Stosowanie RODO - porady i szablony dokumentów

Rok przed rozpoczęciem obowiązywania RODO – jak wynikało z badania Fundacji Wiedza To Bezpieczeństwo pt. „Co wiemy o ochronie danych” – jedynie połowa kadry zarządzającej zdawała sobie sprawę z tego jakie nowe obowiązki nakłada na ich firmy ogólne rozporządzenie o ochronie danych osobowych. Czy coś się zmieniło po prawie roku od kiedy RODO obowiązuje?

Rok przed rozpoczęciem obowiązywania RODO – jak wynikało z badania Fundacji Wiedza To Bezpieczeństwo pt. „Co wiemy o ochronie danych” – jedynie połowa kadry zarządzającej zdawała sobie sprawę z tego jakie nowe obowiązki nakłada na ich firmy ogólne rozporządzenie o ochronie danych osobowych.

Czy coś się zmieniło po prawie roku od kiedy RODO obowiązuje?

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Na pewno świadomość przedsiębiorców znacząco wzrosła, co zauważamy współpracując z wieloma firmami i prowadząc liczne szkolenia oraz kursy. Jednakże nadal wiele podmiotów nie dostosowało swej działalności do wymogów rozporządzenia, widoczne jest to chociażby na ich stronach internetowych, gdzie nadal znaleźć możemy klauzule niezgodne z treścią rozporządzenia. 

Poniższy tekst odwołuje się bezpośrednio do ogólnego rozporządzenia o ochronie danych osobowych (RODO). Treść rozporządzenia udostępniamy bezpłatnie w opracowaniu pt. „RODO NAWIGATOR”, które możecie Państwo znaleźć pod tym linkiem. Opracowanie zawiera zaktualizowany tekst samego RODO (sprostowanie wydane przez Komisję Europejską), treść ustawy z 10 maja 2018 r. o ochronie danych osobowych, listę najważniejszych wytycznych Grupy Roboczej art. 29 oraz Europejskiej Rady Ochrony Danych wraz z linkami do ich pobrania, interaktywne powiązania pomiędzy RODO a ustawą o ochronie danych osobowych oraz interaktywne powiązania pomiędzy RODO a konkretnymi wytycznymi, które wyjaśniają, jak je stosować.

Obowiązek informacyjny

Przed rozpoczęciem stosowania RODO oraz przez ostanie miesiące stosowania rozporządzenia  zalani zostaliśmy mailami, w których firmy informują nas o dostosowaniu się do nowych przepisów RODO. Aktualizacji wymagały w szczególności polityki prywatności, regulaminy stron internetowych, klauzule informacyjne, czy też klauzule zgody.

Jakie informacje powinny znaleźć się w obowiązku informacyjnym?

Na pierwszy rzut oka daje się zauważyć, że na gruncie obecnie obowiązujących przepisów ilość informacji jakie należy przekazać osobie fizycznej znacząco wzrosła. Obowiązek informacyjny powinien zawierać między innymi:

  • dane administratora danych,
  • kontakt do inspektora ochrony danych (o ile został powołany),
  • cel przetwarzania,
  • podstawę prawną przetwarzania,
  • czas przez jaki dane będą przetwarzane,
  • informacje o przysługujących osobie fizycznej prawach w związku z przetwarzaniem jej danych osobowych.

Dla wszystkich przedsiębiorców, którzy nie dostosowali jeszcze treści klauzul informacyjnych do wymogów RODO udostępniamy przykładową treść obowiązku informacyjnego.

Ważne
Klauzulę informacyjną należy udostępnić klientom do wglądu, w momencie pozyskiwania ich danych. W przypadku mikro działalności (zakład fryzjerski, szewc itp.) najlepiej będzie ją po prostu umieścić w widocznym miejscu na ladzie. Z kolei sklepy internetowe mogą umieścić ją jako link na ekranie składania zamówienia oraz dodatkowo aby dokonać należytej staranności przesłać mailowo wraz z wiadomością potwierdzającą zamówienie.

Rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania

Na gruncie RODO pojawił się obowiązek prowadzenia rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania. W pierwszych miesiącach stosowania rozporządzenia przedmiotowe dokumenty budziły niepokój wśród przedsiębiorców, jednak obecnie większość firm poradziło sobie z tym wymogiem. Pomocne w tym zakresie okazał się przykładowy rejestr czynności oraz wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynność i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO, udostępnione na stronie UODO.  Podkreślamy, iż zgodnie z RODO niemal każdy administrator danych zobowiązany jest do prowadzenia rejestru czynności przetwarzania. To dokument, który powinien zawierać m. in.:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora,
  • cele przetwarzania danych,
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
  • opis technicznych i organizacyjnych środków bezpieczeństwa.

Oczywiście to tylko niektóre z informacji, jakie powinny znaleźć się w rejestrze, szczegółowy wykaz znajdziecie Państwo w art. 30 ust. 1 RODO.

W zakresie rejestru kategorii czynności przetwarzania administrator zobligowany jest prowadzić przedmiotowy rejestr wówczas, gdy występuje w roli podmiotu przetwarzającego w jakimkolwiek procesie przetwarzania danych osobowych w swojej organizacji. Rejestr kategorii czynności przetwarzania zawiera mniej obligatoryjnych informacji niż rejestr administratora. W art. 30 ust. 2 RODO wylistowane zostały wszystkie informacje jakie muszą się znaleźć w przedmiotowym rejestrze.

Rejestr czynności przetwarzania prowadzony przez administratora jest jednym z pierwszych dokumentów o jakie może poprosić UODO w czasie przeprowadzanej kontroli, gdyż dokument ten pozwala na najlepsze rozeznanie wśród procesów przetwarzania danych osobowych w organizacji, a więc dobrze nie lekceważyć tego obowiązku.

RODO. Wspracie się przydaje!

Umowa powierzenia przetwarzania danych

W dzisiejszych czasach niemal każdy korzysta z usług outsourcingu – na zewnątrz przekazujemy coraz więcej danych osobowych w ramach np.: obsługi kadrowo płacowej, hostingu, obsługi stron www, marketingu. Przekazywanie danych „na zewnątrz” organizacji, aby pozostawało zgodne z RODO musi odbywać się na podstawie umowy lub innego instrumentu prawnego. W art. 28 RODO wskazane zostały obligatoryjne elementy, które powinny znaleźć się w umowie powierzenia przetwarzania danych osobowych.

Największym wyzwaniem i nowością dla administratora danych jest obowiązek sprawdzenia swojego dostawcy. Administrator powinien bowiem korzystać z usług jedynie takich podmiotów, które zapewnią odpowiednie środki techniczne i organizacyjne zabezpieczające udostępniane dane. Rozporządzenie nie precyzuje w jaki sposób administrator powinien sprawdzić podmiot, któremu powierzy przetwarzanie swoich danych osobowych, administrator musi więc samodzielnie wybrać najbardziej skuteczną ze swojego punktu widzenia metodę.

Problematykę zgodności procesora z RODO oraz sposoby jego weryfikacji opisywaliśmy szerzej tutaj. Pod wskazanym linkiem znajdą Państwo również przygotowaną przez nas listę kontrolną dla procesora, która stanowi alternatywę dla przeprowadzania audytu procesora.

Jakie elementy powinna zawierać umowa powierzenia?

  • przedmiot przetwarzania,
  • czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorię osób, których dane dotyczą,
  • obowiązki i prawa administratora,
  • obowiązki podmiotu przetwarzającego.

Kiedy należy podpisać umowę powierzenia? Każdorazowo w momencie udostępniania danych naszych pracowników, bądź klientów np. w przypadku korzystania z zewnętrznej usługi BHP, hostingu czy firmy księgowej.

