Przygotowanie i wdrożenie właściwej dokumentacji jest jednym z podstawowych elementów wdrożenia systemu ochrony. Wdrożenie RODO jest procesem złożonym i wielowymiarowym. Obejmuje kilka etapów, które powinny być realizowane z uwzględnieniem specyfiki działalności organizacji, rodzaju i zakresu przetwarzanych danych osobowych oraz jej możliwości finansowych i organizacyjnych.
Wdrożenie RODO jest nie tylko spełnieniem obowiązku prawnego, ale także wielką korzyścią dla organizacji. Pomaga w budowaniu zaufania i lojalności klientów i partnerów biznesowych, poprawia reputację i wizerunek organizacji oraz chroni ją przed negatywnymi skutkami naruszeń ochrony danych osobowych, takimi jak kary finansowe, roszczenia odszkodowawcze czy utrata konkurencyjności na rynku.
Odpowiedzialność za posiadanie prawidłowo sporządzonej dokumentacji w zakresie ochrony danych osobowych i wdrożenie zasad w niej wskazanych ponosi administrator.
Należy podkreślić, iż przepisy RODO w swej treści wymieniają jedynie kilka dokumentów, których wdrożenie w organizacji jest obligatoryjne. Oznacza to, iż legislator pozostawił administratorom dużą dowolność w kwestii tworzenia dokumentacji dotyczącej ochrony danych osobowych.
Podejmując decyzję, jakie dokumenty wdrożyć w organizacji, należy mieć na uwadze zasadę rozliczalności opisaną w art. 5 ust. 2 RODO. Zgodnie bowiem z jej brzmieniem, administrator musi być w stanie wykazać przestrzeganie zasad:
- zgodności z prawem, rzetelności i przejrzystości,
- ograniczenia celu,
- minimalizacji danych,
- prawidłowości,
- ograniczenia przechowywania,
- integralności i poufności.
W RODO wskazano wprost dokumenty, jakie powinien posiadać administrator.
Do obowiązkowej dokumentacji można zaliczyć:
- polityki ochrony danych (jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania) – art. 24 ust. 2 RODO;
- prowadzenie rejestrów czynności przetwarzania danych osobowych i rejestrów kategorii czynności przetwarzania – art. 30 RODO;
- prowadzenie rejestru naruszeń – art. 33 ust. 5 RODO;
- sporządzanie raportu dokumentującego wyniki ocen skutków przetwarzania danych – art. 35 ust. 1.
Polityki ochrony danych
W myśl art. 24 ust. 2 RODO, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, odpowiednie środki techniczne i organizacyjne, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
Z kolei zgodnie z motywem 78 RODO, aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.
Podkreślenia wymaga, iż przepisy RODO nie precyzują jak powinna wyglądać polityka ochrony danych oraz jakie powinna zawierać postanowienia, niemniej, podczas jej tworzenia należy mieć na uwadze zasadę rozliczalności.
Praktyka pokazuje, iż tworząc dokument polityki ochrony danych należy w jej treści uwzględnić takie kwestie, jak:
- zasady i cele polityki,
- zakres obowiązków i odpowiedzialności w procesie zarządzania bezpieczeństwem danych osobowych;
- procedura upoważniania do przetwarzania danych osobowych;
- procedura udostępniania i powierzania przetwarzania danych;
- realizacja obowiązku informacyjnego i żądania podmiotów danych;
- informacje dotyczące prowadzenia rejestry czynności przetwarzania i rejestru kategorii czynności przetwarzania;
- analiza ryzyka;
- procedura dotycząca realizacji polityki privacy by default, privacy by design oraz DPIA (ocena skutków dla ochrony danych);
- zasady wyboru podstawy przetwarzania oraz retencja danych;
- środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych;
- procedura dotycząca postępowania w przypadku incydentów bezpieczeństwa.
