Dokumentacja RODO w firmie - Co zawiera i dlaczego każdy przedsiębiorca powinien ją stosować?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w większości przypadków posługuje się ogólnie sformułowanymi zasadami odnoszącymi się do dokumentacji związanej z danymi osobowymi, co miało w założeniu prowadzić do zapewnienia spójnego i jednolitego stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych w całej Unii, usunięcie przeszkód w przepływie danych osobowych oraz zapobieganie rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym.

Ogólne sformułowanie przepisów RODO wynika także z głównych jego założeń dotyczących tego, że ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik (tzw. neutralność technologiczna RODO).

Istnieją jednak obszary, w stosunku do których w Ogólnym rozporządzeniu o ochronie danych osobowych nakreślono pewne wytyczne, a mianowicie są to:

• rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;

• zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;

• prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych osobowych, o którym mowa w art. 33 ust 5 RODO;

• zawartość raportu przedstawiającego wyniki przeprowadzonych ocen skutków dla ochrony danych– art. 35 ust. 7.

RODO nie zawiera jednak konkretnych zaleceń odnoszących się do nazewnictwa w/w dokumentów. Istotne jest tylko to, aby administrator danych osobowych potrafił wykazać, że posiada odpowiednie dokumenty oraz aby ich zawartość była zgodna z wymaganiami zawartymi w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 RODO. Należy mieć na uwadze, że przytoczone przepisy nie są jedynymi, które należy uwzględnić przy opracowywaniu dokumentacji RODO. Ich wyróżnienie nastąpiło tylko z tego względu, że w całym gąszczu bardzo ogólnie sformułowanych postanowień RODO, w/w przepisy przedstawiają najbardziej jednoznaczne wskazania co do zakresu i zawartości podanej wyżej dokumentacji.

Najistotniejsze znaczenia dla określenia zakresu informacji, jaki powinien znaleźć odzwierciedlenie w dokumentacji przetwarzania danych osobowych ma sformułowanie przepisu zawartego w art. 24 RODO zgodnie, z którym administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.

Zobacz również: Audyt RODO – jak powinien wyglądać i kiedy go przeprowadzać

Przekładając ogólnie sformułowany przepis art. 24 RODO na bardziej konkretną płaszczyznę, należy stwierdzić, że zgodnie z nim administrator winien wykazać, że stosuje się do zasad przetwarzania danych osobowych określonych wart. 5RODO oraz że jest w stanie zapewnić gwarancję tego, że:

1. dane osobowe są przetwarzane zgodnie zprawem – art. 6– 11 RODO,

2. będą respektowane prawa osób, których dane są przetwarzane – art. 12-23 RODO

3. są wypełniane ogólne obowiązki w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,

4. zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter, zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,

5. zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące czy monitorujące przestrzeganie przyjętych kodeksów postępowania – art. 27- 43,

6. respektuje wymagania w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

Powyższe obowiązki zgodnie z art. 24 i 32 RODO powinny być wypełniane przy uwzględnieniu aktualnego stanu wiedzy technicznej, kosztów, charakteru, zakresu, kontekstu, celów przetwarzania a także ryzyka, na jakie są narażone przetwarzane dane.

Jakie dokumenty są zalecane na gruncie RODO?

Przechodząc do opisu kategorii dokumentów zalecanych na gruncie RODO, należy wymienić następujące z nich:

a) Polityka Ochrony Danych Osobowych

na ewentualną potrzebę stworzenia tego dokumentu wskazuje art. 24 ust. 2 RODO, który stanowi, że jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki techniczne i organizacyjne, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

b) ewidencja upoważnień do przetwarzania danych osobowych

dokument ten przyjmuje zazwyczaj postać rejestru, który uzupełnia administrator, wpisując do niego imiona i nazwiska wszystkich osób, które upoważnił do przetwarzania danych wraz z zakresem owego upoważnienia. Dokument ten umożliwia administratorowi kontrolę nad liczbą osób, którym udzielono upoważnienia.

c) materiały informacyjne dla pracowników

dokument ten ma na celu podnoszenie świadomości pracowników w związku z potrzebą ochrony danych osobowych. Materiałem informacyjnym dla pracowników może być także Polityka Ochrony Danych Osobowych, w której szczegółowo zostaną opisane zasady przetwarzania danych osobowych.

Dlaczego każdy przedsiębiorca powinien stosować dokumentację RODO?

RODO kładzie szczególny nacisk na przestrzeganie zasady rozliczności, która stanowi, że to na administratorze spoczywa obowiązek udowodnienia, że dane osobowe są przetwarzane zgodnie z prawem, przejrzyście i rzetelnie. Najbardziej optymalnym sposobem dopełnienia zadość powyższej zasadzie jest przygotowanie odpowiedniej dokumentacji dotyczącej przetwarzania danych osobowych.

W razie ewentualnej kontroli przedsiębiorca może przedstawić opisywaną dokumentację jako dowód przestrzegania obowiązków wynikających z RODO. Należy jednakże pamiętać, że samo posiadanie dokumentacji nie jest wystarczające. Istotne jest także, aby dokumenty dotyczące RODO były na bieżąco uzupełniane oraz uaktualniane przez administratora, dzięki czemu może on mieć większą kontrolę nad tym, w jaki sposób dane osobowe są przetwarzane przez daną organizację. Dotyczy to w szczególności rejestru czynności przetwarzania danych osobowych oraz dokumentu dotyczącego monitorowania i sprawdzania przestrzegania przyjętych procedur ochrony danych osobowych oraz ewidencji upoważnień.

Nie mniej ważne jest również umieszczenie dokumentów dotyczących praw osób, których dane są przetwarzane w odpowiednich miejscach np. polityka prywatności powinna znaleźć się na stronie internetowej przedsiębiorcy, klauzule informacyjne dla kandydatów do pracy powinny być zawarte pod ogłoszeniem o pracę na portalach internetowych związanych z poszukiwaniem zatrudnienia, klauzule informacyjne dla pracowników powinny być zawarte w aktach osobowych, a klauzule informacyjne dla reprezentantów kontrahentów powinny być umieszone w stopce maila.

Prawidłowe wykonanie czynności związanych z przygotowaniem dokumentacji RODO oraz jej zaimplementowanie jest w stanie uchronić przedsiębiorcę przed administracyjnymi karami finansowymi, które może nałożyć UODO. Kary te mogą sięgać nawet 20000000 euro, a w przypadku przedsiębiorstwa nawet 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Zobacz również: AML a RODO – jak wygląda ochrona danych osobowych przy wypełnianiu obowiązków instytucji obowiązanej?