Cztery kroki do dokumentacji zgodnej z RODO

07/07/17

Dokumentacja ochrony danych osobowych dzisiaj (UODO) i jutro (RODO)

Do tej pory, zgodnie z zasadami określonymi w polskiej Ustawie o ochronie danych osobowych (UODO) oraz przepisami wykonawczymi, firmy były zobligowane do posiadania dokumentów dokładnie określonych w ustawie i rozporządzeniach do niej. Ich treść była ściśle sprecyzowana i jednakowa dla wszystkich administratorów danych.

Przyjęcie Rozporządzenia o ochronie danych osobowych (RODO) wnosi znaczącą zmianę w tej kwestii: rozporządzenie nie określa ani jakie dokumenty mamy posiadać (z małymi wyjątkami), ani jaka ma być ich treść. Zgodnie z nowym rozporządzeniem stworzenie właściwej dokumentacji pozostaje w gestii przedsiębiorców, a treść dokumentów ma być uzależniona od oceny ryzyka dla poszczególnych administratorów danych. Co więcej, dotychczasowe wymagania UODO dotyczące polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych czy ewidencji osób upoważnionych do przetwarzania danych utracą swoją ważność. Także w tych kwestiach RODO zostawia firmom dowolność i wymaga jedynie spełnienia założeń rozporządzenia, czyli poprawnej i adekwatnej do analizy ryzyka ochrony danych osobowych.

Wymagania co do dokumentacji, które łączą UODO i RODO, to klauzule:

  • zgody,
  • informacyjne oraz
  • w zakresie udokumentowania umowy o powierzeniu przetwarzania danych.

Wydawać by się mogło, że także obecnie wymagane rejestry zbiorów danych na podstawie UODO staną się rejestrami czynności przetwarzania danych pod RODO. Warto jednak zauważyć, że rejestry te nie są tożsame i nie ma – naszym zdaniem – prostego przełożenia z rejestru zbiorów danych na rejestr operacji przetwarzania danych. Przede wszystkim rejestr operacji przetwarzania danych powinien być zdecydowanie bardziej rozbudowany oraz powinien obejmować wszystkie procesy przetwarzania danych osobowych, które zachodzą u danego administratora danych osobowych (i nie tylko).

Z drugiej strony RODO nie nakłada obowiązku rejestracji takiego rejestru w organie nadzoru. Naszym zdaniem, przekształcenie rejestru zbiorów danych na rejestrację operacji przetwarzania najczęściej nie będzie zapewniało zgodności z RODO bez przeprowadzenia gruntownej analizy operacji przetwarzania i inwentaryzacji danych.

 

Zgodnie z nowymi przepisami, które po 25 maja 2018 roku będą obowiązywać na mocy Rozporządzenia o ochronie danych osobowych (RODO), będzie mieć miejsce duża zmiana w zakresie wymaganej dokumentacji dotyczącej ochrony danych osobowych


Co zostaje, z czym się żegnamy?

Mimo tych zmian nie musimy tworzyć dokumentacji całkowicie od nowa, aby spełnić wymagania RODO. Większość dokumentów wymaganych przez UODO i wykorzystywanych dotychczas można dalej stosować, pod warunkiem dostosowania ich do wymagań RODO.

Proces przejścia ze „starej” dokumentacji na „nową” można sprowadzić do czterech kroków:

  1. Przeprowadź analizę stanu obecnego dokumentacji.
  2. Wybierz docelową strukturę dokumentacji.
  3. Wskaż brakujące dokumenty i braki w dokumentach na podstawie wyników inwentaryzacji danych oraz analizy ryzyka.
  4. Stwórz i/albo uzupełnij dokumentację.

Polskie ustawodawstwo dotyczące ochrony danych w zakresie wymagań co do dokumentacji było bardziej restrykcyjne w porównaniu do ustawodawstwa innych krajów europejskich. W związku z tym niektóre z dokumentów wypracowanych dotychczas będzie można nadal stosować. Do takich dokumentów możemy zaliczyć m.in.:

  • upoważnienia do przetwarzania danych,
  • ewidencję osób upoważnionych do przetwarzania oraz
  • klauzule zgody na przetwarzanie danych osobowych.

