Dokumentacja z zakresu ochrony danych osobowych - co powinna zawierać?
Wymagania RODO wobec dokumentacji ochrony danych są nieostre. Przez to administratorzy danych nierzadko mają problemy z określeniem, co powinno się w niej znaleźć i jak ją prowadzić. Nie ma uniwersalnego modelu dokumentacji, ale w LEX Ochrona Danych Osobowych znajdziesz wzory, które mogą stanowić podstawę dla stworzenia dokumentacji dostosowanej do Twojej organizacji.
Administratorzy danych muszą być w stanie wykazać, że spełniają wymagania w zakresie ochrony danych osobowych. Rozliczalność jest jedną z kluczowych zasad wynikających z RODO. Prezes UODO wielokrotnie podkreślał, jak bardzo istotne jest to zagadnienie, i że wgląd w dokumentację dotyczącą ochrony danych osobowych jest jedną z podstawowych czynności, jakie wykonuje się w postępowaniach w sprawie naruszeń i kontroli prowadzonych przez organ nadzorczy.
Na kim spoczywa obowiązek sporządzenia i wdrożenia dokumentacji ochrony danych osobowych?
Odpowiedzialność za posiadanie prawidłowo sporządzonej dokumentacji w zakresie ochrony danych osobowych i wdrożenie zasad w niej wskazanych ponosi administrator. W praktyce ogromne wsparcie w tym procesie zapewnia mu inspektor ochrony danych (jeśli jest powołany u administratora).
Co wchodzi w skład dokumentacji ochrony danych osobowych?
W RODO wskazano wprost rodzaje dokumentów, jakie powinien posiadać administrator. Jednak praktyka pokazuje, że ten katalog nie jest wystarczający, aby administrator mógł skutecznie wykazać, że jego działalność jest zgodna z przepisami w zakresie ochrony danych osobowych. Na gruncie doświadczeń, potrzeb po stronie administratora i IOD-a oraz dotychczas prowadzonych kontroli przez Prezesa UODO można zidentyfikować cały szereg dokumentów, które nie tylko pozwolą na udowodnienie spełniania prawnych wymagań, ale także będą narzędziami do skutecznego zarządzania procesami związanymi z ochroną danych osobowych.
Do obowiązkowej dokumentacji na gruncie RODO zalicza się:
- prowadzenie rejestrów czynności przetwarzania danych osobowych i rejestrów kategorii czynności przetwarzania (art. 30 RODO) - jeśli administrator jest zobowiązany do ich prowadzenia,
- prowadzenie rejestru naruszeń (art 33 ust. 5 RODO),
- sporządzanie raportu dokumentującego wyniki ocen skutków przetwarzania danych (art. 35 ust. 7).
Do dodatkowej dokumentacji, którą warto prowadzić mając na względzie zasadę rozliczalności, należą m.in.:
- rejestr upoważnień do przetwarzania danych osobowych;
- rejestr zgłoszeń od osób, których dane dotyczą;
- analiza ryzyka;
- plan ciągłości działania;
- upoważnienia do przetwarzania danych osobowych - niektóre przepisy sektorowe nakładają wprost obowiązek posiadania pisemnych upoważnień;
- zasady powierzania danych;
- zasady realizowania praw osób, których dane dotyczą;
- procedura obligowania do poufności;
- raporty z audytów zgodności z RODO ;
- polityki adekwatne do zagrożeń dla ochrony danych.
Wzory wszystkich powyższych dokumentów znajdziesz w LEX Ochrona Danych Osobowych.
Wskazany wyżej katalog nie jest zamknięty. To zakres działalności administratora wyznacza w dużej mierze obszar do regulacji w zakresie ochrony danych osobowych.
Upoważnienie do przetwarzania danych osobowych i zobowiązanie do poufności
Upoważnienie stanowi jedną z trudniejszych form dokumentacji, a prawidłowe jego sformułowanie ma ogromne znaczenie, w szczególności, gdy dochodzi do naruszenia ochrony danych. Na podstawie upoważnienia bada się odpowiedzialność danej osoby, a wyjście poza jego ramy przez osobę upoważnioną może w konsekwencji doprowadzić nawet do zwolnienia dyscyplinarnego czy nałożenia kary umownej.
Obowiązkiem administratora jest to, aby każda osoba przetwarzała dane z jego polecenia. Zatem to on, a nie inspektor ochrony danych, jest zobligowany do sporządzenia i podpisania takiego upoważnienia. Co do jego treści, powinno być ono konkretne i szczegółowe. Zdaniem Sylwii Czub-Kiełczewskiej wskazywanie w upoważnieniu na zakres obowiązków pracownika, to za mało. Obowiązki mogą zmieniać się dynamicznie, zatem lepszym rozwiązaniem byłoby szczegółowe opisanie czynności lub wskazanie na czynności przetwarzania z RCP. Warto również pamiętać, że upoważnienia nie można nadać wstecz.
W upoważnieniu można również zawrzeć zobowiązanie do zachowania poufności. Sylwia Czub-Kiełczewska rekomenduje takie połączenie. Dzięki temu zabiegowi, w jednym dokumencie jest zakres upoważnienia i wynikające z niego zobowiązanie, co lepiej obrazuje konieczność podpisania takiego dokumentu. Takie połączenie może wyglądać następująco:
Możliwe jest również sporządzanie zobowiązania do poufności w odrębnym dokumencie.
Dokumentacja naruszeń ochrony danych osobowych
Administrator ma obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO). Dokumentowanie naruszeń (i incydentów) pozwala ADO również na szersze spojrzenie na organizację - mając wiedzę o częstotliwości ich występowania, może lepiej operować ryzykiem i dokładniej zorganizować zabezpieczenia danych.
Administrator nie jest jedynym podmiotem, który zobowiązany jest do takiego działania. Jeżeli przetwarzanie danych osobowych jest powierzone podmiotowi zewnętrznemu, ma on obowiązek zgłaszania naruszeń do ADO.
Sylwia Czub-Kiełczewska rekomenduje, aby w skład dokumentacji naruszeń ochrony danych (poza procedurą postępowania i analizą ryzyka) wchodziły takie dokumenty, jak:
- raport z naruszenia danych;
- klasyfikacja naruszeń ochrony danych;
- wytyczne dotyczące klasyfikacji naruszeń.
Wzory tych i wielu innych dokumentów znajdziesz w LEX Ochrona Danych Osobowych. Mogą one stanowić bazę dla dokumentacji ochrony danych osobowych w Twojej organizacji. Zakres i zastosowanie części z nich zostało szczegółowo omówione w nagraniu ze szkolenia online pt. "Dokumentacja z zakresu ochrony danych osobowych (szkolenie z wykorzystaniem wzorów z LEX ODO)", które poprowadziła Sylwia Czub-Kiełczewska, ekspertka ds. ochrony danych osobowych i bezpieczeństwa informacji, szkoleniowiec i certyfikowany audytor wewnętrzny. Z nagrania możesz dowiedzieć się więcej na temat dokumentacji, m. in. jak przeprowadzać przegląd dokumentacji ochrony danych i jak ją aktualizować.
Julia Magulska
Redakcja Publikacji Elektronicznych