Od maja 2018 r. zacznie obowiązywać RODO – unijne rozporządzenie dotyczące ochrony danych osobowych. Rozporządzenie to znacznie poszerza obowiązki podmiotów przetwarzających dane osobowe, na ewentualne naruszenia natomiast wprowadza kary finansowe. Aby ułatwić przedsiębiorcom tę niełatwą drogę przygotowań do wdrożenia RODO Fundacja Bezpieczna Cyberprzestrzeń rozpoczęła projekt #ROADtoRODO.
Zapraszamy w naszą podróż #ROADtoRODO (INFOGRAFIKA). Przystanek nr 7. Zachęcamy do śledzenia kolejnych odcinków (poprzednie przystanki).
Dokumentacja organizacyjna
Niewątpliwie zbliżamy się do końca drogi, jaką wyznacza nam mapa drogowa #ROADtoRODO, to już siódmy z dziesięciu znaków jakie musimy omówić do szczęśliwego zakończenia. Znak ten nazwaliśmy „przygotowanie nowych dokumentów organizacyjnych”.
Przystanek nr 7 – Przygotowanie odpowiednich dokumentów
organizacyjnych – rejestr przetwarzania, polityki bezpieczeństwa i procedury.
Zatrzymując się przy tym znaku, musimy odpowiedzieć sobie na pytanie jakie dokumenty należy przygotować w naszej organizacji, by skutecznie przetwarzać dane osobowe pod rządami rozporządzenia RODO. Nie jest to wbrew pozorom taka prosta sprawa, wprawdzie RODO nie nakłada na nas obowiązku posiadania rozbudowanych obowiązkowych dokumentów z jednym wyjątkiem „Rejestru Czynności Przetwarzania”, ale posiadanie trochę szerzej formalnej bazy dokumentacyjnej, pozwoli dużo wygodniej poruszać się podczas procesów przetwarzania.
Zacznijmy jednak od obowiązkowego dla administratora Rejestru Czynności Przetwarzania, jeśli natomiast jesteśmy procesorem, będzie to Rejestr Kategorii Przetwarzania, o którym to spora część osób całkowicie zapomina. Zgodnie z duchem RODO celem prowadzenia przez administratora i procesora rejestru jest możliwość zdobycia podstawowych informacji przez organ nadzorczy jak faktycznie przebiegają procesy przetwarzania danych osobowych i co jest przetwarzane w danej organizacji. Należy zaznaczyć, że brak prowadzenia rejestru zagrożony jest karą w wysokości do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku. Co więc powinno się znaleźć w wyżej wymienionych rejestrach:
REJESTR CZYNNOŚCI PRZETWARZANIA
- Nazwę i dane kontaktowe administratora danych oraz dane kontaktowe Inspektora Ochrony Danych jeżeli został powołany,
- cel przetwarzania danych osobowych,
- opis kategorii osób, których dane dotyczą oraz zakres danych czy są to dane wrażliwe czy zwykłe,
- kategorie odbiorców danych, którym dane zostały lub w przyszłości zostaną udostępnione,
- informację o przekazywaniu danych do państwa trzeciego razem z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie, jeśli takie przekazywanie ma miejsce,
- planowany termin usunięcia danych osobowych,
- ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.
REJESTR KATEGORII PRZETWARZANIA, jest to jakby kontynuacja rejestru czynności przetwarzania i oprócz wymienionych powyżej elementów powinien taki rejestr zawierać:
- Rodzaje przetwarzania, które wykonuje procesor danych tj. np. przechowywanie, archiwizacja, usuwanie,
- nazwę administratora danych w imieniu którego przetwarzania dokonuje,
- oraz dwie informacje dodatkowe, które nie są obowiązkowe ale moim zdaniem, będą bardzo pomocne, okres od kiedy do kiedy obowiązuje umowa powierzenia, oraz co stanie się z danymi po okresie umowy (np. czy zostaną zniszczone, czy zwrócone).
Jak jednak wspominałem na wstępie, rejestr choć jest jedynym obowiązkowym dokumentem zgodnie z RODO, nie pozwala nam skutecznie przetwarzać danych, w związku z czym proponuję poszerzenie dokumentacji organizacyjnej o następujące elementy:
- Polityka ochrony danych – dokument ogólny, opisujące podstawowe zasady panujące w organizacji przy przetwarzaniu danych osobowych.
- Dokumentacja zastosowanych środków technicznych – dokument opisujący środki jakimi chronimy przetwarzane przez nas dane osobowe.
- Procedura postępowania w przypadku naruszenia ochrony danych osobowych oraz rejestr naruszeń – dokument gdzie będą ustanowione procedury na wypadek naruszenia, pozwalające skutecznie dokonywać zgłoszenia do organu nadzorczego, oraz rejestr gdzie będą odnotowywane wszelkie naruszenia mające związek z ochroną danych osobowych.
- Dokumentacja związana z analizą ryzyka – dokument zawierający metodologię jaką posługujemy się wykonując analizę ryzyka do procesów przetwarzania danych osobowych, zawierający dodatkowo dokumentację z wynikami takiej analizy.
- Dokumentacja dotycząca Inspektora Ochrony Danych (jeśli taki został powołany) – jest to dokumentacja mająca udowodnić współpracę administratora z IOD przy wszelkich obowiązkowych elementach jego pracy (konsultacje, opinie, zalecenia).
Jest to minimum dokumentacji jaką powinien prowadzić administrator w celu zapewnienia sobie sprawnego przetwarzania danych osobowych i na pewno posiadanie takich dokumentów wpłynie na ocenę organu nadzorczego w przypadku możliwej kontroli, tym samym pozwalając na uniknięcie lub zmniejszenie dotkliwych kar w przypadku naruszenia ochrony danych osobowych.
PRZYSTANEK NR 6 PRZYSTANEK NR 8