Rejestr czynności przetwarzania danych osobowych i rejestr kategorii czynności przetwarzania
Zgodnie z art. 30 ust. 1 RODO każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Zgodnie z art. 30 ust. 2 RODO, każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Należy zwrócić uwagę, iż zgodnie z motywem 13 RODO, z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Artykuł 30 ust. 5 RODO doprecyzowuje motyw 13. Stanowi on, że obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że, przetwarzanie, którego dokonują:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego,
- obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Grupa Robocza artykułu 29 ds. ochrony danych podkreśla, że brzmienie artykułu 30 ust. 5 RODO jasno przewiduje, że trzy rodzaje przetwarzania, do których wyjątek nie ma zastosowania, mają charakter alternatywny („lub”) i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania.
Rejestry mają formę pisemną, w tym formę elektroniczną.
Zgodnie z motywem 82 RODO, wyróżniamy dwa podstawowe cele prowadzenia rejestrów:
- zachowanie przez administratora i podmiot przetwarzający zgodności z przepisami RODO;
- umożliwienie organowi nadzorczemu monitorowania wszystkich procesów przetwarzania danych w organizacji.
Administratorzy lub podmioty przetwarzające oraz – gdy ma to zastosowanie – ich przedstawiciele — mają obowiązek udostępnić rejestry na każde żądanie organu nadzorczego.
Rejestry ułatwiają stałą weryfikację działalności w zakresie przetwarzania danych osobowych — systematyzują wykonywane czynności przetwarzania oraz pomagają w monitoringu prowadzonych operacji przetwarzania danych osobowych pod względem zgodności zarówno z wymaganiami prawnymi, jak i z celami biznesowymi. Informacje zebrane w rejestrach mogą posłużyć również administratorom i podmiotom przetwarzającym do oceny, czy powinni spełnić inne obowiązki wynikające z RODO, np. przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych.
Rejestr naruszeń ochrony danych osobowych
Zgodnie z art. 33 ust. 5 RODO administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania niniejszego artykułu.
Grupa robocza art. 29 ds. ochrony danych w wytycznych dotyczących zgłaszania naruszenia ochrony danych osobowych na mocy RODO zwraca uwagę, iż rozporządzenie nie określa czasu przechowywania takiej dokumentacji. W przypadku, gdy rejestr zawiera dane osobowe, obowiązkiem administratora będzie określenie odpowiedniego okresu przechowywania zgodnie z zasadami dotyczącymi przetwarzania danych osobowych oraz spełnienie wymogów odnośnie podstawy prawnej przetwarzania. Administrator musi przechowywać dokumentację zgodnie z art. 33 ust. 5 RODO na wypadek, gdyby został wezwany do udowodnienia przed organem nadzorczym spełnienia wymogów zapisanych w tym artykule lub zgodności z zasadą rozliczalności. Jeżeli takie rejestry nie zawierają danych osobowych, wówczas zasada ograniczenia przechowywania zawarta w RODO nie ma zastosowania.
Grupa robocza art. 29 zaleca również dokumentowanie uzasadnienia decyzji podjętej w odpowiedzi na naruszenie. W szczególności należy udokumentować powody decyzji o niezgłoszeniu naruszenia. Należy także podać przyczyny, dla których administrator uważa, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych.
Biorąc pod uwagę powyższe wytyczne i praktykę, w rejestrze należy ująć:
- informacje o wystąpieniu zdarzenia i stwierdzeniu naruszenia (data i miejsce zdarzenia, data i źródło uzyskania informacji, data i godzina stwierdzenia naruszenia);
- opis i okoliczności naruszenia (charakter naruszenia, kategoria osób, zakres danych, liczba osób, których naruszenie dotyczy);
- skutki naruszenia (opis kategorii naruszenia);
- środki naprawcze i zaradcze;
- wynik oceny ryzyka naruszenia;
- czy zgłoszono naruszenie do PUODO – data zgłoszenia, jeżeli nie to z jakich powodów;
- czy poinformowano osoby, których dane dotyczą, jeśli tak, to w jaki sposób, jeśli nie, to dlaczego.
Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art. 24 RODO.
Jak wskazuje art. 33 ust. 5 RODO, organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na zweryfikowanie przestrzegania RODO w zakresie tych obowiązków. Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.
Ocena skutków dla ochrony danych (DPIA)
Zgodnie z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Zatem, DPIA to proces, który prowadzi do oceny, czy przy przetwarzaniu danych osobowych występuje ryzyko naruszenia praw osób, których dane dotyczą.
