Jeżeli zapoznałeś się z naszym pierwszym wpisem na blogu (link do wpisu), z pewnością potrafisz udzielić sobie odpowiedzi na pytanie, „czy moja firma również zobowiązana jest do przestrzegania przepisów RODO?”. Podejrzewam, że w przypadku odpowiedzi twierdzącej zastanawiasz się teraz jakie dokładnie dokumenty muszę posiadać, aby moja działalność spełniała obowiązki nałożone przepisami Rozporządzenia.

Aby rozwiać pojawiające się wątpliwości, w dzisiejszym wpisie wyjaśnimy, czy i jakie dokumenty należy przygotować, by móc zagwarantować prawidłową realizację obowiązków wskazanych przez RODO.

Na wstępie należy zaznaczyć, że RODO, w przeciwieństwie do poprzednio obowiązujących w Polsce regulacji z zakresu ochrony danych osobowych, poza obowiązkiem prowadzenia rejestru czynności przetwarzania danych osobowych, nie wskazuje nam wprost listy ani kształtu wymaganych dokumentów.

Wbrew pozorom nie oznacza to jednak, że zwolnieni jesteśmy z obowiązku ich posiadania. Zgodnie bowiem z wynikającą z przepisów RODO zasadą rozliczalności, na Administratorze Danych Osobowych spoczywa obowiązek wykazania przestrzegania zasad ochrony danych osobowych. Najskuteczniejszym sposobem udowodnienia, że nasze działania są zgodne z RODO jest posiadanie odpowiedniej dokumentacji/procedur.

Poniżej przedstawiamy dokumenty, które naszym zdaniem powinna opracować i wdrożyć u siebie każda firma, niezależnie od swej wielkości, czy też charakteru oferowanych usług.

  1. Polityka Ochrony danych osobowych

Polityka ochrony danych osobowych powinna stanowić w każdym przedsiębiorstwie podstawowy dokument określający zasady przetwarzania, przyjęte standardy z zakresu ochrony danych osobowych oraz wskazywać konsekwencje w przypadku ich nieprzestrzegania. Ostateczny kształt polityki zależeć będzie od specyfiki przedsiębiorstwa tj. struktury organizacyjnej, ilości pracowników, zakresu przetwarzanych danych osobowych, czy też systemów wykorzystywanych przy ich przetwarzaniu.

  1. Rejestr czynności przetwarzania danych osobowych.

Rejestrem czynności przetwarzania nazywamy uporządkowany zbiór informacji o wszelkich procesach przetwarzania danych prowadzonych przez Administratora. Zakres informacji, które powinien on zawierać określa art. 30 RODO i należą do nich:

  1. a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. b) cele przetwarzania;
  3. c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. e) gdy ma to zastosowanie, informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Obowiązek prowadzenia rejestru dotyczy przedsiębiorców, którzy spełniają przynajmniej jedną z poniższych przesłanek:

  • zatrudniają 250 lub więcej pracowników,
  • przetwarzanie przez nich danych może powodować ryzyko naruszenia praw osób, których dane dotyczą,
  • przetwarzanie nie ma charakteru sporadycznego,
  • przetwarzanie obejmuje szczególne kategorie danych, o których mowa w art. 9 ust. 1 RODO,
  • przetwarzanie obejmuje dane o wyrokach skazujących i naruszeniach prawa

Biorąc pod uwagę przesłankę z pkt 3 można stwierdzić, że obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych dotyczyć będzie zdecydowanej większości przedsiębiorców.

  1. Wzory klauzul informacyjnych.

Zgodnie z art. 13 i 14 RODO, Administrator pozyskując dane osobowe zobowiązany jest do przekazania osobie fizycznej informacji o: swojej tożsamości i danych kontaktowych, celach i podstawach przetwarzania danych osobowych, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią, informacjach o odbiorcach danych osobowych oraz kategoriach odbiorców, gdy ma to zastosowanie o zamiarze przekazania danych do państwa trzeciego lub organizacji międzynarodowej, okresu przez który dane będą przechowywane, informacji o zautomatyzowanym przetwarzaniu danych osobowych, czy też o prawach przysługujących osobie w związku z przetwarzaniem danych.

Informacje te najlepiej przekazać w formie klauzuli informacyjnej. Informacje dotyczące przetwarzania różnić się będą m.in. celami przetwarzania, podstawami prawnymi czy też okresem przechowywania danych, dlatego przygotować należy wzór odpowiedniej klauzuli informacyjnej dopasowanej do celów przetwarzania danych.

