Dokumentacja przetwarzania danych osobowych od maja br.

Dokumentacja przetwarzania danych osobowych od maja br.

Przepisy obecnie obowiązującej jeszcze ustawy o ochronie danych osobowych wyraźnie stanowią, jak powinna wyglądać dokumentacja przetwarzania danych osobowych w jednostce. Unijne rozporządzenie RODO takich regulacji nie wprowadza, pozostawiając administratorom danych swobodę w tym zakresie. Jeżeli do tej pory podmiot prawidłowo wywiązywał się z ciążących na nim obowiązków i dobrze przygotował wspomnianą dokumentację, to będzie mógł ją w pewnym stopniu wykorzystać po wejściu w życie RODO. Jakie jeszcze dokumenty warto przygotować?

Obecna dokumentacja

Ustawa o ochronie danych osobowych w art. 36 ust. 2 wyraźnie nakłada na administratora danych osobowych obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Na wspomnianą dokumentację składają się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Szczegółowe regulacje w zakresie prowadzenia tej dokumentacji określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024) – patrz tabela. Oprócz tej dokumentacji obecnie istnieje obowiązek pisemnego upoważniania do przetwarzania danych osób, które w danej jednostce „pracują na danych osobowych”.

Wymagania RODO

Ani RODO, ani projekt nowej polskiej ustawy o ochronie danych osobowych, nie zawierają szczegółowych regulacji w zakresie prowadzenia dokumentacji przetwarzania danych osobowych. Unijne rozporządzenie stanowi natomiast w motywie 78, że, aby móc wykazać przestrzeganie przepisów RODO, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

W związku z tym administratorzy danych, którzy mieli wdrożoną dokumentację wymaganą przez dotychczasową ustawę o ochronie danych osobowych, mogą ją zaktualizować i dostosować do wymogów RODO. Natomiast ci, którzy takich dokumentów nie mają, muszą je stworzyć od nowa.

Polityka ochrony danych

RODO nie wspomina o nazewnictwie takiej dokumentacji. Zatem to, jaki tytuł będzie nosić, zależy od administratora danych. Można pozostać przy nazwie „polityka bezpieczeństwa”, można nazwać ją „polityką ochrony danych osobowych w firmie”, „zasadami przetwarzania danych” itp.

Dokument ten powinien określać przede wszystkim, jakie kategorie danych osobowych przetwarza podmiot i w jakich zbiorach się znajdują (zbiór pracowników, klientów, pacjentów, dostawców itp.), na jakich podstawach prawnych są przetwarzane. Do tego punktu trzeba dołączyć wykaz tych zbiorów danych. Polityka powinna określać zasady dopuszczania osób do przetwarzania danych osobowych i zasady nadawania im upoważnień.

Wobec tego, że ochrona danych osobowych, po wejściu w życie RODO ma być ciągłym procesem, a administrator danych będzie zobowiązany do systematycznego prowadzenia analizy ryzyka lub oceny skutków dla ochrony danych, to procedury ich przeprowadzania należy opisać w omawianym dokumencie. Do tego trzeba opracować planowane środki i zabezpieczenia, które mają zmniejszać to ryzyko, w stosunku do zdefiniowanych zagrożeń. Do tego punktu warto opracować wykaz stosowanych w jednostce zabezpieczeń.

Ponadto należy opracować szereg załączników – wzorów dokumentów, m.in. szablony pisemnych oświadczeń i klauzul poufności dla pracowników oraz imiennych upoważnień do przetwarzania danych osobowych (można nadal prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych). Jeśli podmiot powierza innym podmiotom przetwarzanie danych osobowych, trzeba stworzyć wzory takich umów powierzenia. Powinien również przeanalizować i uzupełnić lub stworzyć nowe klauzule zgód na przetwarzanie danych osobowych oraz klauzule informacyjne przekazywane osobom, których dane są przetwarzane. Oprócz tego trzeba opracować wewnętrzny regulamin ochrony danych osobowych, który należy przedstawić do przeczytania i podpisania pracownikom.

Jeżeli na mocy przepisów RODO administrator zobowiązany jest do prowadzenia rejestru czynności przetwarzania (tj. zatrudnia powyżej 250 pracowników, istnieje u niego wysokie ryzyko naruszenia praw i wolności, przetwarza dane szczególne), wówczas należy taki rejestr przygotować i odesłać do niego w polityce bezpieczeństwa.

RODO zobowiązuje administratorów danych do zgłaszania incydentów naruszenia ochrony danych osobowych do organu nadzorczego w ciągu 72 godzin. Dlatego też polityka powinna określać procedurę postępowania z takimi incydentami, reagowania na nie i minimalizowania ryzyka ich występowania. Do tego punktu warto opracować formularze zgłoszenia incydentów.

Polityka może również zawierać inne zapisy, jak np. kwestie przeprowadzania okresowych szkoleń personelu w zakresie ochrony danych osobowych, czy też wewnętrznych audytów.

Obecnie wymagana dokumentacja
Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, sposób przepływu danych pomiędzy poszczególnymi systemami procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych
sposób zabezpieczenia systemu informatycznego przed działalnością wrogiego oprogramowania
procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

Podstawa prawna

Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.)

Rozporządzenie Parlamentu Europejskiego UE 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE