W końcu nie muszę, ale … muszę – czyli dyskusja nad koniecznością tworzenia dokumentacji do wdrożenia RODO

Dla wielu przedsiębiorców dzień rozpoczęcia obowiązywania RODO, wiązał się z przerażającą wizją dostosowywania funkcjonowania przedsiębiorstwa do nowych, wymagających wytycznych. Powstał także „obóz przeciwny” głoszący  z nadzieją, że RODO zdejmuje z nas przedsiębiorców uciążliwe obowiązki tworzenia – niejednokrotnie bardzo obszernych – polityk i procedur, które wprost wymieniały akty prawne, regulujące kwestie ochrony danych osobowych w poprzednim porządku prawnym. Mam tutaj na myśli politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi wymienione wprost w § 3 ust. 1 Rozporządzenia Ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Jakąż konsternację dla tych drugich musiał wywołać fakt, iż choć akty prawne regulujące obecnie przetwarzanie danych osobowych – w tym także RODO – nie zawierają praktycznie żadnych wytycznych odnoszących się do sposobu prowadzenia, nazewnictwa, oraz zawartości dokumentacji przetwarzania danych osobowych, co mogłoby oznaczać  absolutną niemalże dowolność dla przedsiębiorców w zakresie tworzenia dokumentacji ochrony danych osobowych w ich przedsiębiorstwach, to równocześnie ustawodawca europejski wprowadził magiczną zasadę rozliczalności, która sprawi, że dokumentacja bezpieczeństwa ochrony danych osobowych będzie obszerna jak nigdy dotąd.  Wymóg wykazywania, że administrator realizuje zasady wskazane w RODO zawarty jest wprost w ust. 2 art. 5 RODO:

2.Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

zaś wymóg wykazywania, że administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO, zawarty jest w art. 24 RODO:

  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
  2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
  3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Ustęp 1 wskazany powyżej, oznacza konieczność zadbania o wykazanie stosowania wymagań RODO w codziennej pracy przedsiębiorców. Zastanowić się wobec tego należy co konkretnie należałoby zdołać wykazać i czy da się to zrobić bez „papierologii” w postaci wielu procedur, polityk czy rejestrów.

Szukając odpowiedzi, należy sięgnąć do RODO w pooszukiwaniu zasad i wytycznych, z których realizacji możemy być rozliczeni. Szukać nie trzeba daleko, gdyż już pierwszy rozdział Rozporządzenia nakładana administratora szereg wymogów, takich jak:

  • stosowanie się do ogólnych zasad przetwarzania określonych w art. 5 RODO, tj.:

– zasady zgodność z prawem, rzetelność i przejrzystości,
– zasady ograniczenia celu,
– zasady minimalizacji danych,
– zasady prawidłowości,
– zasady ograniczonego przechowywania,
– zasady integralności i poufności,
– zasady rozliczalności;

  • zapewnienie, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO, w tym w oparciu o konkretną podstawę prawną, na podstawie zgody, spełniającej określone w RODO warunki, czy z uwzględnieniem specjalnych wymogów dotyczących szczególnych kategorii przetwarzania danych;
  • zapewnienie, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO, w tym prawa do:

– informacji,
– dostępu do danych,
– sprostowania i usuwania danych,
– do ograniczenia przetwarzania,
– do przenoszenia danych,
– do sprzeciwu, czy też
– prawa związanego ze zautomatyzowanym przetwarzaniem i profilowaniem;

  • zapewnienie wypełniania ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
  • zapewnienie bezpieczeństwa przetwarzania danych, z  uwzględnieniem charakteru zakresu, kontekstu i celów przetwarzania danych – art. 32- 36 RODO;
  • zapewnienie kontroli nad przetwarzaniem danych w postaci monitorowania przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postępowania – art. 27- 43;
  • stosowanie się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

W praktyce oznacza to, że administrator ma obowiązek wykazać, że wszystkie powyższe zasady są w jego przedsiębiorstwie realizowane – zarówno przez niego jak i podległe mu osoby.

Zastanawiając się nad sposobami wykazania wszystkich powyższych zasad, prędzej czy później trzeba dojść do wniosku, że najbezpieczniejszą do tego metodą jest stworzenie odpowiednich polityk w celu ich wdrożenia.

Można co prawda stać na stanowisku, że w pewnym zakresie, być może, wystarczyłoby po prostu przetwarzanie danych zgodnie z tymi zasadami, a do takiego zachowania nie potrzeba tworzyć góry dokumentacji, jednakże chcąc wdrożyć na stałe jednolite zasady postępowania z danymi wśród swoich pracowników, czy współpracowników, wpierw muszą zaistnieć jakieś wytyczne – stanowiące de facto polityki – w oparciu o które przedsiębiorca będzie szkolił swój personel, i do których będzie mógł się odwołać w razie wątpliwości.

