(+ 48) 22 463 47 70

Artykuł

Dokumentacja wymagana przez RODO

Dokumentacja wymagana przez RODO

“RODO utrudni życie administratorom danych osobowych”, “Na podstawie RODO za drobne uchybienia będzie można nakładać na przedsiębiorców gigantyczne kary”, “Przetwarzanie danych osobowych będzie wiązać się z większym ryzykiem” – to przykładowe hasła, które w różnych formach pojawiają się w internecie co najmniej od roku. Być może jest w nich wiele prawdy (to zweryfikuje dopiero praktyka). Jest jednak co najmniej jedna kwestia, którą RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) zdecydowanie upraszcza – dokumentacja, jaka musi być prowadzona przez administratora danych osobowych.

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym już niepotrzebne

Obowiązująca jeszcze ustawa o ochronie danych osobowych na każdego administratora nakłada obowiązek opracowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, zgodnie z wytycznymi zawartymi w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Od 25 maja 2018 r., kiedy wejdzie w życie RODO, obowiązek ten zostanie zniesiony. Jedynym dokumentem związanym z przetwarzaniem danych osobowych, w sposób wyraźny wymagany przez prawo, będzie rejestr czynności przetwarzania danych osobowych, i to nie zawsze.

Rejestr czynności przetwarzania danych osobowych

Zgodnie z art. 30 ust. 1 RODO, w rejestrze tym zamieszcza się wszystkie następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w niektórych przypadkach także dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa wymaganych przez RODO.

Obowiązek ten nie ma jednak zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora

Obowiązek prowadzenia podobnego rejestru ma także podmiot przetwarzający dane osobowe w imieniu administratora (powierzenie przetwarzania danych). Stosownie do art. 30 ust. 2 RODO, jest on zobowiązany do prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Jednak i w tym przypadku działa wyłączenie, o którym mowa powyżej – rejestru co do zasady można nie prowadzić, jeżeli zatrudnia się mniej niż 250 osób.

Dokumentacja według uznania administratora

Poza powyższymi rejestrami administrator ma dowolność jakie dokumenty stworzy w związku z przetwarzaniem danych osobowych. Istotne jest jedynie to, żeby uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (art. 32 ust. 1 RODO). Z tego względu, pomimo braku rozbudowanej listy wymaganych dokumentów przez RODO, nie należy lekceważyć kwestii przygotowania w swojej firmie odpowiedniej dokumentacji.

Tomasz Korolko
radca prawny