Jakiej dokumentacji wymaga RODO?
Zastanawiasz się, jakich dokumentów wymaga od ciebie RODO? Posiadasz politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym sprzed kilku lat i nie wiesz, czy dokumenty te nadal są aktualne? A może poszukujesz informacji na temat rejestrów prowadzonych przez podmioty uczestniczące w przetwarzaniu danych osobowych? W artykule zamieszczone zostały informacje na temat:
- dokumentów wymaganych przez RODO,
- przydatności dotychczasowej polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym,
- rejestrach i ewidencjach, jakie należy prowadzić.
Dotychczasowa dokumentacja ochrony danych osobowych
Uprzednio obowiązujące przepisy wykonawcze do ustawy o ochronie danych osobowych wymagały od administratorów i podmiotów przetwarzających posiadania dwóch dokumentów, którymi były:
- polityka bezpieczeństwa – RODO nie wymaga wprowadzania polityk ochrony danych. Obowiązek taki powstanie jedynie, gdy uznasz to za zasadne w oparciu o przeprowadzoną analizę ryzyka. Dokument taki może obejmować podstawowe procedury postępowania z danymi osobowymi,
- instrukcja zarządzania systemem informatycznym – obecnie nie ma obowiązku jego ustanawiania, jednakże posiadanie takiej instrukcji może być zasadne, jako forma zabezpieczenia organizacyjnego (w instrukcji wprowadza się procedury nadawania i zmiany uprawnień, hasłowania, szyfrowania, itp. które mają duże znaczenie dla bezpieczeństwa danych osobowych).
Przeczytaj także:
Instrukcja zarządzania systemem informatycznym
Nowe dokumenty wymagane przez RODO
RODO w kilku miejscach przewiduje konieczność posiadania przez podmioty uczestniczące w przetwarzaniu (administratora danych, podmiot przetwarzający) konkretnych dokumentów, są nimi:
- procedura dotycząca zgłaszania naruszeń (tzw. incydentów) krajowemu organowi nadzorczemu oraz procedura prowadzenia wewnętrznego rejestru naruszeń ochrony danych, rejestr naruszeń (incydentów) – RODO wymaga wprowadzenia procedur reakcji na zgłoszone lub dostrzeżone naruszenia. Pamiętaj, że jako administrator danych masz jedynie 72 godziny od wykrycia incydentu na powiadomienie o tym fakcie Prezesa Urzędu Ochrony Danych Osobowych,
- upoważnienie – każdy pracownik administratora danych osobowych oraz podmiotu przetwarzającego, który dopuszczany jest do pracy z danymi osobowymi, powinien posiadać upoważnienie. Upoważnienie takie wydaje pracodawca (niezależnie czy jest nim administrator danych, czy podmiot przetwarzający) i określa ono zakres, w jakim pracownik uprawniony jest do pracy z danymi osobowymi,
- ewidencja upoważnień – wpisuje się do niej osoby, którym wydano upoważnienia, ich zakres oraz okres ich ważności,
- analiza ryzyka – służy do identyfikowania ryzyka dla praw i wolności osób, których dane dotyczą w procesie przetwarzania ich danych osobowych. Ryzyko te może mieć postać przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, które przetwarza,
- domyślny poziom ochrony danych – w oparciu o analizę ryzyka należy wprowadzić domyślny poziom ochrony danych, jaki będzie obowiązywał w twoim przedsiębiorstwie, zawiera on wskazanie poszczególnych środków bezpieczeństwa, które wdrożyłeś, bądź zamierzasz wdrożyć – mogą to być zabezpieczenia: organizacyjne (np. procedury postępowania z danymi osobowymi), fizyczne (np. zabezpieczenie dokumentów w szafach zamykanych na klucz), informatyczne (np. instalacja oprogramowania antywirusowego, szyfrowanie dysków),
- ocena skutków dla ochrony danych – wykonywana jest w przypadkach wskazanych w RODO, m.in. gdy administrator danych w sposób systematyczny monitoruje miejsca dostępne publicznie, gdy pracodawca wykorzystuje dane biometryczne do identyfikacji pracowników, czy też sklep internetowy profiluje swoich klientów na dużą skalę. Ocena ta powinna zawierać: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora danych,
- umowa powierzenia danych osobowych do przetwarzania – umowę tą zawiera administrator danych osobowych z podmiotem przetwarzającym, określa ona cele oraz zakres danych osobowych i kategorię osób, których te dane dotyczą, względem których administrator upoważnia procesora do przetwarzania. Jeżeli natomiast dane osobowe przekazywane są pomiędzy administratorami danych (dochodzi wtedy do tzw. udostępnienia danych osobowych), kwestie z tym związane powinna regulować umowa zawarta pomiędzy tymi administratorami danych.
Rejestry wymagane przez RODO
W przypadkach wskazanych w RODO masz obowiązek prowadzenia dodatkowych rejestrów, ogólne rozporządzenie o ochronie danych wskazuje na dwa takie rejestry:
- rejestr czynności przetwarzania – co prawda RODO stanowi, że prowadzenie takiego rejestru nie jest obligatoryjne przez przedsiębiorców lub inne podmioty zatrudniające mniej niż 250 osób. Niemniej, będziesz musiał go prowadzić, gdy przetwarzanie danych osobowych może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą (stwierdzone w analizie ryzyka), nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa. Ze względu na fakt, że praktycznie każdy przedsiębiorca przetwarza dane osobowe w sposób ciągły, skorzystanie ze ww. wyjątku dla podmiotów zatrudniających mniej aniżeli 250 osób, może być co najmniej trudne,
- rejestr kategorii czynności przetwarzania – rejestr ten prowadzą podmioty przetwarzające dane osobowe na podstawie umowy powierzenia danych zawartej z ich administratorem danych. Wpisuje się do niego wszystkie kategorie czynności przetwarzania dokonywanych w imieniu administratora danych. W odniesieniu do tego rejestru obowiązuje ten sam wyjątek dla podmiotów zatrudniających mniej niż 250 pracowników. Niemniej, jak wskazano to już wyżej, faktyczne zastosowanie tego wyjątku będzie znikome,
- rejestr naruszeń – należy do niego wpisywać wszystkie stwierdzone incydenty w zakresie ochrony danych osobowych, niezależnie od tego, czy podlegały one zgłoszeniu organowi nadzorczemu. Prowadzenie tego rejestru jest obligatoryjne dla wszystkich podmiotów uczestniczących w przetwarzaniu danych osobowych. RODO nie wprowadza w tym zakresie żadnych wyjątków.
Przeczytaj również:
Rejestr czynności przetwarzania danych osobowych
Procedury dodatkowe
Przyzwyczajenie do rozbudowanej dokumentacji z zakresu ochrony danych osobowych znajduje wyraz w tworzeniu wielu dodatkowych dokumentów przez administratorów danych i podmioty przetwarzające. Są one przydatne w organizacji procesów przetwarzania danych osobowych. Konieczność ich wprowadzenia może zaś wynikać z przeprowadzonej przez ciebie analizy ryzyka, gdy np. uznasz, że uregulowanie określonej procedury pracy z danymi osobowymi korzystnie wpłynie na ich bezpieczeństwo. Wśród procedur takich najczęściej pojawiają się następujące:
-
- procedura nadawania i cofania upoważnień,
-
- procedura prowadzenia rejestrów czynności przetwarzania oraz kategorii czynności przetwarzania,
-
- postępowanie z żądaniami osób, których dane dotyczą,
- procedura zawierania umów powierzenia danych osobowych do przetwarzania.