Natalia Świderska-Piksa
|
10 lutego 2022
Spis treści

Z uwagi na fakt, że od dnia 25 maja 2018 r. RODO zaczęło bezpośrednio obowiązywać w polskim porządku prawnym utraciły moc wcześniej obowiązujące w tym zakresie akty prawne, w szczególności te dotyczące wymagań formalnych związanych z prowadzoną dokumentacją w obszarze danych osobowych.

W poprzednio istniejącym stanie prawnym stosowane było w praktyce rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, które zawierało szczegółowe wytyczne w zakresie wyżej wymienionym.

Brak w RODO wymagań formalnych dotyczących prowadzonej dokumentacji przetwarzania danych osobowych na wzór nieobowiązującego już rozporządzenia, nie oznacza, jednakże, że przedsiębiorcy nie mają w tym zakresie żadnych obowiązków.

Co mówi nam RODO na temat dokumentacji dotyczącej przetwarzania danych osobowych?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w większości przypadków posługuje się ogólnie sformułowanymi zasadami odnoszącymi się do dokumentacji związanej z danymi osobowymi, co miało w założeniu prowadzić do zapewnienia spójnego i jednolitego stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych w całej Unii, usunięcie przeszkód w przepływie danych osobowych oraz zapobieganie rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym.

Ogólne sformułowanie przepisów RODO wynika także z głównych jego założeń dotyczących tego, że ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik (tzw. neutralność technologiczna RODO).

Istnieją jednak obszary, w stosunku do których w Ogólnym rozporządzeniu o ochronie danych osobowych nakreślono pewne wytyczne, a mianowicie są to:

  • prowadzenie rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;

  • zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;

  • prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych osobowych, o którym mowa w art. 33 ust 5 RODO;

  • zawartość raportu przedstawiającego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

RODO nie zawiera jednak konkretnych zaleceń odnoszących się do nazewnictwa w/w dokumentów. Istotne jest tylko to, aby administrator danych osobowych potrafił wykazać, że posiada odpowiednie dokumenty oraz aby ich zawartość była zgodna z wymaganiami zawartymi w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 RODO. Należy mieć na uwadze, że przytoczone przepisy nie są jedynymi, które należy uwzględnić przy opracowywaniu dokumentacji RODO. Ich wyróżnienie nastąpiło tylko z tego względu, że w całym gąszczu bardzo ogólnie sformułowanych postanowień RODO, w/w przepisy przedstawiają najbardziej jednoznaczne wskazania co do zakresu i zawartości podanej wyżej dokumentacji.

Najistotniejsze znaczenia dla określenia zakresu informacji, jaki powinien znaleźć odzwierciedlenie w dokumentacji przetwarzania danych osobowych ma sformułowanie przepisu zawartego w art. 24 RODO zgodnie, z którym administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.

Przekładając ogólnie sformułowany przepis art. 24 RODO na bardziej konkretną płaszczyznę, należy stwierdzić, że zgodnie z nim administrator winien wykazać, że stosuje się do zasad przetwarzania danych osobowych określonych w art. 5 RODO oraz że jest w stanie zapewnić gwarancję tego, że:

  1. dane osobowe są przetwarzane zgodnie z prawem – art. 6 – 11 RODO,

  2. będą respektowane prawa osób, których dane są przetwarzane – art. 12-23 RODO

  3. są wypełniane ogólne obowiązki w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,

  4. zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter, zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,

  5. zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące czy monitorujące przestrzeganie przyjętych kodeksów postepowania – art. 27- 43,

  6. respektuje wymagania w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

Powyższe obowiązki zgodnie z art. 24 i 32 RODO powinny być wypełniane przy uwzględnieniu aktualnego stanu wiedzy technicznej, kosztów, charakteru, zakresu, kontekstu, celów przetwarzania a także ryzyka, na jakie są narażone przetwarzane dane.

Jakie konkretnie dokumenty należy przygotować?

Przekładając ogólnie sformułowane przepisy RODO na grunt praktyczny można pokusić się o podział dokumentacji związanej z ochroną danych osobowych na 3 kategorie:

dokumentacjęobligatoryjnie wymaganą w każdym przypadku,

dokumentację obligatoryjnie wymaganą w niektórych przypadkach oraz

– dokumentacjęzalecaną.

Jakie dokumenty dotyczące ochrony danych osobowych są obligatoryjnie wymagane przez RODO w każdym przypadku?

Jeżeli chodzi o obowiązkowe składniki dokumentacji RODO, to należy wśród nich wymienić następujące z nich, pamiętając, jednakże o tym, że rozporządzenie nie wymaga stosowania podanej niżej nomenklatury:

  1. dokumentacja dotycząca zasady privacy by design oraz privacy by defaultdokument ten stanowi o tym, w jaki sposób zapewnić odpowiedni poziom ochrony danych osobowych i praw do prywatności już w fazie projektowania określonych rozwiązań. Dotyczy to w szczególności nowych projektów IT. Opis zasad privacy by design oraz privacy by default w praktyce dość często znajduje się w Polityce ochrony danych osobowych, w przypadku, gdy ten ostatni jest sporządzany dla administratora.