Część dokumentacji będzie wymagała uaktualnienia lub zostanie zastąpiona przez inne dokumenty, będą to m.in.:

  • polityki bezpieczeństwa,
  • instrukcje zarządzania systemem informatycznym służącym do przetwarzania danych osobowych czy
  • umowy powierzenia danych.

Warto także zwrócić uwagę na konieczność zweryfikowania zakresu informacji udzielanych osobom, których dane dotyczą, o przetwarzaniu ich danych. Pomimo dość rozbudowanych wymagań w tym zakresie pod przepisami UODO, prawdopodobnie pod przepisami RODO trzeba będzie te informacje znacząco uzupełnić.
 

Jak przygotować dokumentację zgodną z wymaganiami RODO?

Przygotowanie dokumentacji do zgodności z RODO musi objąć dostosowanie treści dokumentów do sposobu przetwarzania i środków ochrony danych stosowanych w danej firmie. Unijny regulator pozostawił w rękach przedsiębiorców wdrażających RODO dostosowanie struktury, rodzajów i liczby dokumentów do realnych potrzeb spółki. Aby proces dostosowywania dokumentacji odbywał się sprawnie, należy rozpocząć od zrozumienia i zaplanowania mechanizmu dokonywania zmian w dokumentacji organizacji oraz uwzględnienia jej w istniejących procesach biznesowych.

Zapewnienie skutecznego obiegu pism nie może się obejść bez szczegółowego zidentyfikowania odbiorców poszczególnych dokumentów, co jest standardem w większości organizacji. Nawet gdy proces wdrażania dokumentacji zgodnej z RODO się zakończy, powinna ona być na bieżąco weryfikowana pod względem zmieniającego się otoczenia prawnego i biznesowego oraz udoskonalana w zależności od potrzeb.

Podsumowanie

Jak widać z powyższej analizy, RODO nie zawsze będzie oznaczać rewolucję u danego administratora danych. Świadome i odpowiedzialne wykorzystanie już istniejącej dokumentacji pozwoli łatwiej przygotować się do zmian i uniknąć wprowadzania naraz zbyt wielu zmian w organizacji.

Warto jednak pamiętać, że pod przepisami RODO już nie wystarczy „sztampowa” polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi – niedopasowana do danej organizacji i nieodpowiadająca na ryzyka związane z przetwarzaniem danych osobowych przez taką organizację. Ustalenie zaś, jaka powinna być treść takich dokumentów pod RODO, wymaga przeprowadzenia przez administratora danych analiz ryzyka. Dokumentację należy zatem przygotowywać z uwzględnieniem tak zidentyfikowanego i przeanalizowanego ryzyka.

 

Na podstawie przepisów RODO przygotowaliśmy listę pozycji, którą może zawierać dokumentacja ochrony danych według RODO:

  1. Strategia bezpieczeństwa
  2. Polityka bezpieczeństwa
  3. Rejestr operacji przetwarzania danych osobowych
  4. Polityka monitorowania i reagowania na naruszenia ochrony danych
  5. Rejestr incydentów
  6. Polityka zarządzania ryzykiem utraty prywatności (Privacy Impact Assessment)
  7. Raport z analizy (Privacy Impact Assessment)
  8. Procedura zarzadzania zmianą / zarządzania projektami (Privacy by Design)
  9. Plan awaryjny / polityka zarządzania kopiami zapasowymi
  10. Procedura zarządzania użytkownikami i dostępem
  11. Standardy zabezpieczeń

Skontaktuj się z nami

Sylwia Pusz
Partner
Tel.: +48 603 333 309
Email

Anna Kobylańska
Counsel, Adwokat
Tel.: +48 519 506 226
Email

Obserwuj nas