Dokumentacja wymagana przez RODO
RODO[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) powszechnie uznawane jest jako coś, co znacznie skomplikowało życie przedsiębiorcom. Nie sposób się z tym nie zgodzić – na pewno pojawiło się sporo nowych obowiązków dla administratorów danych osobowych. Jest jednak co najmniej jednak kwestia, która została przez RODO zdecydowanie uproszczona – dokumentacja, jaka musi być prowadzona w związku z przetwarzaniem danych osobowych.
Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym już niepotrzebne
Obowiązująca przed RODO ustawa o ochronie danych osobowych nakładała na każdego administratora obowiązek opracowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, zgodnie z wytycznymi zawartymi w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji wydanym specjalnie w tym celu. Od 25 maja 2018 r., kiedy weszło w życie RODO, obowiązek ten został zniesiony. Obecnie, jedynym dokumentem związanym z przetwarzaniem danych osobowych, w sposób wyraźny wymagany przez prawo, jest rejestr czynności przetwarzania danych osobowych, i to nie zawsze.
Rejestr czynności przetwarzania danych osobowych
Zgodnie z art. 30 ust. 1 RODO, w rejestrze czynności przetwarzania danych osobowych zamieszcza się wszystkie następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w niektórych przypadkach także dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa wymaganych przez RODO.
Nie każdy jednak administrator ma obowiązek prowadzić powyższy rejestr. Zwolnieni z niego są przedsiębiorcy zatrudniający mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Obowiązek prowadzenia podobnego rejestru ma także podmiot przetwarzający dane osobowe w imieniu administratora (w przypadku powierzenia przetwarzania danych osobowych). Stosownie do art. 30 ust. 2 RODO, jest on zobowiązany do prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Jednak i w tym przypadku działa wyłączenie, o którym mowa powyżej – rejestru co do zasady można nie prowadzić, jeżeli zatrudnia się mniej niż 250 osób.
Inna dokumentacja według uznania administratora
Poza rejestrowaniem czynności przetwarzania danych osobowych, administrator ma dowolność jakie dokumenty stworzy w związku z przetwarzaniem danych osobowych. Równie dobrze może w ogóle nic nie przygotować i nie wdrożyć żadnych procedur. Takie podejście jest jednak niewskazane. RODO przewiduje szereg zasad, jakie przy przetwarzaniu danych osobowych powinny być stosowane przez administratora, w tym chociażby wymienione w art. 5 RODO (,,zgodność z prawem, rzetelność i przejrzystość”, „ograniczenie celu”, „minimalizacja danych”, „prawidłowość”, „ograniczenie przechowywania”, „integralność i poufność”, „rozliczalność”). Co więcej, stosownie do art. 32 RODO, administrator jest obowiązany ocenić wszystkie ryzyka i wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający tym ryzykom. Opracowanie dokumentacji, która szczegółowo opisuje zasady i procedury postępowania w firmie z danymi osobowymi, znacznie ułatwia wdrożenie wszystkich powyższych zasad i obowiązków. Jest to jednak wskazane nie tylko z tego względu. Odpowiednia dokumentacja bardzo pomaga wykazać przestrzeganie przez administratora zasad dotyczących przetwarzania danych osobowych (taki obowiązek przewiduje art. 5 ust. 2 RODO). W przypadku kontroli nierzadko może to być jedyny sposób, żeby udowodnić, że wszystkie niezbędne środki techniczne i mechanizmy zostały wdrożone.
Przypisy
↑1 | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) |
---|