Wzór umowy powierzenia zgodny z RODO
Pozwoli on na uregulowanie kluczowych kwestii w ramach relacji pomiędzy administratorem a podmiotem przetwarzającym.
Pobierz  

Klauzule zgody

Akredytowany kurs IOD
potwierdzi Twoje wysokie kompetencje

Przygotuj się do pełnienia funkcji inspektora ochrony danych. Jakość kursu potwierdził Mazowiecki Kurator Oświaty. Zapraszamy!
WYBIERZ TERMIN
Zgoda stanowi jedną z podstaw do przetwarzania danych osobowych, zawartą w art. 6 ust. 1 lit. a RODO. Wydaje się, że omawiana podstawa przysporzyła najwięcej problemów administratorom, którzy zaczęli w pewien sposób jej nadużywać. Wprowadziło to zamieszanie i doprowadziło do pobierania przez administratorów zgody „na wszystko”, bez rozważenia, czy w konkretnym przypadku dane osobowe nie są przetwarzane w oparciu o inną podstawę prawną.

Szczególnie widocznie jest to w działaniach marketingowych, gdzie przedsiębiorcy pobierają od swoich klientów zgody na przetwarzanie danych osobowych, w celu wysyłki informacji handlowych drogą elektroniczną. Docieranie przez firmy do swoich klientów z informacjami o nowościach i produktach stanowi marketing bezpośredni, będący prawnie uzasadnionym interesem administratora, o którym mowa w art. 6 ust. 1 lit. f RODO. Powyższe znajduje odzwierciedlenie w motywie 47 preambuły RODO.

Ważne
Pamiętać jednak należy, iż w przypadku kierowania drogą elektroniczną marketingu bezpośredniego do swoich klientów konieczne jest pozyskanie zgód na kanał komunikacji, które wynikają z ustaw szczególnych tj. Prawo telekomunikacyjne oraz Ustawa o świadczeniu usług drogą elektroniczną. 

Kolejną błędną praktyką często pojawiającą się wśród przedsiębiorców jest zamieszczanie w ogłoszeniach o pracę wymogu zawarcia pisemnej zgody na przetwarzanie danych w celach rekrutacyjnych w dokumentach aplikacyjnych (CV, list motywacyjny). Zgodnie ze stanowiskiem UODO nie ma konieczności zamieszczania przez kandydatów do pracy w dokumentach aplikacyjnych pisemnej zgody na przetwarzanie danych osobowych, gdyż pracodawca przetwarza dane osobowe kandydatów na podstawie art. 6 ust. 1 lit. b RODO tj. w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Szerzej o problematyce zgody w procesie rekrutacji można przeczytać w opublikowanym przez UODO Poradniku dla pracodawców .

IOD – powoływać, nie powoływać?

Inspektora ochrony danych powołać muszą wszystkie organy publiczne za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Jak jest w przypadku sektora prywatnego? Motyw 97 preambuły stanowi, iż inspektora powinien powołać każdy administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skanujących i naruszeń prawa. Problemów przysparzać może interpretacja powyższych pojęć, w szczególności pojęcia „dużej skali”. Pomoc w tym zakresie stanowią wytyczne grupy roboczej art. 29 (WP 243)  dot. inspektorów ochrony danych.

Nawet jeżeli na administratorze nie ciąży obowiązek powołania inspektora ochrony danych wynikający z RODO, warto rozważyć jego wyznaczenie. Zadaniem inspektora jest w szczególności czuwanie nad przestrzeganiem zasad ochrony danych osobowych w organizacji, co z pewnością pozytywnie wpłynie na bezpieczeństwo przetwarzania danych oraz przyczyni się do budowania wiarygodności organizacji. Inspektor będzie również punktem kontaktowym dla osoby, których dane przetwarza administrator jak i dla organu nadzorczego czyli Prezesa Urzędu Ochrony Danych i jest zobowiązany z nim współpracować jednoznacznego wymogu.

Z uwagi na powyższe przedsiębiorcy coraz częściej decydują się na wyznaczenie IOD-a w swojej organizacji. Inspektorem może być pracownik administratora bądź firma lub osoba spoza zewnątrz organizacji. O wadach i zaletach każdego z tych rozwiązań piszemy szerzej tutaj.

Czytaj także:

-
4.67/5 (45) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".