Do tej pory, zgodnie z zasadami określonymi w polskiej Ustawie o ochronie danych osobowych (UODO) oraz przepisami wykonawczymi, firmy były zobligowane do posiadania dokumentów dokładnie określonych w ustawie i rozporządzeniach do niej. Ich treść była ściśle sprecyzowana i jednakowa dla wszystkich administratorów danych.
Przyjęcie Rozporządzenia o ochronie danych osobowych (RODO) wnosi znaczącą zmianę w tej kwestii: rozporządzenie nie określa ani jakie dokumenty mamy posiadać (z małymi wyjątkami), ani jaka ma być ich treść. Zgodnie z nowym rozporządzeniem stworzenie właściwej dokumentacji pozostaje w gestii przedsiębiorców, a treść dokumentów ma być uzależniona od oceny ryzyka dla poszczególnych administratorów danych. Co więcej, dotychczasowe wymagania UODO dotyczące polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych czy ewidencji osób upoważnionych do przetwarzania danych utracą swoją ważność. Także w tych kwestiach RODO zostawia firmom dowolność i wymaga jedynie spełnienia założeń rozporządzenia, czyli poprawnej i adekwatnej do analizy ryzyka ochrony danych osobowych.
Wymagania co do dokumentacji, które łączą UODO i RODO, to klauzule:
Wydawać by się mogło, że także obecnie wymagane rejestry zbiorów danych na podstawie UODO staną się rejestrami czynności przetwarzania danych pod RODO. Warto jednak zauważyć, że rejestry te nie są tożsame i nie ma – naszym zdaniem – prostego przełożenia z rejestru zbiorów danych na rejestr operacji przetwarzania danych. Przede wszystkim rejestr operacji przetwarzania danych powinien być zdecydowanie bardziej rozbudowany oraz powinien obejmować wszystkie procesy przetwarzania danych osobowych, które zachodzą u danego administratora danych osobowych (i nie tylko).
Z drugiej strony RODO nie nakłada obowiązku rejestracji takiego rejestru w organie nadzoru. Naszym zdaniem, przekształcenie rejestru zbiorów danych na rejestrację operacji przetwarzania najczęściej nie będzie zapewniało zgodności z RODO bez przeprowadzenia gruntownej analizy operacji przetwarzania i inwentaryzacji danych.
Zgodnie z nowymi przepisami, które po 25 maja 2018 roku będą obowiązywać na mocy Rozporządzenia o ochronie danych osobowych (RODO), będzie mieć miejsce duża zmiana w zakresie wymaganej dokumentacji dotyczącej ochrony danych osobowych.
Mimo tych zmian nie musimy tworzyć dokumentacji całkowicie od nowa, aby spełnić wymagania RODO. Większość dokumentów wymaganych przez UODO i wykorzystywanych dotychczas można dalej stosować, pod warunkiem dostosowania ich do wymagań RODO.
Proces przejścia ze „starej” dokumentacji na „nową” można sprowadzić do czterech kroków:
Polskie ustawodawstwo dotyczące ochrony danych w zakresie wymagań co do dokumentacji było bardziej restrykcyjne w porównaniu do ustawodawstwa innych krajów europejskich. W związku z tym niektóre z dokumentów wypracowanych dotychczas będzie można nadal stosować. Do takich dokumentów możemy zaliczyć m.in.:
Część dokumentacji będzie wymagała uaktualnienia lub zostanie zastąpiona przez inne dokumenty, będą to m.in.:
Warto także zwrócić uwagę na konieczność zweryfikowania zakresu informacji udzielanych osobom, których dane dotyczą, o przetwarzaniu ich danych. Pomimo dość rozbudowanych wymagań w tym zakresie pod przepisami UODO, prawdopodobnie pod przepisami RODO trzeba będzie te informacje znacząco uzupełnić.
Przygotowanie dokumentacji do zgodności z RODO musi objąć dostosowanie treści dokumentów do sposobu przetwarzania i środków ochrony danych stosowanych w danej firmie. Unijny regulator pozostawił w rękach przedsiębiorców wdrażających RODO dostosowanie struktury, rodzajów i liczby dokumentów do realnych potrzeb spółki. Aby proces dostosowywania dokumentacji odbywał się sprawnie, należy rozpocząć od zrozumienia i zaplanowania mechanizmu dokonywania zmian w dokumentacji organizacji oraz uwzględnienia jej w istniejących procesach biznesowych.
Zapewnienie skutecznego obiegu pism nie może się obejść bez szczegółowego zidentyfikowania odbiorców poszczególnych dokumentów, co jest standardem w większości organizacji. Nawet gdy proces wdrażania dokumentacji zgodnej z RODO się zakończy, powinna ona być na bieżąco weryfikowana pod względem zmieniającego się otoczenia prawnego i biznesowego oraz udoskonalana w zależności od potrzeb.
Podsumowanie
Jak widać z powyższej analizy, RODO nie zawsze będzie oznaczać rewolucję u danego administratora danych. Świadome i odpowiedzialne wykorzystanie już istniejącej dokumentacji pozwoli łatwiej przygotować się do zmian i uniknąć wprowadzania naraz zbyt wielu zmian w organizacji.
Warto jednak pamiętać, że pod przepisami RODO już nie wystarczy „sztampowa” polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi – niedopasowana do danej organizacji i nieodpowiadająca na ryzyka związane z przetwarzaniem danych osobowych przez taką organizację. Ustalenie zaś, jaka powinna być treść takich dokumentów pod RODO, wymaga przeprowadzenia przez administratora danych analiz ryzyka. Dokumentację należy zatem przygotowywać z uwzględnieniem tak zidentyfikowanego i przeanalizowanego ryzyka.
Na podstawie przepisów RODO przygotowaliśmy listę pozycji, którą może zawierać dokumentacja ochrony danych według RODO: