Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. l nr 119, str. 1) (dalej: „RODO”) nie przewiduje wprost konieczności tworzenia rozbudowanej dokumentacji. Należy jednak pamiętać o jednej z podstawowych zasad wprowadzonych przez RODO, tj. o zasadzie rozliczalności. Na czym ona polega i jaka dokumentacja w związku z tym jest wskazana, a jaka jest niezbędna? Jaka jest dokumentacja wymagana przez RODO? Odpowiadamy w niniejszym artykule.
Zasada rozliczalności a dokumentacja wymagana przez RODO
Zasada rozliczalności według RODO nakłada na administratora danych osobowych obowiązek przyjęcia przez niego odpowiedzialności za przestrzeganie reguł RODO i za odpowiednią ochronę danych osobowych. Z zasady tej wynika także obowiązek realizowania zobowiązań wynikających z RODO w taki sposób, by było możliwe wykazanie, że administrator działa zgodnie z przepisami prawa.
Zasada rozliczalności nakłada na administratora danych osobowych obowiązek realizowania zasad wynikających z RODO w taki sposób, by mógł w następstwie wykazać prawidłowość swoich działań.
Rozliczalność w praktyce wiązała się zatem będzie z prowadzeniem odpowiedniej dokumentacji w toku realizacji obowiązków z RODO, tj. spełniania obowiązku informacyjnego, rejestrowania czynności, zabezpieczania danych osobowych itd.
Klauzula informacyjna
Jeżeli dane osobowe osoby, której one dotyczą, zbierane są od niej, administrator podczas ich pozyskiwania podaje jej wszystkie wymagane przez RODO informacje. Jeżeli dane są zbierane pośrednio – informacja powinna być przekazana w rozsądnym terminie, ale nie później niż w ciągu miesiąca.
Forma przekazania tych informacji powinna być zwięzła, przejrzysta, zrozumiała i łatwo dostępna. Obowiązek należy zrealizować jasnym i prostym językiem – w szczególności, gdy są kierowane do dziecka. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się jej tożsamość.
By zachować się zgodnie z zasadą rozliczalności, należy udokumentować proces przekazywania klauzuli informacyjnej w formie zależnej od sposobu przekazywania informacji.
Zgoda z RODO
Podobnie jest w przypadku konieczności wyrażenia przez osobę, której dane dotyczą, zgody na przetwarzanie jej danych osobowych. Zgodnie z motywem 32 RODO zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.
Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.
Zgodnie z zasadą rozliczalności powinniśmy być w stanie udokumentować, że zebraliśmy od osoby, której dane dotyczą, świadomą, dobrowolną i jednoznaczną zgodę na przetwarzanie jej danych w konkretnym celu. Zbieranie zgód możemy rejestrować w dowolny sposób umożliwiający udowodnienie, że zgoda została wyrażona poprawnie.
Realizacja żądań kierowanych do administratora od osób, których dane dotyczą
W toku przetwarzania danych osobowych administrator ma obowiązek realizować żądania osób, których dane dotyczą, w zakresie praw przysługujących im na mocy art. 15–22 RODO, tj. prawa do dostępu do danych osobowych przetwarzanych przez administratora, sprostowania i usuwania danych, ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu wobec przetwarzaniu.
Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z takim żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje ją o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzoru.
Administrator powinien być w stanie wykazać, jak przebiegał proces komunikacji oraz realizacji żądań osoby, której dane dotyczą. Forma dokumentacji może być dostosowana do sposobu skierowania żądania do administratora.
Uchwały lub zarządzenia dotyczące realizacji obowiązków z RODO
Na administratorze ciążą różne obowiązki zależne od spełniania przez niego przesłanek wskazanych w RODO, w tym między innymi prowadzenie rejestru czynności przetwarzania, powołanie Inspektora Ochrony Danych czy przeprowadzanie oceny skutków przetwarzania dla ochrony danych.
Administrator powinien przeprowadzić w swoim przedsiębiorstwie audyt, który pomoże odpowiedzieć na pytanie, czy podlega powyższym obowiązkom. Warto go udokumentować. Wnioski z takiego badania powinny natomiast skutkować podjęciem przez przedsiębiorcę formalnych dokumentów, w których wyraża on swoją decyzję w przedmiocie, np. niepowoływania IOD wraz z uzasadnieniem.
Dla potwierdzenia przestrzegania zasad z RODO warto udokumentować zarówno audyt ochrony danych, jak i kolejne działania podjęte na jego podstawie.
Rejestry czynności przetwarzania i naruszeń oraz ocena skutków przetwarzania danych
Każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada oraz wewnętrzny rejestr naruszeń rozporządzenia. RODO wskazuje, że powinny być one prowadzone w formie dokumentowej – papierowej lub elektronicznej.
Rejestr czynności przetwarzania i rejestr naruszeń należy prowadzić w formie dokumentowej – papierowej lub elektronicznej.
Z kolei w przypadku oceny skutków przetwarzania danych wymóg formy dokumentowej wynika ze skomplikowanego i rozbudowanego charakteru tego obowiązku. Ocena taka obejmuje bowiem systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora, ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą i innych osób, których sprawa dotyczy.
Jeżeli obowiązek dokonania oceny skutków przetwarzania danych dotyczy ciebie, pamiętaj o szczegółowym udokumentowaniu całej procedury!
Powierzenie danych osobowych do przetwarzania
Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.
Umowa lub inny akt prawny, o którym mowa powyżej, mają przybrać, zgodnie z RODO, formę pisemną, w tym formę elektroniczną. Na gruncie tej regulacji powstały wątpliwości, czy UE miała w tym wypadku na myśli formę elektroniczną w rozumieniu polskiego Kodeksu cywilnego (czyli z wykorzystaniem certyfikowanego podpisu elektronicznego) czy też formę dokumentową (każdy dokument, w tym elektroniczny, umożliwiający identyfikację nadawcy). Praktyka podąża obecnie w kierunku formy dokumentowej w rozumieniu kc.
Zgodnie z RODO konieczne jest pisemne (w tym elektroniczne) udokumentowanie zawarcia umowy z każdym podmiotem, któremu administrator powierza przetwarzanie danych osobowych w jego imieniu. Minimalną treść umowy wskazuje art. 28 RODO.
Zgodnie z RODO pisemnego udokumentowania wymaga również podpowierzenie. Podmiot przetwarzający nie może bowiem skorzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.
Dokumentacja wymagana przez RODO – podsumowanie
Poza wyjątkami, do których należą w szczególności umowa powierzenia i zgoda na podpowierzenie, a także rejestr czynności przetwarzania i naruszeń, w zasadzie RODO nie nakłada wprost na administratora obowiązku prowadzenia określonej dokumentacji. Nie oznacza to jednak, że w rzeczywistości takiej dokumentacji nie należy prowadzić. W razie kontroli administrator będzie bowiem musiał wykazać, że w jego przedsiębiorstwie przestrzegane są zasady wynikające z RODO – zgodnie z zasadą rozliczalności.