  2. dokument dotyczący realizacji praw osób, których dane dotyczą– dokument ten stanowi kto i w jaki sposób realizuje prawa osób, których dane dotyczą. Zazwyczaj kwestie te są poruszane przez administratorów w tzw. Polityce prywatności, klauzulach informacyjnych dla pracowników, klauzulach informacyjnych dla kandydatów do zatrudnienia oraz klauzulach informacyjnych dla reprezentantów kontrahentów.

  3. instrukcja usuwania danych osobowych – dokument ten stanowi po jakim czasie należy usuwać dane osobowe oraz w jakich sytuacjach.

  4. dokument dotyczący struktury organizacyjnej w zakresie danych osobowych – dokument ten dotyczy zakresu odpowiedzialności w związku z przetwarzaniem danych osobowych.

  5. dokument opisujący zasady nadawania upoważnień do przetwarzania danych osobowych – dokument ten opisuje komu i w jaki sposób nadajemy upoważnienia do przetwarzania danych osobowych.

  6. dokument dotyczący zasad postępowania przy naruszeniach danych osobowych – dokument ten opisuje kto i w jaki sposób powinien reagować na incydenty związane z naruszeniem danych osobowych.

Jakie dokumenty dotyczące ochrony danych osobowych są obligatoryjnie wymagane w niektórych przypadkach?

Do kategorii dokumentów obligatoryjnie wymaganych w niektórych tylko przypadkach należy zaliczyć:

a) ocenę skutków dla ochrony danych osobowych (DPIA) – dokument ten dotyczy obowiązków administratora polegających na ocenie skutków planowanych przez niego operacji przetwarzania dla ochrony danych osobowych, w szczególności z udziałem nowych technologii. Dokument ten jest obligatoryjnie wymagany w sytuacji systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną, a także przetwarzania na dużą skalę szczególnych kategorii danych osobowych, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, oraz w przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

b) rejestr czynności przetwarzania danych osobowych – dokument ten opisuje wszystkie procesy związane z przetwarzaniem danych osobowych zachodzące w danej organizacji. Istnieje tylko jeden wyjątek, w którym przedsiębiorca nie musi go sporządzać, a mianowicie gdy jest przedsiębiorcą lub podmiotem zatrudniającym mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

c) rejestr kategorii czynności przetwarzania danych osobowych – dokument ten odnosi się do danych osobowych, które zostały powierzone przedsiębiorcy.

d) zasady przetwarzania danych osobowych w systemie informatycznym – dokument ten dotyczy sposobu zarządzania infrastrukturą IT, w której dochodzi do przetwarzania danych osobowych.

e) opis środków bezpieczeństwa – dokument ten dotyczy stosowanych przez administratora środków ochrony danych osobowych w sferze informatycznej, organizacyjnej oraz technicznej.

f) zasady szkolenia pracowników uczestniczących w przetwarzaniu danych osobowych – dokument ten dotyczy opisu sposobu podnoszenia świadomości pracowników w zakresie ochrony danych osobowych.

g) dokument dotyczący monitorowania i sprawdzania przestrzegania przyjętych procedur ochrony danych osobowych – dokument ten określa kto, kiedy i w jaki sposób kontroluje dane osobowe przetwarzane przez daną organizację.

h) kontrola podmiotów przetwarzających – dokument ten określa, kiedy i w jaki sposób administrator kontroluje podmioty przetwarzające. W praktyce dokument ten często stanowi część tzw. umowy powierzenia przetwarzania danych osobowych, w ramach której oprócz udokumentowania przekazania danych podmiotowi trzeciemu w ściśle określonym celu następuje również nałożenie obowiązków na podmiot otrzymujący dane osobowe. Przykładowa treść niniejszego dokumentu może być następująca:

1. Administrator kontroluje sposób przetwarzania powierzonych Danych osobowych po uprzednim poinformowaniu Strony Otrzymującej o planowanej kontroli. Administrator lub wyznaczona osoba są uprawnione w szczególności do:

a) wstępu do pomieszczeń, w których są przetwarzane Dane osobowe,

b) wglądu do dokumentacji związanej z przetwarzaniem Danych osobowych,

c) żądania udzielenia informacji dotyczących przebiegu przetwarzania Danych osobowych oraz udostępnienia rejestrów przetwarzania.

2. Ponadto Strona Otrzymująca współpracuje z Urzędem Ochrony Danych osobowych, w zakresie wykonywanych przez niego zadań.