  1. Procedura analizy incydentów ochrony danych osobowych oraz postępowania w przypadku stwierdzenia naruszenia danych.

W związku z tym, że w przypadku wystąpienia incydentu bezpieczeństwa ochrony danych osobowych na Administratorze danych osobowych spoczywa obowiązek sprawdzenia czy nie doszło do naruszenia ochrony danych osobowych, a w razie konieczności poinformowania w ciągu 72 godzin Prezesa Urzędu Ochrony Danych Osobowych oraz osoby której dane dotyczą o naruszeniu, warto opracować procedurę analizy incydentów ochrony danych, która w prosty sposób pozwoli ocenić czy doszło do naruszenia, wskazać jego okoliczności oraz podjęte działania. Procedura taka stanowić będzie również dowód na odpowiednią reakcję w przypadku kontroli prowadzonej przez Urząd Ochrony Danych Osobowych.

  1. Procedura identyfikacji i szacowania ryzyk.

W związku z tym, że RODO nierozerwalnie wiąże się z analizowaniem ryzyka związanego z przetwarzaniem danych osobowych warto, by jednym z posiadanych w firmie dokumentów był ten opisujący procedurę identyfikacji i szacowania ryzyk dla procesów przetwarzania danych mających miejsce w ramach prowadzonej działalności. Procedura taka powinna określać wielkość ryzyka w oparciu o skutki dla osób fizycznych których dane przetwarzamy, które może spowodować ewentualne naruszenie, prawdopodobieństwo jego wystąpienia, istotność czynności przetwarzania oraz zastosowane środki bezpieczeństwa obniżające prawdopodobieństwo jego wystąpienia.

  1. Wzory i ewidencja upoważnień

Zgodnie z RODO do przetwarzania danych osobowych mogą zostać dopuszczone wyłącznie osoby posiadające stosowne upoważnienie od Administratora danych osobowych. W związku z tym warto opracować wzór takiego upoważnienia oraz ewidencję osób upoważnionych. Ponadto warto też stworzyć dokument w którym wskażemy dokładnie do jakich czynności mogą zostać upoważnieni pracownicy na danym stanowisku pracy.

  1. Wzór testu równowagi.

W przypadku, gdy jedna lub więcej czynności przetwarzania danych oparta jest na art. 6 ust. 1 lit. f) RODO, czyli na przesłance prawnie uzasadnionego interesu Administratora, warto opracować wzór tzw. Testu równowagi przy pomocy którego w przejrzysty sposób możemy dokonać analizy, czy prawnie uzasadniony interes administratora jest nadrzędny wobec interesów, praw i wolności osób, których dane dotyczą.

  1. Wzór umowy powierzenia przetwarzania danych.

Większość przedsiębiorców w swojej działalności posiłkuje się również innymi podmiotami, które w ich imieniu przetwarzać będzie dane osobowe. Na administratorze danych osobowych, czyli przedsiębiorstwie, spoczywa obowiązek odpowiedniego uregulowania takiej relacji, w postaci zawarcia umowy powierzenia przetwarzania danych. Aby cały proces był dobrze zarządzany i aby interesy przedsiębiorstwa były odpowiednio zabezpieczone, warto opracować i stosować w codziennej działalności wzór umowy powierzenia przetwarzania danych.

Powyższa lista nie stanowi zamkniętego katalogu dokumentów, które powinniśmy posiadać w naszej działalności. Dokładne wskazanie jakie dokumenty są potrzebne, a także ich prawidłowe sporządzenie możliwe jest wyłącznie po przeprowadzeniu szczegółowego audytu, dzięki któremu można dokładnie poznać daną organizację i zidentyfikować wszelkie procesy związane z przetwarzaniem danych osobowych.

Na zakończenie poruszyć należy temat oferowanych przez niektóre firmy gotowych „Pakietów RODO” dla mikro, małych, średnich czy też dużych przedsiębiorców. Z naszego wieloletniego doświadczenia wiemy, że każda firma wymaga indywidulanego podejścia w zakresie opracowywania i wprowadzania w życie dokumentów oraz procedur związanych z ochroną danych osobowych. Gotowe pakiety, bez odpowiedniego uwzględnienia indywidualnego charakteru danej działalności, nie gwarantują prawidłowego spełnienia obowiązków wynikających z RODO,  a w związku z tym nie zapewniają odpowiedniej ochrony przed naruszeniami danych osobowych oraz w ich wyniku – karami finansowymi nakładanymi przez Organ Nadzorczy jakim jest Prezes Urzędu Ochrony Danych Osobowych.

Dlatego też zachęcamy do kontaktu i skorzystania z oferowanych przez nas usług.