Prowadzenie dokumentacji ochrony danych to obowiązek, który nie ogranicza się do posiadania wewnętrznych procedur na wypadek kontroli UODO. Funkcją dokumentacji jest przede wszystkim uświadamianie pracowników, w jaki sposób powinni postępować z danymi osobowymi. Poniżej udzielamy wskazówek, jak osiągnąć ten cel.

Podsumowanie 2018

Czym jest dokumentacja ochrony danych osobowych?

Zgodność z RODO, w szerokim rozumieniu, należy udokumentować na cztery sposoby, przez:

  • wdrożenie niezbędnych polityk i procedur,
  • prowadzenie odpowiednich rejestrów i ewidencji,
  • dokonywanie regularnych analiz zgodności, w tym oceny skutków dla ochrony danych (DPIA) oraz analizy ryzyka,
  • stosowanie właściwych postanowień i klauzul w umowach, formularzach, na stronie internetowej oraz w innych miejscach, gdzie pozyskiwane są dane osobowe.

ODO Nawigator

W wąskim rozumieniu wszystko zaczyna się od odpowiednich polityk i procedur, o których traktuje niniejszy artykuł. To z polityk i procedur pracownicy uzyskują odpowiedzi na pytania: w jaki sposób postępować z danymi osobowymi, kto i jak prowadzi odpowiednie rejestry i ewidencje, jak często i w jaki sposób dokonywane są analizy zgodności, w tym DPIA i analiza ryzyka, a także jakie wzory klauzul informacyjnych, zgód czy postanowień umownych należy stosować w codziennej pracy.

Polityki ochrony danych osobowych to wewnętrzne regulacje organizacji, które tworzą normy postępowania jej pracowników i współpracowników w zakresie ochrony danych osobowych. Polityki ochrony danych osobowych mogą mieć różny stopień szczegółowości – od zobowiązania pracowników do przestrzegania ogólnych zasad ochrony danych osobowych, przez standardowe procedury postępowania, do szablonów i klauzul, z których należy korzystać m.in. przy zbieraniu zgody na przetwarzanie danych osobowych lub przy realizacji obowiązku informacyjnego.

Jakie polityki i procedury należy wdrożyć?

Prowadzenie odpowiednich polityk ochrony danych stanowi obowiązek, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust. 2 RODO). Polityki ochrony danych osobowych powinny być wewnętrznie wiążące, tj. przyjęte formalnym aktem organu organizacji, do którego przestrzegania zobowiązani są pracownicy i współpracownicy organizacji. Polityki ochrony danych mogą stanowić odpowiednie środki organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO (art. 24 ust. 2 RODO). Wdrożenie odpowiednich polityk ochrony danych jest jednym ze sposobów realizacji zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie RODO (art. 5 ust. 2 RODO).

Wskazówka:
RODO nie precyzuje, jakie polityki ochrony danych należy wdrożyć. Aby ocenić, jakie polityki będą proporcjonalne w stosunku do czynności przetwarzania, należy spojrzeć z perspektywy poszczególnych aspektów ochrony danych osobowych, regulowanych przez RODO. Jeżeli dany aspekt jest istotny z punktu widzenia operacji przetwarzania prowadzonych przez organizację, to należy uregulować go w ramach polityk ochrony danych osobowych. Dobre polityki i procedury pozwalają znaleźć odpowiedź na pytanie, w jaki sposób postępować z danymi osobowymi, a także jakie są role i zakresy odpowiedzialności poszczególnych osób.

Przykład: Wśród aspektów ochrony danych osobowych, które mogą wymagać uwzględnienia w wewnętrznych politykach, znajdują się:

W jaki sposób wdrożyć polityki ochrony danych osobowych?

Po pierwsze należy ocenić, które aspekty są istotne z punktu widzenia operacji przetwarzania prowadzonych przez organizację i w jakim zakresie wymagają regulacji. Przykładowo, w odniesieniu do obszarów związanych z użytkownikiem końcowym, regulacją zwykle należy objąć: a) akceptowane wykorzystanie aktywów, b) politykę czystego biurka i czystego ekranu, c) zasady przekazywania informacji, d) urządzenia mobilne i telepracę, e) ograniczenia dotyczące instalacji i stosowania oprogramowania. Jeśli jednak w organizacji nie występują urządzenia mobilne i telepraca, to można pominąć przygotowanie dotyczących ich zasad.

Po drugie należy ustalić role każdej z osób w ramach danego aspektu przetwarzania danych. Różne będą obowiązki inspektora ochrony danych, właściciela procesu, administratora zasobu oraz każdej osoby upoważnionej do przetwarzania danych.

Przykład: Po wykryciu incydentu pracownik powinien, w miarę możliwości, usunąć jego skutki (np. zabezpieczyć pozostawione dokumenty) i zgłosić sytuację inspektorowi ochrony danych.
Dyrektywa NIS

Po trzecie należy przygotować właściwą treść dokumentacji, w najszerszym możliwym zakresie, posługując się pojęciami i sformułowaniami z RODO. Powinna być ona opracowana w przejrzystej i łatwo zrozumiałej formie, która pozwoli pracownikom i współpracownikom bez trudu dowiedzieć się, jakie kroki mają podjąć. Dokumentacja ma wartość użytkową, jeśli jasno określa, kto i w jakich okolicznościach jest odpowiedzialny za realizację poszczególnych postanowień oraz w jaki sposób powinien się do nich zastosować. Dla ułatwienia stosowania nowych regulacji warto jest przygotować formularze i szablony, których wypełnienie będzie stanowić realizację danego obowiązku (np. wzory klauzul informacyjnych, wzory klauzul zgody, szablony oceny skutków dla ochrony danych).

Po czwarte należy uświadomić pracownikom ich obowiązki związane z ochroną danych. w aktach pracownika musi znajdować się przynajmniej potwierdzenie zapoznania się z dokumentacją. Aby dokumentacja rzeczywiście funkcjonowała w organizacji, najczęściej nie wystarczy samo udostępnienie jej treści – pracownicy potrzebują odpowiedniego przeszkolenia, akcji uświadamiających, a także formalnego zobowiązania do przestrzegania postanowień dokumentacji.

Podsumowanie

Dokumentację ochrony danych można nazwać użyteczną wtedy i tylko wtedy, gdy realizuje ona swoją funkcję, czyli buduje świadomość pracowników, w jaki sposób powinni postępować z danymi osobowymi. Aby osiągnąć ten cel, należy ocenić, jakie aspekty RODO wymagają regulacji (tzn. w jakim zakresie pracownicy potrzebują usystematyzowanych informacji, jak postępować z danymi osobowymi), ustalić role każdej z osób, opisać je w przejrzystej i łatwo zrozumiałej formie, zapoznać pracowników z tak utworzonymi dokumentami, formalnie zobowiązać do ich przestrzegania i wreszcie – co najczęściej jest niezbędne do stosowania dokumentacji w praktyce – zorganizować szkolenie.