie;
- wykaz budynków oraz pomieszczeń, w których będzie dochodziło do przetwarzania danych osobowych;
- opis rejestru czynności przetwarzania danych osobowych;
- zakres odpowiedzialności za realizację obowiązku ochrony danych osobowych – określenie obowiązków osób w przedsiębiorstwie, czyli kto, komu, co zgłasza.
Wzór planu ciągłości działania – co powinien zawierać ten dokument?
Kolejnym istotnym dokumentem związanym z ochroną danych osobowych jest tzw. plan ciągłości działania. W treści takiego dokumentu powinien znaleźć się zbiór procedur, informacji i działań w zakresie kluczowych obszarów przedsiębiorstwa, na wypadek zdarzeń kryzysowych jak m.in. katastrofy naturalne (powodzie, pożary, huragany), wojny, epidemie, katastrofy budowlane itp.
Również w tym wypadku trudno mówić o istnieniu jednego wzorca systemowego RODO dla planu ciągłości działania. Dokument ten w swojej treści powinien korespondować z rodzajem prowadzonej działalności i mogących wystąpić w jej ramach zdarzeń kryzysowych.
Z uwagi jednak na fakt, że istnieją pewne elementy wspólne dla dokumentów tego rodzaju, można wyszczególnić, że plan ciągłości działania powinien zawierać co najmniej:
- Sposób sprawnego przekazania komunikatu na temat wystąpienia zdarzenia kryzysowego;
- Precyzyjne określenie i podział ról oraz zadań poszczególnych jednostek, zmierzających do zapewnienia ciągłości działania w przypadku wystąpienia zdarzenia kryzysowego i usunięcia jego negatywnych następstw;
- Opracowanie procedur, które zostaną podjęte w przypadku wystąpienia zdarzeń krytycznych, a których celem będzie kontynuowanie lub odzyskanie w określonym czasie ciągłości działania przedsiębiorstwa lub organizacji;
- Wskazanie działań, które zostaną podjęte w celu bieżącego monitorowania wpływu zdarzenia kryzysowego na bieżące działanie przedsiębiorstwa/organizacji;
- Zasady wewnętrznego raportowania na temat aktualnego statusu działań podjętych w celu usunięcia negatywnych skutków zdarzenia kryzysowego.
Wzór rejestru czynności przetwarzania – co powinien zawierać taki dokument?
Istotnym dokumentem, o stworzeniu którego RODO mówi w sposób jednoznaczny, jest rejestr czynności przetwarzania, o którym mowa w art. 30 ust. 1. Jaka sama nazwa wskazuje, rejestr ten zawiera informacje o przetwarzanych danych a jego celem jest udokumentowanie procesów u administratora.
O ile sam rejestr może mieć dowolną formę, to przy opracowaniu wzorca rejestru czynności przetwarzania trzeba pamiętać, że znaleźć w nim się muszą informacje o:
- imię i nazwisko lub nazwa oraz dane kontaktowe administratora,
- współadministratorów i inspektora danych osobowych,
- cele przetwarzania danych osobowych,
- opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, kategorie odbiorców,
- informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej(z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń, planowane terminy usunięcia poszczególnych kategorii danych osobowych, opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych wobec przetwarzanych danych osobowych.
Obok rejestru czynności, jeżeli przetwarzamy dane w imieniu innych podmiotów – działając jako podmiot przetwarzający (procesor) należy wprowadzić drugi dokument, rejestr kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2.
Wzór umowy powierzenia danych osobowych – co powinien zawierać ten dokument?
Innym przykładem istotnego z punktu widzenia RODO dokumentu jest umowa powierzenia danych osobowych. Jest to umowa, którą powinien zawrzeć administrator danych osobowych z podmiotem trzecim, który świadczy na jego rzecz usługi, w ramach, których będzie przetwarzał dane udostępnione przez administratora.
Do najistotniejszych elementów takiej umowy można zaliczyć:
- określenie ADO (administratora danych osobowych);
- określenie Procesora (podmiotu zewnętrznego, któremu powierza się dane osobowe);
- zakres danych powierzanych Procesorowi oraz czas przetwarzania takich danych;
- możliwie precyzyjne określenie celu przetwarzania danych osobowych, jak również sprecyzowanie jakich kategorii podmiotów dotyczą dane podlegające powierzeniu;
- wymienienie obowiązków administratora danych osobowych;
- oświadczenie podmiotu przetwarzającego o zaznajomieniu się z ciążącymi na nim obowiązkami, wymienienie tych obowiązków.