Wątpliwym jest także, czy inspektorowi Urzędu Ochrony Danych, dokonującemu kontroli w naszym przedsiębiorstwie, wystarczy zapewnienie nasze lub naszych pracowników, że zasad ujętych w RODO przestrzegamy. Nie jest bowiem tajemnicą, iż ponad 80-stronicowy dokument jakim jest RODO, bywa twardym orzechem do zgryzienia dla wielu prawników, a  co dopiero dla – często niemających za wiele wspólnego z prawem – administratorów danych, czy tym bardziej ich pracowników. Dlatego też nieznajomość czy brak zrozumienia zapisów samego Rozporządzenia stanowi poważny problem wielu przedsiębiorców. Jeżeli dogłębnie  nie znamy danych przepisów lub ich nie rozumiemy, nie możemy mówić o jakichkolwiek wiarygodnych gwarancjach ich prawidłowego stosowania. Ryzyko niedociągnięć w tym zakresie – w moim przekonaniu  – stanowi wystarczającą przesłankę do tego, aby zdecydować się oprzeć w zakresie zasady rozliczalności na czymś więcej niż słowo administratora lub jego pracownika.

W tym miejscu chciałabym także przywołać jedne z kluczowych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem – normy ISO/IEC z serii 27000, w tym: normę PN-EN ISO/IEC 27001:2017 dotyczącą technologii informacyjnej i techniki zabezpieczeń, oraz normę PN-EN ISO/IEC 27002:2017 dotyczącą techniki informatycznej w aspekcie praktycznych zasad zabezpieczania informacji. Jednoznacznie rekomenduje się w nich, aby polityka bezpieczeństwa informacji była dostępna w formie udokumentowanej informacji, ogłoszona wewnątrz organizacji oraz dostępna dla zainteresowanych stron, jeśli jest to właściwe.

Skoro doszliśmy już do tego, że najbezpieczniejszym rozwiązaniem zagadnienia realizacji zasady rozliczności w naszej organizacji będzie stworzenia odpowiednich dokumentów, warto uświadomić sobie jakie dokumenty powinny wchodzić w skład szeroko rozumianej dokumentacji RODO.

Choć w treści RODO nie wymienia się dokumentów jakie administrator powinien posiadać, nie wskazuje się ich nazwy, czy struktury, to w odniesieniu do niektórych obszarów RODO nakreśla pewne wymagania formalne. Do obszarów takich należą:

  • prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

Mając na uwadze powyższe oraz troskę o jak najpełniejszą realizację wymogów RODO, próbując stworzyć katalog dokumentów, które powinniśmy  przygotować w celu wykazania przestrzegania RODO w naszej organizacji, warto sięgnąć także do rekomendacji UODO – wszak, to inspektorzy UODO wyznaczają zakresem swoich kontroli pewne standardy, których powinniśmy się trzymać.

Na stronie internetowej  UODO https://uodo.gov.pl/pl/138/273, zaś możemy znaleźć dość pokaźne zestawienie rekomendowanych dokumentów składających się na dokumentację RODO, która obejmuje:

  •  politykę bezpieczeństwa ochrony danych,
  •  instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych,
  • rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania (art. 30 RODO),
  • wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego ( art. 33 ust 3 RODO),
  • procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć (art. 34 RODO),
  • procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych (art. 33 ust 5 RODO),
  • raport z przeprowadzonej, ogólnej analizy ryzyka,
  • raport z ocen skutków dla ochrony danych – jeśli dotyczy (art. 35 ust. 7 RODO),
  • procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy,
  • plan ciągłości działania –(art. 32 ust 1 pkt b RODO),
  • procedury odtwarzania systemu po awarii, oraz ich testowania (art. 32 ust 1 pkt c i d RODO),

z zastrzeżeniem, iż:

  • nie ma  przeszkód, aby  uzupełnić dotychczas stosowaną dokumentację, tj. politykę bezpieczeństwa i instrukcja zarządzania systemami informatycznymi o nowe elementy wymienione w rozdziale 1 RODO, a także
  • wymieniony wyżej zakres dokumentacji można w istotny sposób ograniczyć w przypadkach, gdzie brak jest niektórych ryzyk z uwagi na zastosowane tam rozwiązania.

Choć wielu przedsiębiorców – z uwagi na szacowane niskie ryzyko zagrożenia bezpieczeństwa przetwarzanych danych – rezygnuje z obszernych dokumentacji RODO, jest też spora liczba przedsiębiorców jeszcze mocniej rozszerzających proponowany powyżej katalog, poprzez  tworzenie chociażby odrębnych polityk realizacji praw osób, których dane dotyczą, polityk zarządzania zgodami i upoważnieniami, czy innych procedur szczegółowych.

Podsumowując, trzeba stanowczo stwierdzić, że RODO jednoznacznie wymaga od przedsiębiorców wykazania realizacji wymogów w nim ujętych, przy czym już bardzo niejednoznacznie przerzuca na przedsiębiorcę ciężar decyzji jaką formę przybierze to wykazanie. Ostateczny kształt tej dokumentacji będzie zaś  zależał od:

  • analizy ryzyka w stosunku do przetwarzanych danych,
  • stanu wiedzy technicznej, kosztów, charakteru, zakresu, kontekstu, celów przetwarzania i
  • podejścia metodologicznego administratora danych.

Pozostaje jedynie pytanie czy ta pozorna „swoboda” nie przysparza przedsiębiorcom więcej zmartwień niż uproszczeń.

Create your website with WordPress.com
Rozpocznij