Nowe obowiązki dokumentacyjne przy przetwarzaniu danych osobowych

lut 18, 2018Ochrona danych

Jednym z podstawowych pytań przedsiębiorców jakie otrzymuję, to, czy dotychczasowe dokumenty (te, które wymagało GIODO) wystarczą, czy trzeba coś innego przygotowywać?

No i tutaj pojawia się problem.

Dotychczasowa ustawa o ochronie danych dosyć szczegółowo regulowała rodzaj oraz minimalne wymagania co do treści prowadzonej dokumentacji.

Odmiennie jest w RODO. Ustawodawca unijny uznał, że stworzenie kolejnego aktu prawnego, który skrupulatnie wymienia jak długie powinno by hasło i jakie zabezpieczenia użyć szybko będzie odbiegało od realiów.

Sztywne niedostosowane do zmieniającej się rzeczywistości technologicznej wymagania nie zwiększają poziomu bezpieczeństwa.

Dlatego w Ogólnym Rozporządzeniu zdecydowano się na zawarcie pojęć ogólnych (klauzule generalne) i nieostrych postanowień odwołujących się do stanu wiedzy technicznej, czy dostępnej technologii.

Dzięki temu łatwiej zabezpieczyć dane do zmieniającego się świata.

Zapamiętaj!

RODO nie wprowadza zamkniętego katalogu koniecznych do wdrożenia dokumentów oraz nie określa ich minimalnych wymagań treściowych.

 

Jednocześnie w części poprzedzającej rozporządzenie (motywy) wskazano, że administrator danych, w celu wykazania przestrzegania RODO powinien przyjąć wewnętrzne polityki i wdrożyć środki, które zapewnią realizację obowiązków (motyw 78 preambuły RODO).

 Jak zatem widzisz, ciężar analizy ryzyka i dostosowania odpowiednich zabezpieczeń przeniesiony jest na administratora danych.

W mojej ocenie jest to właściwe rozstrzygnięcie. Chociaż na pewno wymaga większego zaangażowania ze strony administratora. Już nie będzie mógł spać spokojnie dlatego, ze wypełnił dokumenty wskazane w przepisach.

Trzeba się także liczyć z tym, że u każdego administratora (firmie) może być inny system zabezpieczeń i dokumentacji przyjęty.

Zapamiętaj! Brak wdrożenia dokumentacji nie będzie stanowić uchybienia lecz uchybieniem będzie naruszenie danych osobowych jako takie.

Aby nie było tak pesymistycznie, RODO mówi o pewnych dokumentach, które co prawda mają obowiązek stosować przedsiębiorstwa …, ale zachęcam także podmioty, które nie są zobligowane do przyjrzenia się tym dokumentów i wprowadzenia ich do swoich procedur.

Wśród dokumentów RODO wymienia:

  • rejestr naruszeń ochrony danych
  • rejestr czynności przetwarzania
  • nadawanie upoważnień
  • dokumentowanie transferów danych do państwa trzecich

 

Rejestr naruszeń ochrony danych

To dokument,  w którym należy odnotowywać wszystkie sytuacje, w których nastąpiło naruszenie danych osobowych wraz z podaniem daty, przyczyny naruszenia oraz podjętych działać naprawczych. Warto również w nim zapisywać nie tylko sam fakt naruszenia, ale także kiedy to naruszenie zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

 

Rejestr czynności przetwarzania

Nie każdy podmiot przetwarzający dane ma obowiązek prowadzenia tego rejestru. Jednak zalecałabym przyjrzeć mu się bliżej, gdyż jego stworzenie nie jest bardzo skomplikowane, a pozwoli administratorowi nawet prowadzącemu blog, czy mała firmę na szczegółowa analizę tego, w jaki sposób przetwarza dane osobowe.

Podmioty zobowiązane rozporządzeniem (m.in. zatrudniające powyżej 250  osób) do prowadzenia rejestru oraz jego przedstawiciel (jeżeli istnieje) ujmują w nim wszystkie kategorie czynności przetwarzania dokonywanych w imieniu administratora.

Zgodnie z RODO taki rejestr może maksymalnie zawierać siedem pozycji:

  • nazwę i dane kontaktowe administratora danych oraz dane kontaktowe IODO jeżeli został powołany,
  • cel przetwarzania danych osobowych,
  • opis kategorii osób, których dane dotyczą oraz zakres danych (wrażliwe lub zwykłe),
  • kategorie odbiorców, którym dane zostały lub zostaną udostępnione,
  • informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
  • planowany termin usunięcia danych osobowych,
  • ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.

Może być prowadzony zarówno w wersji elektronicznej lub papierowej. Jest to dokument wewnętrzny firmy, który nie jest publikowany na stronie internetowej. Jednak powinien zostać udostępniony na każde żądanie organu nadzorczego (np. w czasie kontroli).

 

Rejestr nadawanych upoważnień

Już nie ma potrzeby gromadzenia oświadczeń do przetwarzania danych ani upoważnień.

Jednak dla zachowania porządku i wiedzy kto i od kiedy ma uprawnienie do przetwarzania, administrator danych zobowiązany jest do prowadzenia rejestru nadawanych upoważnień.

W to znaczenie w czasie kontroli lub ewentualnego wycieku danych. Łatwo wówczas sprawdzić kiedy, komu i w jakim zakresie zostało udzielone upoważnienie do przetwarzania danych.

 

Rejestr transferu danych do państw trzecich

Podmioty spoza Unii, zwane podmiotami trzecimi, mają obowiązek zapewnienia zgodności z Rozporządzeniem w zakresie przetwarzania danych osób z terenu UE.

Transfer danych do państw trzecich może powodować zwiększone ryzyko dlatego administrator powinien wybrać takiego procesora, który zapewni wysoki stopień bezpieczeństwa.

Dlatego transfer danych jest dopuszczalny przy adekwatnym poziomie ochrony. I także dlatego wprowadzono rejestr transferu danych.

Dlatego też wymóg prowadzenia rejestru transferów,  w którym odnotowuje się państwo trzecie, d którego przekazywane są dane, jak i rodzaj danych.

 

To tak w skrócie omówione dokumentny przewidziane przez RODO. Jeśli pojawią się pytania,  a na pewno się pojawią 🙂 to koniecznie zostaw tutaj w komentarzu lub na Fb.

adw. Małgorzata Moczulska

Pomagam zrozumieć przepisy prawa i prowadzić legalnie biznes online. Moi Klienci to osoby mające odwagę spełniać marzenia o własnej firmie, w której realizują swoje pasje, ale także rozwijają dochodowe biznesy zgodnie z obowiązującymi przepisami.