Proces ten ma być realizowany przed przystąpieniem do przetwarzania danych (na etapie planowania) i dotyczy niektórych rodzajów przetwarzania, z którymi może wiązać się wysokie ryzyko.
Ocena skutków dla ochrony danych, jest wymagana w szczególności w przypadku:
- systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO;
- systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Ocena powinna zawierać co najmniej:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
- środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Praktyka pokazuje, że katalog dokumentacji RODO nie jest wystarczający, aby administrator mógł skutecznie wykazać, że jego działalność jest zgodna z przepisami dotyczącymi ochrony danych osobowych.
Doświadczenie, potrzeby organizacji, a także decyzje i wytyczne Prezesa UODO pozwalają zidentyfikować dokumenty, które są niezbędne do przestrzegania przepisów RODO oraz są narzędziami do skutecznego zarządzania procesami związanymi z ochroną danych osobowych.
Do dodatkowej dokumentacji, którą należy prowadzić mając na względzie zasadę rozliczalności, należą m.in.:
- wzory rejestrów z zakresu ochrony danych osobowych: rejestr upoważnień, szkoleń, wniosków podmiotów danych, danych udostępnionych, które umożliwią wykazanie przestrzegania przepisów RODO;
- wzory klauzul informacyjnych oraz klauzul zgód dostosowane do aktualnych potrzeb biznesowych, które zapewnią spełnienie obowiązku informacyjnego wobec podmiotu danych;
- wytyczne dotyczące przeprowadzenia testu równowagi, w których zawarte będą informacje, w jaki sposób należy przeprowadzić test polegający na wykazaniu równowagi między interesami administratora a interesami, prawami i swobodami podmiotu danych;
- wzór umowy powierzenia, która będzie regulowała relacje pomiędzy administratorem i podmiotem przetwarzającym oraz rejestr umów powierzenia;
- zasady weryfikacji podmiotu przetwarzającego na etapie wyboru oraz w toku realizacji umowy, które pomogą w spełnieniu obowiązku prawnego przed oraz trakcie powierzenia przetwarzania danych;
- wewnętrzne procedury i instrukcje dotyczące oceny skutków dla ochrony danych, podejścia privacy by default i privacy by design, które pozwolą zapewnić, że dane osobowe będą chronione przez cały cykl istnienia określonego procesu biznesowego w organizacji, począwszy od fazy jego planowania, poprzez projektowanie, tworzenie, wdrożenie, stosowanie, aż po zakończenie działania danego procesu;
- wzory upoważnień do przetwarzania danych osobowych i oświadczeń o zachowaniu danych w poufności, które są wymagane aby poszczególne osoby mogły przetwarzać dane osobowe w organizacji;
- plan retencji danych osobowych, który będzie określał czas przetwarzania danych oraz zasady postępowania w zakresie ustalania czasu przetwarzania danych osobowych przez organizację;
- polityka kontaktów z organem nadzorczym, która będzie opisywała zasady i tryb kontaktów administratora z organem nadzorczym;
- dokumentacja dotycząca transferów danych poza EOG;
- standardowe klauzule umowne;
- dokumenty regulujące bezpieczeństwo danych osobowych (np. polityka bezpieczeństwa IT).
Wskazany wyżej katalog nie jest zamknięty, powinien być on dostosowany do potrzeb danej organizacji i ryzyk w niej występujących. To zakres działalności administratora wyznacza w dużej mierze obszar do regulacji w zakresie ochrony danych osobowych.
Należy podkreślić, iż ważne jest nie tylko posiadanie odpowiedniej dokumentacji, ale również jej wdrożenie i codzienne stosowanie. W związku z tym, dokumentacja dotycząca ochrony danych osobowych powinna wejść do zbioru regulacji wewnętrznych. Istotne jest również to, aby organy spółki, wszyscy pracownicy oraz współpracownicy zapoznali się z dokumentacją, a także wiedzieli jak ją stosować. Dokumentacja powinna być regularnie sprawdzana i aktualizowana, zarówno wtedy gdy w organizacji zmieniają się procesy, jak również wtedy gdy zmianie ulega stan prawny.