3. Strona Otrzymująca:

a) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami RODO,

b) umożliwia Administratorowi lub upoważnionemu audytorowi przeprowadzenie audytów lub inspekcji. Strona Otrzymująca współpracuje w zakresie realizacji audytów lub inspekcji.

Jakie dokumenty są zalecane na gruncie RODO?

Przechodząc do opisu kategorii dokumentów zalecanych na gruncie RODO, należy wymienić następujące z nich:

a) Polityka Ochrony Danych Osobowych – na ewentualną potrzebę stworzenia tego dokumentu wskazuje art. 24 ust. 2 RODO, który stanowi, że jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki techniczne i organizacyjne, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

b) ewidencja upoważnień – dokument ten przyjmuje zazwyczaj postać rejestru, który uzupełnia administrator, wpisując do niego imiona i nazwiska wszystkich osób, które upoważnił do przetwarzania danych wraz z zakresem owego upoważnienia. Dokument ten umożliwia administratorowi kontrolę nad liczbą osób, którym udzielono upoważnienia.

c) materiały informacyjne dla pracowników – dokument ten ma na celu podnoszenie świadomości pracowników w związku z potrzebą ochrony danych osobowych. Materiałem informacyjnym dla pracowników może być także Polityka Ochrony Danych Osobowych, w której szczegółowo zostaną opisane zasady przetwarzania danych osobowych.

Dlaczego każdy przedsiębiorca powinien stosować dokumentację RODO?

RODO kładzie szczególny nacisk na przestrzeganie zasady rozliczalności, która stanowi, że to na administratorze spoczywa obowiązek udowodnienia, że dane osobowe są przetwarzane zgodnie z prawem, przejrzyście i rzetelnie. Najbardziej optymalnym sposobem dopełnienia zadość powyższej zasadzie jest przygotowanie odpowiedniej dokumentacji dotyczącej przetwarzania danych osobowych.

W razie ewentualnej kontroli przedsiębiorca może przedstawić opisywaną dokumentację jako dowód przestrzegania obowiązków wynikających z RODO. Należy jednakże pamiętać, że samo posiadanie dokumentacji nie jest wystarczające. Istotne jest także, aby dokumenty dotyczące RODO były na bieżąco uzupełniane oraz uaktualniane przez administratora, dzięki czemu może on mieć większą kontrolę nad tym, w jaki sposób dane osobowe są przetwarzane przez daną organizację. Dotyczy to w szczególności rejestru czynności przetwarzania danych osobowych oraz dokumentu dotyczącego monitorowania i sprawdzania przestrzegania przyjętych procedur ochrony danych osobowych oraz ewidencji upoważnień.

Nie mniej ważne jest również umieszczenie dokumentów dotyczących praw osób, których dane są przetwarzane w odpowiednich miejscach np. polityka prywatności powinna znaleźć się na stronie internetowej przedsiębiorcy, klauzule informacyjne dla kandydatów do pracy powinny być zawarte pod ogłoszeniem o pracę na portalach internetowych związanych z poszukiwaniem zatrudnienia, klauzule informacyjne dla pracowników powinny być zawarte w aktach osobowych, a klauzule informacyjne dla reprezentantów kontrahentów powinny być umieszone w stopce maila.

Prawidłowe wykonanie czynności związanych z przygotowaniem dokumentacji RODO oraz jej zaimplementowanie jest w stanie uchronić przedsiębiorcę przed administracyjnymi karami finansowymi, które może nałożyć UODO. Kary te mogą sięgać nawet 20 000 000 euro, a w przypadku przedsiębiorstwa nawet 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Podsumowanie

Lista dokumentów dotyczących RODO, które zostały przedstawione w niniejszym artykule jest dość spora. Należy jednakże pamiętać, że nie wszystkie dokumenty są zawsze obligatoryjne wymagane, a niekiedy tylko zalecane. W przypadku niektórych przedsiębiorców część dokumentacji RODO może być umieszczona w jednym dużym dokumencie, którego długość zależy od skali, rodzaju branży, zakresu i kategorii przetwarzanych danych osobowych.

Dokumentacja związana z RODO powinna zostać dostosowana do warunków, w jakich działa dane przedsiębiorstwo. Przeprowadzenie tzw. analizy ryzyka może spowodować zawężenie listy możliwych do wprowadzenia dokumentów u danego przedsiębiorcy.

Ponad wszystko, nie należy zapominać, że prowadzenie dokumentacji dotyczącej przetwarzanych danych osobowych jest obowiązkiem każdego przedsiębiorcy, gdyż w znacznym stopniu ułatwia kontrolę nad danymi osobowymi, a jej brak może skutkować dotkliwymi karami.

Marcin Staniszewski

Radca Prawny



Zaufali nam:


5/5 - (liczba głosów: 3)